Identity Management aneb Centralizovaná správa identit v IT systémech

IdM neboli Identity Management značí centralizovanou správu identit/účtů v IT systémech. V tomto příspěvku definujeme, co IdM je, a zároveň objasníme, jakou pomoc od něj můžeme očekávat. Také se zaměříme na to, jak a co bychom při jeho výběru měli zohledňovat, neboť zájem o IdM by měl mít každý, kdo se zajímá o automatizaci procesů, o bezpečnost svých zdrojů (aplikací i účtů), delegaci oprávnění, centralizaci systémů či evidencí. Volba správného IDM není jednoduchou záležitostí a neměla by se uspěchat. Proto v příspěvku také rozebereme migraci Identity Manageru.

               Identity Manager           access management          IDS    delegace oprávnění schvalování        zabezpečení účtů                     automatizace procesů           správa účtů           identita uživatelů

Identita a Identity Manager

Za pojem identita se v IT sektoru považuje jakékoli elektronické zastoupení osoby či objektu, např. účet v IT systémech nebo elektronický podpis. Identity management v tomto případě funguje jako centrální mozek, který ústředně řídí přístup jednotlivých identit k určeným zdrojům, ke svým účtům, certifikátům a VPN napříč řízenými IT systémy.

Identity Manager je softwarovým nástrojem, díky kterému je zajišťován samotný Identity Management, a tedy řízení i spravování konkrétních účtů. Identity Manager je procesní nástroj, kterému je vlastní komunikační rozhraní do různých spravovaných systémů. V rámci své činnosti spojuje spravované systémy a na základě toho pak nad nimi umožňuje správu účtů a provádění různých procesů. V rámci Identity Manageru fungují synchronizační nástroje, díky kterým je umožněn přenos dat, dále pak je součástí reportovací a auditní funkce. Součástí je i uživatelské rozhraní, díky kterému je umožněna delegace odpovědnosti za konkrétní úkoly na konkrétního uživatele.

Kdy zvolit Identity Manager?

Identity Manager je vhodný pro firmy i organizace, které chtějí předejít rizikům v oblasti bezpečnosti. Firmy i organizace v rámci svého fungování nemusejí mít vždy úplný přehled o tom, kdo má kam a jaké přístupy. Mohou mít problém i se správou účtů. Např. po odchozích zaměstnancích mohou v systémech zůstávat uživatelské účty. Časově náročná může být také otázka auditní kontroly. Mnoho času často zabírá přidělování konkrétních přístupů jednotlivým zaměstnancům podmíněné různými schvalovacími procesy, kterými pak zpravidla bývají zahlceni administrátoři, což IdM pomůže zjednodušit a zrychlit.

Pomoc v podobě Identity Managementu

• Automatizace procesů – díky IdM se mohou automatizovat rutinní procesy při jednotlivém řízení identit, díky čemuž pak mají administrátoři méně starostí. Vyřizování nástupu do pracovního poměru je často výrazně usnadněno díky automatickému přidělování přístupů. IdM má na starosti vznik identity i pracovního úvazku, zařazení jedince do firemní struktury, změnu údajů (telefon, e-mail a jiné), vyjmutí z evidence v případě mateřské či rodičovské dovolené aj. Řeší i zánik samotné identity.
• Delegace oprávnění schvalování – v případě získání či odebrání potřebných oprávnění na konkrétní pracovní pozici není třeba čekat na schválení administrátorů (v situacích, kdy manažeři či další oprávnění žádají o přístupy pro své podřízené a čekají na schválení přístupů do CRM). Nadřízení mají přehled o konkrétních právech svých podřízených a zároveň mají možnost jednotlivá práva měnit dle potřeby – bez zásahu IT. Dále také mohou nadřízení resetovat hesla. Nadřízení mohou nastavovat časová omezení ke konkrétním účtům.
• Bezpečnost – díky IdM firmy předejdou nepřehlednosti v případě neaktivních účtů bývalých zaměstnanců. Nebude se stávat, že by bývalému zaměstnanci zůstaly veškeré přístupy, které mu byly uděleny, když na svou pozici nastupoval. Pokud mu veškeré jeho přístupy zůstávají, vznikají nemalá rizika.
• Centralizace systémů – v rámci centralizace má firma jasný přehled o konkrétních přístupech v jednotlivých systémech. V rámci ní lze uživatele identifikovat napříč všemi systémy.
• Evidence – IdM eviduje konkrétní operace nad účty, eviduje jejich práva, kdo schválil jaké přístupy, komu a proč, čímž má firma další přehled a podklady pro audity.

IdM a správa účtů

V rámci Identity Managementu je možné spravovat veškeré účty. Pro každý jednotlivý účet lze nastavit různé procesy – je možné nastavit konkrétní práva i povinnosti. Do základní skupiny účtů patří následující:

technické, popřípadě servisní – to jsou zejména účty administrátorské nebo účty aplikací

zaměstnanecké – těm vzniká výše zmiňovaná identita začátkem zaměstnaneckého poměru, kdy je nový zaměstnanec zaveden díky personálnímu oddělení do firemního systému

účty pro externisty – externisty mohou být dodavatelé, studenti, zákazníci aj. Identity Management zpracovává jednotlivé identity, účty identit, řeší a zpracovává úvazky, složky, fotografie, certifikáty atd. Také má na starosti softwarové licence, VPN přístupy i celou organizační strukturu.

Co není Identity Management

Identity Management není organizační soustředění účtu v systému Active Directory (AD). AD totiž nenabízí uživatelské rozhraní na žádosti, kontrolu toho, co kdo schválil, ani proč má ten či onen účet taková práva. Aplikace musí být připravena či upravena pro využívání AD, což je také otázka financí. Podobná úprava může být dost časově náročná a samozřejmě také drahá. Jako Identity Management není vhodné uvádět ani Access Manager, který neřeší proces přidělování konkrétních práv. Má na starosti pouze centrální autorizaci/autentizaci uživatelů skrze systémy.

Identity Managementem nejsou ani monitorovací nástroje, které ve své podstatě řeší pravidelný či online reporting toho, v jakém stavu je aktuální systém. Opět neřeší několikrát zmiňovaný management konkrétních práv jednotlivých účtů pro konkrétní systém.

Volba vhodného IdM

Volba vhodného Identity Manageru je pro firmy i organizace jedním z klíčových úkonů. Každý, kdo se zajímá o bezpečnost svých zdrojů, účtů i aplikací, automatizaci procesů, delegaci oprávnění schvalování, centralizaci systémů či evidenci, by měl chtít vybrat ten nejlepší IdM. Různé firmy i jednotlivci potřebují odlišné spektrum vlastností, proto se pak na základě jejich preferencí liší postup a zohlednění produktu IdM. Mezi Identity Managery lze vybírat na základě toho, pro koho jsou určené, i na základě jejich procesů. Při výběru je např. dobré zohlednit licenci, výkonnost i rychlost a samozřejmě i „upgradovatelnost“.

Dodavatel je stěžejní

Ještě před zvažováním licence nebo kvalitního kódu je vhodné zvážit dodavatele. Chcete produkt ze zahraničí nebo z Česka? Chcete dodavatele, který je zároveň i vendorem IdM? Přemýšlíte nad tím, zda zvolit dodavatele na klíč, nebo chcete řešení realizovat sami? Kvalitní IdM produkt může být „vykoupen“ nedostatečně kvalitním produktovým nebo implementačním týmem. Při výběru je dobré brát v potaz i tým, který bude mít IdM na starost. V ideálním případě by se měli klienti poptávat po implementaci Identity Manageru přímo na své prostředí – měli by dodavatele nechat, ať jim sami ukážou, v čem konkrétně IDM pomůže.

Funkce v hlavní roli

Dříve platilo, čím víc funkcí, tím lépe. I dnes se tímto heslem někteří uživatelé řídí. Srovnat produkty IdM mezi sebou je i pro experta v podstatě nemožné. Důvodem je rozsah funkcí a způsob jejich využití, o kterém rozhoduje implementační tým.

Dříve byly IdM rozsáhlými nástroji funkcí pro implementační tým, který měl za úkol vytvořit z produktu cestou velkých úprav řešení na míru. Tyto IdM nebylo možné v základu používat, hodně bylo třeba upravovat. Organizace musely být velké – jinak hrozilo, že se investice do podobné implementace jednoduše nevrátí.

IdM posunují mnoho funkcí od programátorů do GUI pro adminy, aby i admin mohl co nejvíce funkcí udělat sám, např. snadno připojit spravovaný systém. Nástroje IdM jsou jednodušší, intuitivnější, snadněji ovladatelné a rychleji nasaditelné. Raději méně funkcí, které jsou ovšem srozumitelné a snadno použitelné.

Pro koho je IdM určený?

Otázka ohledně toho, kdo bude s Identity Managerem pracovat, patří mezi klíčové rozhodnutí a souvisí s bodem výše. IdM byly dříve velmi složité integrační nástroje – dnešní Identity Managery se snaží využívat standardní funkce, které zvládá ovládat samotný administrátor, a to bez využívání implementátorů. Kdo bude s Identity Managerem pracovat? Budou to uživatelé? Nebo má být IdM určený pouze pro IT administrátory? Je v plánu mít IdM jako infrastrukturní software, který pracuje na pozadí, a tedy ho budou mít díky četnosti transformací na starosti samotní programátoři?

Řešené skupiny účtů

Do třech základních skupin uživatelských účtů se řadí zákazníci, zaměstnanci a dodavatelé. Pro každou skupinu se uplatňují rozdílné IdM procesy. Příkladem lze uvést proces nástupu zaměstnance, tj. vzniku pracovního úvazku. Valná většina IdM je uzpůsobena zaměstnaneckým účtům – moderní IdM mají ale také specializované funkce pro správu privilegovaných účtů PIM, které umožňují dočasné předání hesel.

• Identita zaměstnanců obvykle vzniká a zaniká na základě smluvního úvazku. Obvykle se provádí personálním oddělením, kde ji načtou do IDM či provedou změnu. IdM musí umět řešit i více pracovněprávních úvazků zaměstnance v jedné organizaci.
• Pro vznik identity u externistů (dodavatelů, studentů, zákazníků) je možné používat webové rozhraní IdM. Externisti do systémů často přistupují pomocí VPN, přičemž se obvykle využívají certifikáty.
• Účty aplikací či administrátorské účty – tedy účty patřící do skupiny technických a servisních, obvykle nesmějí zaniknout po odchodu jednotlivých zaměstnanců. Nesmějí se na ně aplikovat personální procesy, mají vlastní agendu procesů. V rámci IdM lze řešit např. agendu předávání jednotlivých hesel.
• Privilegované účty (PIM) jsou určené např. pro administrátory ve Windows.

Role aneb RBAC, tedy Role-Based Access Control, je funkční mechanismus IdM. Značí získání konkrétních povolení a oprávnění pro pohyb v systému. Rozlišují se role aplikační, přístupové, byznys role a role dle typu přiřazení (automatické a ručně prováděné). Je nezbytné vzít v potaz, pro jaké účty má v rámci firmy smysl automatizovat správu identit. Vše je otázkou času i finančních prostředků.

Procesy a web GUI

Procesy v rámci Identity Managementu reprezentují sledy událostí v rámci konkrétní identity – sledují vstupy uživatelů, synchronizaci i workflow. V rámci procesů lze rozlišovat několik základních, a to personální (změny pracovního poměru, změny popisných atributů, změny v organizačním zařazení) automatické (týkají se systémové synchronizace mezi systémy) a ruční zásahy (žádosti a schvalování o přístupy v rámci GUI, VPN a další).

V rámci procesů je důležité se ptát po standardních personálních procesech a žádostech ohledně schvalování. Důležité je sledovat schémata jednotlivých procesů – zda odpovídají nárokům a požadavkům. Moderní IdM by měl být a obvykle také je srozumitelný. Vše by mělo být uživatelsky přívětivé, jednoduché a rychlé. S tím souvisí i odezva web GUI, která musí být téměř okamžitá. Je proto dobré věnovat dostatečné množství času testování webového uživatelského rozhraní.

Licence, „upgradovatelnost“ a kvalitní kód

Opensource licence poskytuje uživatelům svobodu. Zároveň je důležité si uvědomit, že volba opensource či closesource licence nesouvisí s aplikovatelností a kvalitou IdM. Ani jedna z nich není horší či lepší. Důležité je proto se ptát, jak je poptávaná licence omezená, a jaké služby nabízí dodavatel. Zároveň je však vhodné se poradit se svým právníkem.

Upgradovatelnost svědčí o skutečnosti, jestli je IdM moderní či nikoli. Probíhá upgrade pouze jednou za rok nebo častěji? Vycházejí vůbec nové verze? Důležité je také zjistit, kolik stojí samotný upgrade Identity Manageru.

Jak moc je kvalitní kód, je vhodné prověřit ve chvíli, kdy se bude IdM implementovat a upravovat týmem vývojářů ve firmě. Poznat kvalitní kód lze na základě mnoha parametrů, např. dokumentace kódu – kvalitní je známkou kvalitního programu, kvality rozhraní, upgradovatelnosti, čitelnosti.

Při výběru IdM je důležité se namísto všemožných funkcí zaměřit spíše na dodavatele a řešení úkolů. S výběrem není vhodné spěchat – systémy IdM jsou určené na dlouhodobé používání a zároveň je vhodné doporučit zpracování malého testovacího projektu. Je nutné dbát na to, které systémy IdM podporuje, jakou má IdM dokumentaci a které procesy umožňuje.

Migrace na jiné IdM: procesy, napojení systémů a funkce

Dosluhuje vám současný Identity Management software? Platíte velké sumy za licence nebo vám jednoduše stávající řešení nevyhovuje? Pak je řešením migrovat na novou generaci IdM. Jednoduchý upgrade nedává smysl. Jedná se o migraci na kompletně jiné technologie. Často je potřeba změnit i stávající procesy, které Identity Manager podporuje. Systémy, které je třeba spravovat, se mění – upgradují, nahrazují nebo je potřeba spravovat další.

Když je IdM vybraný, je nutné nastavit klíčové parametry projektu – postup, harmonogram a nezapomenout na migraci historických metadat. Během migrace může být pro všechny útěchou, že se využijí vymyšlené postupy Identity Manageru, které firma dlouhodobě využívá. Právě vymýšlení procesů patří mezi nejnáročnější aktivity.

IdM procesy

Procesy probíhající v rámci IdM je nutné znovu vyvinout. Nicméně ve chvíli otázky migrace existuje zcela jasné zadání, které firma přijala již za své. Kladem tohoto bodu je skutečnost, že jednotlivé procesy je možné vylepšovat. Což je mnohdy levnější varianta než budovat vše od prvopočátku.

Napojení systémů

Další otázkou je napojení systémů. Konektory na systémy lze často znovu využít a nevyvíjet znovu. Hlavní je, že koncové systémy mají api a jsou známa jejich data. To je veliké ušetření.

Funkce

Během používání Identity Manageru si každá firma na vlastní kůži zjistí, které IdM funkce využívá a které byly „nadbytečné“ a používaly se zřídkakdy, či dokonce vůbec. Do kategorie funkcí spadají např. automatické procesy, funkce resety hesel, reporty, kola schvalování a mnohé další. Funkce, které organizace využívá, stojí za to migrovat. Další funkce je pak možné samozřejmě přidat. Důležité je, že není vhodné migrovat nepoužívané funkce a zesložiťovat nové řešení. Jejich eliminací se zlevní následný provoz.

Dva základní přístupy migrace

Migraci Identity Manageru lze provést dvěma základními přístupy. „Velkým třeskem“ nebo postupnou migrací bez výpadku. Postupná migrace i velký třesk jsou vhodnými potupy aplikovanými na základě rozdílné situace. Někdy je vhodnější jedna varianta, jindy zas druhá. Pokud jsou nasazení rozsáhlá, je možné IdM postavit vedle sebe a vzájemně integrovat Identity Manager jako podvěsný systém. Následně je pak možné krok po kroku přepojovat ovládané systémy ze „starého“ IdM na nový. Ten lze postupně a řádně testovat, a to bez jakéhokoli stresu, a postupně jej převádět do produktivního provozu. Starý Identity Manager zas lze postupně ukončovat. Výhoda postupného přepojování tkví v možnosti pružně reagovat na jakékoli změny požadavků.

Pokud si vedle sebe představíte starý a nový Identity Manager, obě řešení se mohou vzájemně tímto způsobem doplňovat. Jakmile se požadavky změní, což se i často děje, na jednom IdM může docházet ke změnám, zatímco druhý zastává práci jako dosud. Můžete na jednom IdM testovat a následně změny uvádět do provozu. Dvojice vedle sebe stojících řešení IdM můžete dočasně využít ve svůj prospěch. Přechod na novější systém nemusí probíhat pod takovým stresem. Na druhou stranu, bude-li tento stav trvat delší dobu, je třeba počítat s finanční investicí do podpory obou řešení IdM.

O migraci IdM

Jakkoli se klient může snažit proces migrace co nejvíce usnadnit a zkusit omezit rizika a starosti během přechodu na novější zařízení, nejde vždy o vyloženě snadnou a bezproblémovou práci. Jakým způsobem tento krok podniknout by měl každý pečlivě zvážit, a to ideálně s nějakým odborníkem, který má s Identity Managery a Identity Managementem obecně bohaté zkušenosti.

Závěrem

Zájem o IdM by měl mít každý, kdo hledá odpovědi na otázky ohledně zabezpečení, automatizace procesů, centralizace systémů či delegace oprávnění. Identity Management obvykle zpracovává jednotlivé identity, osoby, účty identit, řeší a zpracovává úvazky, fotografie, složky, certifikáty. Dále má na starosti softwarovou licenci, VPN přístupy i celou organizační strukturu. 

Závěrem lze doporučit, že během vybírání vhodného Identity Manageru by se měla brát v potaz skutečnost, pro koho jsou procesy určené a které procesy IdM vůbec umožňuje. Také je dobré zohlednit licenci, web GUI či kvalitní kód. Výběr není vhodné uspěchat, protože systémy IdM jsou určeny na dlouhodobé používání. Důležité je brát v úvahu, které systémy IdM podporuje a jakou má dokumentaci.

Žádná migrace neprobíhá stejně. Každá je svým způsobem specifická a vyžaduje rozdílný přístup. Jakkoli se může zdát jedna z variant optimální, někdo se zkušenostmi z praxe možná dokáže najít ještě další způsob, který přechod zefektivní. K celé problematice je potřeba přistupovat s respektem. Pokud k migraci přistoupíte správně a zodpovědně, bude úspěšná.

Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.

POUŽITÉ ZDROJE:

[ 1 ] MARTIN J. A a WATERS J. K. What is IAM? Identity and access management explained, CSO online, publikováno 9. října 2018, dostupné z: https://www.csoonline.com/article/2120384/what-is-iam-identity-and-access-management-explained.html

[ 2 ] TechTarget Contributor. privileged identity management (PIM), TechTarget, aktualizováno listopad 2013, dostupné z: https://searchsecurity.techtarget.com/definition/privileged-identity-management-PIM

[ 3 ] Thycoti, PIM vs. PAM vs. IAM What do all those acronyms mean? Copyright © 2021, dostupné z: https://thycotic.com/resources/iam-pim-pam-privileged-identity-access-management-terminology/