Společnosti obecně využívají celou řadu různých aplikací a systémů s různou vzájemnou závislostí. V takto heterogenním prostředí pak stojí před problémem přehledné evidence a jednotlivých změn uživatelských oprávnění ve svých aplikacích. Příchod nového zaměstnance, nebo naopak ukončení pracovního úvazku stávajícího zaměstnance znamená nelehký úkol v podobě správného nastavení jednotlivých systémů a aplikací. Dalším problémem je zajištění procesního workflow v případě požadavků na změny uživatelských oprávnění, případně zajištění přidělení dočasných oprávnění v případě záskoku na omezenou dobu. Základem řešení může být například portál interních identit, který prostřednictvím technologie ESB (enterprise service bus) umožní integraci jednotlivých firemních systémů. Dalšími články takovéhoto řešení pak mohou být aplikační protokol LDAP s adresářovou službou Active Directory a personální informační systém, z něhož jsou následně čerpána kmenová data o všech uživatelích.

Při volbě vhodného řešení je – ostatně jako v procesu výběru drtivé většiny technologických nástrojů – zcela zásadní uvědomit si, co od takového systému pro správu identit vlastně očekáváme a vyžadujeme. Je nasnadě, že nároky firmy o několika málo zaměstnancích budou zcela jiné než požadavky CIO nadnárodní korporace čítající tisícovky pracovníků. Ve větších firmách se složitějším IT prostředím a potřebou standardizace souvisejících procesů tak často sahají po robustních a poměrně komplikovaných řešeních od světových výrobců. Problém těchto řešení však spočívá nejen ve vyšší ceně licencí, ale pro firmy s řadou proprietárních aplikací obnáší také potenciálně vysoce náročnou integraci a provázání s těmito proprietárními aplikacemi. A právě z tohoto důvodu může být pro tyto organizace vhodnější řešení postavené na architektuře ESB. Ta totiž zajišťuje relativně snadnou a efektivní integraci s většinou produkčních prostředí.

Co žádat od identity managementu?

Již jsme zmínili, že alfou a omegou je i v případě selekce ideálního systému pro správu identit především zevrubná znalost vlastních požadavků. Přesto lze formulovat jakési obecné požadavky, které tvoří páteř nároků drtivé většiny společností. Odrážíme se přitom od samotného určení systémů pro správu identit a řízení přístupu, jejichž základní funkcionalita zahrnuje kupříkladu samotnou správu jedinečných digitálních identit (pokrývající jejich celý životní cyklus) a skupin uživatelských účtů, možnost přidělování přístupových práv uživatelů pro přístup k firemním zdrojům, bezpečnou autentizaci uživatelů, systém upozornění při pokusech o neoprávněný přístup do interních systémů společnosti (automatická generace protokolů) či zajištění bezpečnosti osobních údajů o uživatelích. Jde samozřejmě jen o základní výňatek funkcí nabízených moderními systémy pro správu přístupu, v reálu mohou firmy očekávat daleko pestřejší paletu možností.

Poměrně důležitý z hlediska uživatelského komfortu je dobře zpracovaný a intuitivní (ideálně přizpůsobitelný samotným uživatelem) front-end pro ovládání systému identity managementu. Co se týče samotných funkcí, vhod přijde určitě také možnost vyhledávání a eliminace duplicitních či neaktivních účtů (digitálních identit) a snadná správa i definice práv celých skupin uživatelů rozdělených například dle organizačního zařazení. Stěžejní je rovněž snadná správa atributů jednotlivých identit (kontakty, telefonní čísla, zaměstnanecké karty apod.), možnost ukládání uživatelských certifikátů na zabezpečené úložiště či podpora stále populárnějšího systému pro ověřování uživatelů single sign-on (SSO). Z hlediska budoucího rozvoje firmy je pak na místě preferovat takový systém, který umožňuje jistou míru škálovatelnosti a ad hoc adaptace z hlediska nabízené funkcionality. A nakonec, funkcí, která má podle řady oborových expertů výrazný potenciál ušetřit větším podnikům spoustu hodin práce, je automatizace resetování hesel (ať už jde o periodické nastavení kvůli zvýšení bezpečnosti nebo funkci, která umožní získat nové heslo v případě, že uživatel zapomene to současné). Možná to tak nevypadá, ale v některých IT ekosystémech je tato činnost opravdu komplexní, nákladná a časově velmi náročná. To potvrzují i čísla. Při pohledu do statistik se totiž zhruba polovina hovorů směřujících na IT oddělení týká právě žádostí o reset hesla.

Zdeněk Lejsek
Autor pracuje ve společnosti T-Systems.