Jenže pak mohou přijít a většinou také přijdou chvíle, kdy:

• Přijde audit a bude chtít vědět, na základě čeho dostal uživatel účet v AD. Kdo o to požádal a kde je o tom záznam? Existuje nějaká standardní matice práv pro zaměstnance?
• Proč má Karlův účet atributy takové, jaké má?
• Kdo schválil jeho práva v AD?
• Jarda odchází, musíte řešit předání „know how“ rutinních operací v IT systémech – založ účet, smaž, archivuj, blokuj schránku, obnov...
• Jak se předává heslo, kdo všechno ho měl v ruce?

Co je zodpovědností admina?

Z předchozího seznamu vyplývá, že administrátor v procesu zavádění zaměstnance nese na svých bedrech poměrně velkou zodpovědnost. Fakticky rozhoduje o tom, kdo má jaká práva, kdy je dostane a kdy o ně přijde. Tím pádem nese i odpovědnost za to, že někdo může potenciálně zneužít svůj účet k věcem, ke kterým nemá z podstaty svého zaměstnání přistupovat. Musí si navíc zajistit informace o tom, kdy zaměstnanci končí. A ruku na srdce, tahle informace často na IT nedorazí včas nebo také vůbec. Tak proč by měl admin rozhodovat, kdo má jaká práva? On není ten, kdo určuje bezpečnostní politiku společnosti, kdo by měl stavět matici přístupů. Tohle nesmí být zodpovědnost administrátora.

Administrátor IT systému, třeba AD, má být zodpovědný primárně za provoz systému, jeho údržbu a hlavně: systematické zlepšování jeho chodu tak, aby firmě jeho provoz přinášel co největší benefit.

Nechte svoje zaměstnance tvořit

Nechte administrátory, aby se starali o rozvoj IT systémů. Jenže jak se má této činnosti věnovat, když se neustále věnuje přidělování skupin, zakládání účtů, resetování hesel uživatelům atd.? Zamezte rutinní operativě. Automatizujte. Identity Management může pomoci.

Identity management je proces správy identit, nejčastěji zaměstnanců, zákazníků a dodavatelů, v organizaci. Definuje zejména způsob řízení přístupu k IT zdrojům. Správně zavedený proces zajistí oprávněným osobám přístup ke schváleným zdrojům (IT systémy, certifikáty, HW) po specifikovanou dobu. Zavedením systému pro správu identit (IdM) můžete jednoduše zbavit administrátora rutinních činností, jako jsou:

• Založení účtu v AD, Exchange, helpdesk, docházka apod...
• Distribuce hesla zaměstnanci, například pomocí SMS.
• Reset zapomenutého hesla. Moderní IdM mají samoobsluhu uživatele, kde si každý své zapomenuté heslo může sám resetovat.
• Změna práv, například žádost o novou AD skupinu. To může přece požádat uživatel sám a jeho žádost nadřízený (nebo garant systému) schválí.
• Zrušení účtu při konci úvazku, archivace účtu dle interní politiky firmy, smazání z archivu po uplynutí archivačního období.
• Schválení zřízení účtu / přidělení oprávnění. Admin by neměl rozhodovat o tom, kdo má v AD jaká práva. Definováním vhodného mechanismu schvalování přístupů v IdM sejmete toto břemeno z jeho beder. Moderní IdM systémy umožňují vícekolové schvalování přidělení oprávnění vlastníkem dat systému nebo nadřízeným.
• Příprava dat pro audit. Usnadněte práci adminovi. Ať ze změti logů různých systémů neloví auditní informace o přístupech zaměstnanců. S IdM máte přehled práv uživatelů na jednom místě. Audit bez Identity Managementu může zabrat dny práce.

Tohle všechno v důsledku ušetří čas zaměstnancům IT, který můžete investovat daleko efektivněji než do rutinních činností.

Marcel Poul Autor článku je vedoucím realizace IdM projektů ve společnosti BCV solutions. Problematice správy identit se věnuje více než 8 let. Dodává projekty IdM pro zákazníky ve státní správě, soukromé firmy i velké nadnárodní korporace.