Dodaten problem so sodobna okolja z veliko informacijskimi sistemi, ki so med seboj bolj ali manj povezani. Z večanjem števila informacijskih sistemov se veča tudi število potrebnih preverjanj in s tem podatkovnih zbirk z atributi za identifikacijo uporabnika. V običajnih okoljih lahko srečamo 30 in več različnih mest, v katerih so shranjeni podatki o posameznem uporabniku. Vsak uporabnik v povprečju potrebuje dostop do 5 informacijskih sistemov hkrati. Sistemi za upravljanje z identitetami omogočajo nadzor uporabnika s centralnega mesta z uporabo avtomatiziranih in vnaprej pripravljenih postopkov ter pravil. Osnovni namen sistema je zagotoviti dostop do vseh potrebnih informacijskih virov v točno določenih časovnih okvirih in s točno določenimi pravicami.
Z manjšo razširitvijo pogleda na področje upravljanja z identitetami lahko vključimo tudi sisteme za upravljanje z dostopi na posameznih informacijskih virih. Oba sistema sta tesno povezana in skupaj zagotavljata uvedbo sistema enotne prijave. Okolja z enotno prijavo zahtevajo strožja pravila in kriterije za osnovno prijavo. Priporočljivo je, da za osnovno prijavo v sistem uporabimo strožje metode avtentikacije uporabnika, kot je npr. uporaba pametnih kartic ali biometrije. Po prijavi v osnovni uporabniški sistem se uporabniku ni več treba prijavljati v drug informacijski sistem. Vse nadaljnje prijave v druge sisteme se izvršijo samodejno. Sistem za upravljanje z identitetami posreduje vse potrebne informacije sistemu za upravljanje z dostopi, ki omogoči uporabniku vse potrebne parametre.
Glavni razlogi za uvedbo upravljanja identitet
Vpeljava sistema za upravljanje z identitetami mora imeti za seboj poslovne zahteve. Glavni razlogi, ki jih imajo podjetja za uvajanje sistema upravljanja z identitetami, so:
• zakonske in druge regulativne zahteve,
• zmanjševanje tveganj zaradi nedovoljenih dostopov do virov v podjetju in zlorabe osebnih ter zaupnih podatkov,
• zmanjševanje potrebnega časa pri postopkih zaposlovanja in s tem povezanih stroškov,
• podpora dostopa do aplikativnih rešitev za veliko število uporabnikov (zaposleni, partnerji, stranke ...),
• omogočanje vpogleda v vse atribute celotnega informacijskega sistema za posameznega uporabnika,
• poenostavitev oziroma avtomatizacija postopkov za dodeljevanje pravic uporabnikom in s tem zmanjšanje možnosti za napake.
IZVEDBA
Uvedba sistema za upravljanje z identitetami je pravzaprav formalizacija obstoječih postopkov oziroma v večini primerov pomeni uvajanje postopkov in pravil. Prav zaradi neurejenosti okolja, v katerega uvajamo to rešitev, je običajno projekt bolj politične kot tehnične narave.
Upravljanje z identitetami je povezano z vlogami posameznikov v podjetju. Vloge so povezane s pravilniki (politikami), ki določajo pravice na posameznih informacijskih sredstvih. Pravilniki se izvajajo po vnaprej predpisanih postopkih, ki zahtevajo v določenih primerih tudi potrditve odgovornih oseb.
Določitev vlog in pravilnikov ter vseh povezav v organizacijski strukturi organizacije je ponavadi najtežji del uvedbe sistema za upravljanje z identitetami.
Uvedba sistema vpliva na vse informacijske sisteme in postopke za dodeljevanje pravic v teh sistemih. Končni cilj je obvladovanje vseh pravic in dostopov do informacijskih ter drugih sredstev prek avtomatiziranih postopkov.
Najprej odprava osnovnih težav
Projekt je treba zastaviti na realnih tleh in se na začetku zadovoljiti z odpravo osnovnih problemov v podjetju, kot so npr.:
• centralizirano upravljanje z gesli,
• zagotovitev pregleda vseh računov na posameznih informacijskih sredstvih,
• odkrivanje uporabniških računov neobstoječih uporabnikov,
• delen prenos dodeljevanja pravic v kadrovsko službo.
Pred začetkom parametrizacije in programiranja izbranega izdelka je treba izdelati podrobne poteke posameznih postopkov, ki jih želimo avtomatizirati s sistemom za upravljanje z identitetami.
Uvedba sistema za upravljanje z identitetami poteka vedno v obstoječem stanju, kjer je treba ohraniti trenutno funkcionalnost oziroma jo le nadgraditi. Prvi korak pri uvedbi sistema za upravljanje z identitetami je prenos vseh uporabnikov v centralni sistem za upravljanje z identitetami. Prenos podatkov o uporabnikih lahko izvedemo iz kateregakoli obstoječega informacijskega sistema. Običajno je najboljša rešitev prenos uporabniških podatkov iz sistema kadrovske službe (plačilne liste), saj tako zagotovimo najvišjo kakovost (točnost) prenesenih podatkov.
Osnovni podatki o uporabniku
Pri prenosu podatkov je treba zagotoviti prenos vseh potrebnih atributov, s katerimi lahko uporabnika nedvoumno določimo. Ti podatki so običajno:
• ime in priimek,
• številka zaposlenega,
• datum zaposlitve,
• datum prenehanja delovnega razmerja,
• organizacijska enota zaposlenega oziroma njegova vloga v organizaciji.
Prenos podatkov o zaposlenih ni enkratna naloga, ampak je treba zagotoviti postopek stalne sinhronizacije podatkov med sistemom kadrovske službe in sistemom za upravljanje z identitetami.
Sinhronizacija podatkov je potrebna zaradi morebitnih sprememb vlog/delovnega mesta obstoječega uporabnika ali zaradi avtomatskega dodajanja novega uporabnika v informacijski sistem.
Po prenosu vseh podatkov je treba povezati posamezne uporabniške račune na informacijskih sistemih s podatki v sistemu za upravljanje z identitetami. V odvisnosti od pravil, po katerih so bila dodeljena uporabniška imena ali kateri izmed podatkov na informacijskem sistemu, lahko avtomatsko povežemo uporabnika, ustvarjenega v sistemu za upravljanje z identitetami, z uporabnikom na informacijskem sredstvu. Uporabnike, ki jih ni mogoče samodejno povezati, je treba povezati ročno. Postopek je treba ponoviti na vsakem izmed informacijskih virov, ki jih želimo vključiti v centralni sistem.
Vpis novega uporabnika v sistem za upravljanje z identitetami se začne z vpisom uporabnika neposredno v sistem ali s sprožitvijo prenosa potrebnih podatkov o uporabniku iz drugega avtoritativnega sistema (sistem kadrovske službe). V sistemu za upravljanje z identitetami se glede na vnesene podatke generira uporabnik in sprožijo procesi za dodelitev pravic oziroma generiranje uporabniškega imena na informacijskih virih, do katerih mora imeti uporabnik dostop. Določitev informacijskih sistemov, do katerih bo imel uporabnik dostop, lahko temelji na podatkih o delovnem mestu ali na ročno vnesenih podatkih v sistem za upravljanje z identitetami. V odvisnosti od predpisanega postopka je treba postopek generiranja uporabnika na informacijskem viru potrditi, preden se celoten postopek izvrši. Samodejno je možno izdelati in poslati tudi dnevnike sprememb za morebitno revizijo vseh postopkov.
Sistem za upravljanje z identitetami lahko uporabimo za odkrivanje neuporabljenih uporabniških računov na posameznih informacijskih virih in za izdelavo poročil o uporabi sredstev. Poročila lahko uporabimo tudi za preverjanje in optimiranje licenčnih zahtev. Uporabniki lahko prek centralnega sistema spreminjajo tudi gesla ali si s pomočjo vnaprej določenega postopka odklenejo uporabniški račun (če pozabijo geslo). S tem se zmanjša obremenjenost službe za podporo in pomoč uporabnikom.
Naslednja stopnja
Naslednji koraki v izvedbenem procesu so:
• priprava postopkov za ustvarjanje novih uporabniških računov,
• določitev uporabniških vlog,
• specifikacija postopkov odobritve,
• določitev organizacijskega diagrama za potrebe odobritev,
• določitev drugih delovnih postopkov (generiranje poročil, obveščanje ...).
S pomočjo zgoraj naštetih podatkov lahko izdelamo že bolj ali manj avtomatizirano rešitev za nadzor uporabnikov in njihovih pravic.
TEHNIČNI CILJI
Glavni tehnični cilji pri uvajanju sistema za upravljanje z identitetami so povečanje varnosti, izboljšanje upravljanja, razpoložljivosti in možnosti integracije oziroma nadaljnje širitve uporabe tega sistema ter integracija z obstoječimi in novimi informacijskimi rešitvami.
Najpomembnejše cilje lahko predstavimo s tabelo:
| Cilj | Vpliv vpeljave sistema za upravljanje z identitetami |
| Varnost | Projekt ne sme negativno vplivati na obstoječo varnostno politiko. Pred izvedbo je treba narediti oceno tveganj in uvesti dodatne kontrole ali protiukrepe za izboljšanje varnosti. |
| Razpoložljivost | Če je le mogoče, je treba ohraniti uporabniško okolje nespremenjeno ali uvesti novo enostavnejše okolje. |
| Zmanjšanje administracije | Uvedba novega sistema mora biti za končnega uporabnika čim bolj nevidna. Ohraniti je treba vsa uporabniška gesla za dostop do informacijskih sistemov. Nastavitev novih pravic mora biti enostavna in hitra. |
| Hitra izvedba projekta | Čim prej je potrebno zagotoviti uporabo ključnih funkcionalnosti sistema za upravljanje z identitetami (funkcionalnosti, zaradi katerih se uvaja upravljanje z identitetami). |
Upravljanje z identitetami pomeni komunikacijo z različnimi sistemi in upravljanje s podatki na teh sistemih. Informacijski sistemi imajo različne možnosti za identifikacijo uporabnika, zato so tudi podatki v teh sistemih lahko precej različni.
Vsi izdelki, ki jih ponujajo različni proizvajalci, zahtevajo prilagoditve, tako da hitra in enostavna rešitev ne obstaja. Vsak programski paket je treba ustrezno prilagoditi okolju, v katerem ga želimo uporabljati. Priporočljivo je uporabiti pomoč zunanjih partnerjev, ki že imajo izkušnje z vpeljavo sistemov za upravljanje z identitetami.
Pri izbiri primernega izdelka je treba pregledati celotno obstoječo infrastrukturo, vse zahteve in obstoječe veljavne postopke, ki jih je treba vgraditi v nov sistem. Izbira sistema torej ni odvisna samo od pregleda matrike izdelkov v popularnih analizah, kjer so razvidni najboljši izdelki za posamezne kategorije, ampak je treba pregledati celotno informacijsko okolje in izbrati najprimernejši izdelek.
Uvajanje rešitve za upravljanje z identitetami je zaradi tesne povezanosti z mnogimi procesi v organizaciji zelo občutljivo. Za zmanjšanje tveganja je priporočljivo v začetnih fazah vpeljave še vedno ohranjati star, delujoč sistem upravljanja. Najučinkovitejše je postopno uvajanje novih rešitev, ki jih ponuja sistem upravljanja z identitetami. Pred uporabo sistema v celotni organizacije je smiselno načrtovati pilotno testiranje sistema na manjšem številu uporabnikov. S tem se izognemo pojavu začetnih napak v delovanju sistema oziroma jih pred splošnim uvajanjem rešitve pravočasno rešimo. Izbira pilotne skupine uporabnikov mora biti premišljena, tako da lahko preverimo delovanje sistema v celotni organizaciji – zajemati mora vse postopke, ki jih želimo v določenem trenutku predati v uporabo. Pred uvedbo novega sistema je treba načrtovati tudi ustrezno izobraževanje uporabnikov novega sistema. Predvideti moramo tudi vse potrebne procese in financiranje za vzdrževanje postavljenega sistema in širjenje njegove funkcionalnosti.
Svetovalna hiša Gartner pričakuje rast zahtev za uvajanje in izvedbo sistemov za upravljanja z identitetami predvsem zaradi zakonskih zahtev. Tehnologija, ki je dosegljiva na trgu, je po mnenju strokovnjakov v Gartnerju zrela in treba je le izbrati najprimernejšo rešitev za določeno okolje. V poročilu za prvo polovico leta 2006 so najbolje ocenjeni izdelki podjetij IBM, Oracle in Sun. Seveda pa rešitve ponujajo tudi druga podjetja, kot so Novel, Microsoft, BMC Software, CA in druga.
Izbira izdelka določenega proizvajalca mora temeljiti predvsem na analizi okolja v organizaciji, v katero se rešitev uvaja, izkušenj primerljivih organizacij in izvajalca s posameznimi izdelki.
Do leta 2008 je pričakovana 60-odstotna rast rešitev na področju centralnega dodeljevanja uporabniških pravic in zagotavljanje pripadajočih poročil zaradi izpolnjevanja zakonskih določil.
Koristi upravljanja identitet
Uvedba sistema za upravljanje z identitetami je smiselna zaradi:
• zmanjševanja stroškov, potrebnih za administracijo informacijskih rešitev,
• poenostavljenje postopkov za uporabnika (npr. uporaba enotne prijave v vse sisteme, administracija gesel z enega mesta ...),
• povezava med sistemi znotraj in zunaj organizacije,
• skladnosti s predpisi in zakoni,
• možnosti hitrega odziva pri zaznanih varnostnih problemih in incidentih,
• povečanja varnosti in zmanjšanja tveganja (nepravilne informacije oziroma pravice uporabnika, dostop nekdanjih uporabnikov do informacijskega sistema ...),
• zagotavljanja pravilnosti vseh podatkov v vseh informacijskih sistemih v organizaciji.
Za zagotovitev vseh potrebnih pogojev za skladnost z zakonodajo in priporočili je treba poleg sistema za upravljanje z identitetami vpeljati še učinkovit sistem upravljanja dostopnih pravic, ki je ponavadi tesno povezan s sistemom za upravljanje z identitetami. Poleg naštetih sistemov je treba zagotoviti tudi učinkovit sistem nadzora in generiranja poročil o vseh varnostnih incidentih v informacijskem sistemu.
Zagotovitev pravilnega delovanja nadzornega sistema in revizijskih sledi lahko zagotavljajo samo čim bolj avtomatizirani in povezani sistemi za nadzor. Na trgu je na voljo dovolj kakovostnih izdelkov, tako da je treba le izbrati rešitev, ki je najboljša za posamezno okolje.
PREVIDNOST NI ODVEČ
Za konec bi podal še razmislek o vpetosti sistema za upravljanje z identitetami v celotno informacijsko infrastrukturo. Pri pravilno načrtovanem in vpeljanem sistemu ne bo sistema nihče niti opazil, razen nekaterih spremenjenih postopkov, pri kakršnikoli napaki pa lahko pričakujete zelo burne odzive, ker je z napačno nastavitvijo možno onemogočiti dostop do vseh informacijskih virov v organizaciji. Previdnost pri namestitvi v tem primeru ni odveč.
Rudi Leskošek | Andrej Zimšek
