Zarządzanie tożsamością

Identity Management to zespół procesów i wspierająca je infrastruktura, służące do tworzenia, utrzymywania oraz korzystania z elektronicznych tożsamości. Administrowanie takie łączy mechanizmy kontroli i raportowania z automatyzacją, usprawniającą obieg informacji związanych z szeroko rozumianą tożsamością.

Identity Management to zespół procesów i wspierająca je infrastruktura, służące do tworzenia, utrzymywania oraz korzystania z elektronicznych tożsamości. Administrowanie takie łączy mechanizmy kontroli i raportowania z automatyzacją, usprawniającą obieg informacji związanych z szeroko rozumianą tożsamością.

W ramach zarządzania tożsamością mogą funkcjonować mechanizmy, takie jak: provisioning użytkowników, zarządzanie rolami i kontami uprzywilejowanymi.

Zarządzanie tożsamością

Identity Management w infrastrukturze

Provisioning dotyczy mechanizmów, które automatyzują tworzenie, modyfikowanie i usuwanie kont powiązanych z określoną tożsamością. Pojęcie to wiąże się też z przepływem zadań (workflow), tworzącym ciąg działań akceptacyjnych, wymaganych przy tworzeniu, modyfikowaniu lub usuwaniu tożsamości oraz przydzieleniu dostępów do zasobów. Określa, kiedy, kto, komu i do czego może przypisać uprawnienia. Zbudowanie pełnej ścieżki akceptacyjnej jest jednym z trudniejszych zadań. Wymaga ustalenia m.in. właścicieli danych i opiekunów danych (np. administratorów).

Innym elementem zarządzania tożsamością jest udostępnianie użytkownikom możliwości częściowo samodzielnego nią zarządzania. Tak zwany self-service obejmuje trzy podstawowe elementy: resetowanie haseł po prawidłowym uwierzytelnieniu za pomocą innego mechanizmu weryfikacji tożsamości (np. w razie zapomnienia hasła lub blokady konta z powodu wielu nieudanych logowań); autorejestrację (wypełniając formularz, użytkownik może poprosić o udzielenie dostępu do zasobów); administrowanie (samodzielna zmiana pewnych atrybutów informacji osobistych).

Zarządzanie kontami uprzywilejowanymi to możliwość określenia szczególnego rodzaju polityki wobec wybranego rodzaju kont, np. administracyjnych.

Korzyści ze stosowania narzędzi do zarządzania tożsamością wynikają m.in. z możliwości automatyzacji "cyfrowej aprowizacji" użytkowników, zmniejszenia obciążeń help desk przypadkami zapomnianych haseł oraz wprowadzenia porządku w administrowaniu dostępem w ramach całej organizacji. Łatwiej jest także spełniać wymogi zgodności z różnorodnymi regulacjami. Systemy te podnoszą również ogólny poziom bezpieczeństwa firmy, automatyzując procesy odbierania uprawnień i likwidacji kont zwalnianych pracowników (deprovisioning).

Infrastrukturę zarządzania tożsamością tworzą wszystkie elementy, w których znajdują się informacje o tożsamości: usługi katalogowe, katalogi wirtualne, metakatalogi.

Wirtualne katalogi to serwisy, które potrafią w czasie rzeczywistym pozyskać informacje o tożsamości z różnych źródeł pod określonym kątem. Jest to baza odnośników do różnych repozytoriów danych (LDAP, baz kadrowych, książek adresowych itp.), niekoniecznie zawierających informacje identyfikujące, ale związane z tożsamością. Kierując jedno tylko zapytanie do wirtualnego katalogu, możemy uzyskać szybki dostęp do różnych źródeł danych i otrzymać kompletną informację. Koncepcją konkurencyjną wobec wirtualnych katalogów jest Identity Bus Microsoftu.

Wdrażanie zarządzania tożsamością

Wdrażanie systemów zarządzania tożsamością angażuje całą organizację i nie odnosi się tylko i wyłącznie do IT. Jest to zadanie trudne, czasami wymagające przeprojektowywania procesów i korzystania z różnorodnych źródeł informacji o tożsamości, np. systemy mainframe, usługi katalogowe, systemy ERP, książki adresowe itp.

Jakie są rzeczywiste koszty wdrażania takich rozwiązań, które w różny sposób dotykają wszystkich systemów działających w organizacji? Gartner szacuje, że koszty wdrożenia mogą być nawet pięciokrotnie wyższe niż samego zakupu.

Przygotowując proces wdrożenia, dobrze jest podzielić go na wiele etapów i prowadzić strategią małych kroków. Wdrażając rozwiązanie, trzeba przygotować określone role, reguły i zasady polityki. W większości przypadków producenci dostarczają tu gotowe wzorce. Niezmiernie istotne - także ze względu na wymogi zgodności z regulacjami - jest dokumentowanie wszystkiego, co związane jest z wdrożeniem.

Tożsamość federacyjna oznacza możliwość dostępu do informacji rozproszonych w różnych organizacjach, używających bezpiecznych sieci. Jednym z mechanizmów, który to zapewnia, jest logowanie SSO (Single Sign-On), gdzie pojedyncza nazwa użytkownika i pojedyncze hasło służą do uzyskania dostępu do wielu aplikacji.

Wdrażanie tożsamości sfederowanej jest szczególnie trudne, gdyż pojawia się przy tym wiele problemów leżących poza sferą technologii. Niełatwe jest zarządzanie procesami i powiązaniami biznesowymi w taki sposób, żeby łączenie tożsamości było w pełni bezpieczne i umożliwiało odpowiednią ochronę prywatności.


TOP 200