V tradičních aplikacích si většinou autentizaci, autorizaci a podobné bezpečnostní mechanismy implementuje každá aplikace samostatně. Tento přístup je zjevným plýtváním zdrojů, jelikož provozovatel musí platit za tu samou funkcionalitu několikrát – a to nejen za její vývoj, ale i za její konfiguraci a provoz. Navíc jednotlivé aplikace o sobě navzájem nevědí a uživatel se musí přihlásit do každé aplikace zvlášť. Řešením právě těchto problémů se zabývají technologie správy přístupů.

Zjednodušeně by se dalo říci, že základním principem řízení přístupů je oddělení autentizace uživatele od aplikací. Přihlášení (autentizace) uživatele v tomto případě zabezpečuje centralizovaná komponenta většinou označovaná jako SSO nebo AM server. Ta zabezpečí, aby uživatel nemusel zadávat svoje přihlašovací údaje pro každou aplikaci zvlášť, ale jen při prvním přístupu k některé z integrovaných aplikací.

Proces jednotného přihlášení zabezpečovaný centrálním autentizačním serverem by se dal popsat následovně. V případě prvního přístupu k aplikaci je uživatel přesměrován na SSO server, kde se pomocí svých přihlašovacích údajů autentizuje. Po úspěšném přihlášení je následovně přesměrován zpět na aplikaci spolu s „tokenem“ obsahujícím informace o přihlášení uživatele. V případě, že se tento uživatel rozhodne přistoupit k jiné aplikaci, je znovu přesměrovaný na SSO server. Nyní už SSO server ví, že uživatel byl autentizován a je okamžitě přesměrován zpět na aplikaci, která na základě existujícího „tokenu“ umožní uživateli přístup. Dokud se uživatel neodhlásí z některé aplikace nebo nepřekročí definovaný čas nečinnosti, může pracovat s aplikací bez nutnosti opětovného přihlášení.

Částečně může SSO server zabezpečit i autorizaci. Granularita této autorizace je většinou jen na úrovni povolení/zamítnutí přístupu úspěšně autentizovaného uživatele k dané aplikaci. O jemnější granularitě autorizací, jako je například oprávnění vykonávat konkrétní akci nebo možnost zobrazit určitý prvek v menu, už rozhoduje každá aplikace samostatně.

Tento jednoduchý princip má svoje výhody. Mezi nejvýraznější z nich patří flexibilita. Představme si, že se změní bezpečnostní požadavky na autentizaci. Zatímco v případě klasického řešení je potřebné upravovat každou aplikaci zvlášť, při využití jednotného přihlášení stačí pouze změnit způsob autentifikace na straně SSO serveru. Kromě toho SSO server může vyhodnotit odkud a v jakém čase se uživatel přihlašuje, porovnat to s předcházejícími přístupy a vynutit silnější autentifikaci, pokud se jeho zvyky najednou změní. Ať už jde o změnu bezpečnostní politiky, globální autorizace nebo je potřebná implementace dvoufaktorové autentizace, všeho se dá dosáhnout jen změnou SSO serveru bez zásahu do aplikací.

Z dlouhodobého hlediska správa přístupů šetří nemalé prostředky, přesto nemůžeme zapomínat, že i to má svou cenu. Menší část celkové ceny projektu představuje nasazení a přizpůsobení samotného SSO serveru, tu větší potom integrace jednotlivých aplikací. Aplikace, které mají být součástí řešení, je potřebné přizpůsobit a to modifikovat nebo překonfigurovat jejich nativní autenzizační mechanismus. Cena těchto modifikací, potřebného testování a organizačních nákladů často několikanásobně převýší cenu SSO serveru.

Při nasazování systémů řízení přístupů je tu však jeden kritický moment a tím je potřeba spolehlivé centrální databáze uživatelů. Tento požadavek se zdá být triviální, ale ve většině případů je to obrovský problém. Přesto, že množství aplikací umožňuje jednoduché připojení na systémy řízení přístupů, častokrát používají své databáze uživatelů a velmi často používají různé identifikátory pro stejné uživatele. Proto je nepravděpodobné, že by bylo možné nasadit technologie řízení přístupu přímo na existující informační systém bez předcházející přípravy.

Nasazení systému na řízení přístupů proto předchází nasazení systému na správu identit (IdM). IdM systém je využit právě na unifikaci databází uživatelů jednotlivých aplikací a vytvoření centrální databáze, většinou reprezentované adresářovým systémem. Po „uklizení“ identit je možné nasadit systém pro správu přístupů.

Produktů na řízení přístupů je mnoho. Jsou to nákladné komerční produkty, dostupné produkty s otevřeným zdrojovým kódem, jednoduché i přespříliš komplikované produkty a téměř každý zákazník si najde to svoje. Problémem je však jejich vzájemná kompatibilita a proto je potřebné vybírat produkt velmi zodpovědně. V neposlední řadě je důležité si uvědomit celkové náklady nasazení systému na správu přístupů. Jak už bylo řečeno, ty se váží zejména na poznání současného stavu, potřebu unifikace databází jednotlivých aplikací, potřebu vytvoření centrální databáze a potřebu přizpůsobit autentizační mechanismy připojených aplikací.

Technologie řízení přístupu jsou pověstnou špičkou ledovce v IAM řešení. Jednotné přihlášení, centrální vynucování autentizačních politik a další vlastnosti těchto technologií jsou tím, co běžný člověk (ne zcela správně) vnímá pod názvem „správa identit“. Aby tato špička ledovce dokázala efektivně plnit svůj účel, jsou potřebné i další technologie, které jsou skryté pod hladinou vnímání běžného uživatele. Proto, pokud chcete efektivně implementovat tyto technologie, je vhodné požádat o pomoc zkušeného odborníka s širokým přehledem v celé IAM oblasti.

	Ing. Radovan Semančík, PhD. Autor pracuje ve společnosti Evolveum na pozici softwarového architekta a specialisty na správu identit. Navrhoval jedno z prvních řešení správy identit ve střední Evropě a podílel se na návrhu a nasazení mnoha komplexních řešení v oblasti správy identit. Momentálně věnuje většinu svého času vedením projektu midPoint, který je nejrozsáhlejším volně dostupným open source systémem pro správu identit.
	Ing. Katarína Valaliková Autorka pracuje ve společnosti Evolveum na pozici softwarového vývojáře a specialisty na správu identit. Většinu svého času investuje do vývoje systému midPoint. Kromě toho se věnuje nasazování systémů zabezpečujících jednotné přihlášení.
	Spoluautor Stanislav Grünfeld, MBA působí ve společností AMI Praha jako ředitel realizace a je zodpovědný za projekty v oblasti identity managementu.