krótki text mający na celu odpowiedzenie na pytanie „po co zarzadzanie tozsamoscia?”
Zarządzanie tożsamością to bardzo ważny i (SIC!) niestety często pomijany element zarządzania infrastrukturą IT. System zarządzania tożsamością łączy się z wieloma pojęciami takimi jak np. „Single Identity” (SI), „Single Sign On” (SSO) które znacznie ułatwiają życie użytkownikom ale również w dużym stopniu z bezpieczeństwem.
[Terminy SSO i SI wykraczają nieco poza samo zarządzanie tożsamością stanowiąc mechanizm nadrzędny – wdrożenie IM jest pierwszym krokiem do realizacji tych mechanizmów.]
Zalety systemu IM:
- User-point-of-view
- Duże ułatwienie pracy użytkownika, ze względu na to, iż nie musi on pamiętać wielu kont i haseł.
- Zmiany hasła dokonuje się w jednym systemie – co znów przekłada się na łatwość pracy dla użytkownika końcowego i bezpieczeństwo [o czym za chwilę]
- Management-point-of-view
- Zarządzanie pracownikami jest operacją bardzo złożoną wymagającą współpracy wielu działów. Powoduje to problemy w obiegu informacji to z kolei prowadzi do dużych opóźnień i braku wydajności pracy – takie elementy przekładają się bezpośrednio na koszty utrzymania. Dwa najbardziej krytyczne momenty w życiu tożsamości to jego utworzenie oraz wycofanie. Podczas przyjęcia pracownika, w minimalnym scenariuszu musi on zostać uwzględniony w bazie HR oraz musi mu zostać założone konto dostępowe do stacji roboczej. Zazwyczaj sytuacja jest dużo bardziej złożona, ponieważ systemów wymagających autoryzacji jest często więcej – np. baza danych SQL, baza ORACL, środowiska heterogeniczne gdzie zakładać trzeba wiele kont do poszczególnych systemów [np. Unix/Windows]. Przeważnie każdym z systemów zajmuje się inny dział, co w przypadku środowiska korporacyjnego prowadzi do tworzenia wielu skomplikowanych procedur, wykonywanych ręcznie – w większości przez osobę zatrudnianą [pójdź najpierw do IT na 2 piętrze… potem do bazo Danowców na 4tym.. potem do unixowców w budynku obok…]. Jest to marnotrawstwo czasu i niepotrzebna komplikacja systemu. Problemy te rozwiązuje system IM poprzez automatyzacje całego procesu. Wystarczy, że pani w HR założy w bazie wpis o nowym pracowniku i na podstawie tych danych założone zostaną konta o tej samej nazwie z tym samym hasłem. [elementy SI i SSO]
- W skrócie – system IM radykalnie wpływa na wydajność pracy administracyjnej poprzez automatyzację zadań zakładania i usuwania kont.
- Admin-point-of-view
- Zarządzanie kontami sprowadza się do jednego centralnego punktu, eliminując wiele różnych interfejsów i punktów zarządzania kontami. System IM stwarza dodatkową warstwę abstrakcji, pozwalając centralnie zarządzać wszystkimi kontami danego użytkownika jako pojedynczą tożsamością. Korzyści są oczywiste – zarówno prostota zadań administracyjnych, minimalizacja czasu na operacje na kontach, które stanowią wysoki procent codziennych prac w działach IT, lepsza organizacja, eliminacja „papierowych procedur” i pełna automatyzacja… wyliczać można by na pewno jeszcze długo ponieważ w stosunku do tradycyjnych systemów [pozbawionych IM] taki model ma niemal same zalety. Jedyną wadą jest dodatkowa złożoność systemu informatycznego wymagająca dodatkowej osoby, która jest w stanie o niego zadbać.
Security-point-of-view
- Chociaż wymieniony na końcu to jeden z najważniejszych elementów systemu IM jest radykalne zwiększenie bezpieczeństwa. Jest to niemal oczywiste i wynika ze wszystkich wymienionych wcześniej czynników, które bezpośrednio przekładają się na bezpieczeństwo:
- Eliminacja „karteczek z hasłami” poprzez ujednolicenie systemu logowania dla użytkowników
- Wcześniej pisałem o „zakładaniu kont” ale tak naprawdę największym problemem w korporacjach jest ich usuwanie. O ile użytkownik po przyjściu do pracy nie będzie miał dostępu do zasobu – zgłosi się po niego. Po odejściu pracownika, informacja rzadko kiedy trafia do wszystkich działów zajmujących się poszczególnymi systemami. A więc pomimo licznych procedur, po np. zablokowaniu konta w AD, użytkownik ma cały czas aktywne konta do baz danych zawierających krytyczne dla firmy dane poufne. Tego rodzaju niedopatrzenia są codziennością w przeważającej liczbie firm, ponieważ dział HR bardzo rzadko ma otwarty kanał komunikacyjny z działem IT. „Said but true” .
- Ważnym, a jeszcze nie poruszonym tu pojęciem, jest „rola”. Przy zarządzaniu system IM nie definiuje się grup dostępu czy uprawnień. Każda tożsamość ma przydzieloną rolę, co po pierwsze ładnie przekłada się na model biznesowy, ale przede wszystkim zapewnia, że po przydzieleniu roli, użytkownik będzie miał dostęp do wszystkich niezbędnych danych, poprzez propagację informacji z systemu IM do wszystkich systemów zarządzanych. I znów ważniejszy czynnik niż dodanie uprawnień to zmiana roli – w przypadku której tożsamość automatycznie zostanie usunięta ze wszystkich wymaganych grup/etc a tracąc tym samym dostęp do danych, nie przewidzianych dla roli, z której jest usuwana. Należy podkreślić słowo ‘automatycznie’ ponieważ eliminacja czynnika ludzkiego w systemach o takiej złożoności jest *krytyczna*
