Současný svět prochází neustálým vývojem. Změny, které přináší nutnost být kompetitivní s ostatními, jsou stále rychlejší. Pouze ta společnost, která je dokáže včas akceptovat, může být úspěšná. Jedním z důkazů tohoto tvrzení je i nově vzniklý termín „real-time enterprise“ [1]. Termín označuje společnost, která používá aktuální informace ke zmenšení prodlení mezi rozhodnutím a jeho uvedením v platnost v business-critical procesech. Taková společnost klade důraz na propojení byznysu a IT, jehož výsledkem je efektivní a transparentní proces implementace nových služeb a požadavků. Tento trend vede k rychlému růstu počtu provozovaných aplikací a platforem. Problémem je, že to, co přináší výhodu businessu, má pro IT nepříjemné důsledky.


Dnešní problémy IT
1. Zvyšuje se počet spravovaných účtů a hesel
V současnosti je zřejmé, že koncept „single-sign on“ je tak, jak byl definován (jeden účet, jedno heslo do všech aplikací), zatím neimplementovatelný. Je sice možné vyžadovat SSO u nově nasazovaných aplikací, i když dnes si většina aplikací z důvodů platformní nezávislosti řeší autentizaci a autorizaci sama. Problémem je však dědictví stávajících „legacy“ aplikací, které by musely prodělat redesign, aby akceptovaly SSO. Navíc ne u všech aplikací je tento redesign možný (dodavatelská firma již neexistuje, nebo produkt nahradila jiným). V době, kdy je vše přísně hodnoceno podle kritéria přínosy/náklady, se takové projekty těžko obhajují.

2. Zvyšuje se počet administrátorů
S rostoucím počtem aplikací roste i počet aplikačních správců, kteří spravují účty ve „svých“ aplikacích. Dosud centrální útvar pro správu účtů již nestíhá/neumí zakládat a rušit uživatelské účty ve všech provozovaných aplikacích, a proto tuto činnost deleguje na aplikační správce. Výsledkem pak obvykle jsou nekonzistentní procesy například při odchodu zaměstnance. Běžně se stává, že je zrušen pouze jeho „primární“ účet, zatímco účty v jiných aplikacích jsou dále aktivní a představují bezpečnostní riziko.

4. Neefektivní procesy
Proces zavedení nového zaměstnance do existujícího IT prostředí se stává komplikovanější, pomalejší a hůře kontrolovaný. Totéž platí i o dalších procesech správy uživatelů (změna role uživatele, vytvoření nové role atd.).

5. Složitý audit
V současnosti si většina aplikací řeší audit svými vlastními prostředky. Problém však nastává, pokud je potřeba auditovat chování uživatele v celém prostředí, a ne pouze jeho účty v oddělených aplikacích.

Řešení – identity management
Všechny popsané problémy definují oblast, kterou bylo zapotřebí řešit – tzv. identity management (IM). Princip IM (viz obr.) je jednoduchý – vytvoření uživatele jako identity, ke které IM systém přimapuje všechny uživatelovy účty a případně i hesla. Výhoda IM oproti SSO je v tom, že nejsou zapotřebí žádné další náklady na úpravy již existujících aplikací. Jejich uživatelské databáze zůstanou zachovány, avšak správa účtů se zautomatizuje a ztransparentní.

Cílem tohoto článku není vysvětlit celou problematiku týkající se identity managementu, dotknu se zde jen oblastí, které souvisejí se zabezpečením infrastruktury.

Role-based security
Jak je vidět z obrázku, IM logicky odděluje spravované identity (v levém sloupci) od zdrojů (pravý sloupec). Snad největším přínosem je však to, že na každém spravovaném zdroji je nutné při jeho připojení k IM definovat uživatelské role (např. prohlížeč podpisových vzorů), kde každé roli přísluší určitá oprávnění. IM pak zařazuje účty pouze do těchto rolí. IM navíc dokáže identifikovat i uživatele, kterým někdo změnil nastavení tak, že neodpovídají žádné roli, a případně je opravit.

Centralizace správy účtů
Protože účty a hesla na všech zdrojích spravuje IM, správce účtů spravuje pouze identity uživatelů v IM produktu. Běžná praxe však je, že vlastní IM systém je navázán na nějakou HR aplikaci, takže i tento proces je zautomatizován.

Jednoduchý audit
Všechny operace (vytvoření/smazání uživatele, změna role, změna hesla atd.) jsou auditovány na jednom místě, u většiny produktů do databáze, ze které je pak možné dělat svoje vlastní reporty a výstupy.

Řešení problému mnoha účtů
V některých případech najdeme jmenné konvence účtů a password policy, které budou vyhovovat všem řízeným aplikacím a platformám. Tehdy lze využít IM k vytvoření stejně se jmenujících účtů na všech zdrojích a k nim udržovat pouze jedno heslo. Avšak i v případě, že to možné není, může IM produkt ušetřit administrátorovi práci. IM systémy totiž umožňují delegovat některé operace (např. právě reset hesla) na samotného uživatele. Pokud tedy nezapomene své userID a heslo do IM systému, tak všechna zbylá hesla může měnit/resetovat právě z něho.

Závěr
Pro koho jsou tedy identity management systémy vhodné? Podle mých zkušeností je to pro většinu společností, pro které platí alespoň jeden z následujících bodů:
· má okolo 1000 uživatelů nebo více,
· používá mnoho aplikací,
· provozuje složité heterogenní prostředí,
· požaduje vyšší zabezpečení a spolehlivý audit.

Literatura:
[1] The Gartner Definition of Real-Time Enterprise, 01 October 2002, COM-18-3057

Autor článku, Ing. Lukáš Jeník, působí jako senior manager ve společnosti Trask solutions.