facebook LinkedIN LinkedIN - follow
Tematické sekce
 
Branžové sekce
Přihlášení SystemNEWSPřehledy
 
Tematické seriály

Jak uřídit IT projekt a nezbláznit se

Užitečné tipy a nástroje pro řešení problémů řízení inovací a vývoje produktů...

články >>

 

Industry 4.0

Průmysl 4.0

Jaký vliv bude mít čtvrtá průmyslová revoluce na výrobu a výrobní firmy?

články >>

 
Nové!

RPA - automatizace procesů

Softwaroví roboti automatizují obchodní procesy.

články >>

 
Nové!

IoT – internet věcí

Internet věcí a jeho uplatnění napříč obory.

články >>

 
Nové!

VR – virtuální realita

Praktické využití virtuální reality ve službách i podnikových aplikacích.

články >>

 
Nové!

Bankovní identita (BankID)

K službám eGovernmentu přímo z internetového bankovnictví.

články >>

 

Příručka úspěšného IT manažera

Dnes je řada IT manažerů opomíjena. Úspěšní bývají brouci Pytlíci a Ferdové...

články >>

 
 
Partneři webu
IT SYSTEMS 5/2015 , ITIL – Řízení IT

Cesta k efektivnímu identity managementu (4. díl)

Provisioning



EvolveumSpráva identit a přístupů (Identity and Access Management, IAM) je relativně široká oblast, složená z množství spolupracujících technologií. Uživatelé informačních systémů se s nimi většinou setkávají jen nepřímo – při přihlašování se do aplikací a práci v nich. Většina společností používá různorodé informační systémy, proto mají uživatelé většinou více účtů a hesel. Pro mnohé aplikace může situaci zjednodušit zavedení technologie pro řízení přístupů (Access Management, AM) a jednotného přihlašování (Single Sign-On, SSO), ale pro aplikace, které není možné takto integrovat, si uživatel nadále musí pamatovat přihlašovací jména a hesla k účtům. V případě zapomenutého hesla musí řešit situaci pomocí helpdesku či administrátorů.


Z pohledu administrátorů je situace při správě účtů ještě složitější. Jejich úlohou je vytvářet, měnit a udržovat účty a přístupová práva jednotlivých pracovníků při jejich nástupu, změnách vlastností, zařazení v organizační struktuře či odchodu pracovníka. Většina těchto činností se dělá stále ručně na základě ústního, telefonického nebo e-mailového požadavku a zvlášť v jednotlivých informačních systémech pomocí jejich nativních administrátorských rozhraní. V důsledku příliš velkého počtu ručních zásahů jednoho nebo několika pracovníků se účty často vytvářejí nebo mění pozdě, nesprávně nebo vůbec. Nejhorší situace může nastat při potřebě okamžitého zrušení přístupu k účtům, například v případě okamžité výpovědi. Tehdy může nečinnost nebo chyba administrátora umožnit už bývalému pracovníkovi způsobit obrovské škody společnosti. Proto tak, jak uživatelé potřebují a oceňují řízení přístupů, administrátoři potřebují na správu účtů vhodné řešení, a tím je provisioning systém, který je základním prvkem fungování nástroje pro řízení identit.

Mnozí administrátoři používají na vytváření či změny účtů v konkrétních systémech vlastní poloautomatická řešení založená na skriptech. Tato řešení pomáhají, ale téměř nikdy nepokrývají všechny systémy ani všechny události, a zejména neumožňují reagovat na vzniklé situace okamžitě (vyžaduje se ruční spuštění skriptu). Úlohou provisioning systému je spravovat účty a jejich přístupová práva ve všech systémech nejen na základě požadavku administrátora, ale i automaticky při změnách v autoritativních zdrojích údajů, například v personalistickém systému nebo databázi zákazníků. Při automatické pravidelné synchronizaci se vytvoří identita v provisioning systému, adresářovém systému pro řízení přístupů a v ostatních informačních systémech a přidělí se příslušná přístupová práva podle připravených politik. Provisioning systém si navíc uchovává informace o tom, které účty patří kterému pracovníkovi, takže vytváří globální pohled na identitu pracovníka ve všech systémech. Při odchodu pracovníka je proto možné zablokovat nebo zrušit přístupy na jediném místě – v provisioning systému a synchronizovat změny do informačních systémů.

EvolveumSynchronizace samozřejmě umožňuje i transformaci údajů na základě pravidel, například vygenerování unikátního přihlašovacího jména či e-mailové adresy na základě osobního čísla, příjmení a podobně nebo odstranění diakritiky pro některé atributy. Údaje o uživatelích jsou tak konzistentní ve všech připojených systémech.

Zajímavým příspěvkem provisioning systému do podnikové infrastruktury je možnost samoobslužného rozhraní, kdy si uživatel může na jednom místě změnit heslo pro kterýkoli účet, požádat o přístup do nového systému či vykonat přímou změnu předem definovaných atributů. Sníží se tím zatížení administrátorů, kteří se namísto neustálé správy účtů a přístupových pravidel mohou věnovat smysluplnější práci.

Technologický princip činnosti provisioning systému je velmi jednoduchý. Jeho jádrem je systém pravidel a politik na synchronizaci a transformaci údajů, které synchronizuje jednosměrně nebo obousměrně mezi připojenými zdrojovými a cílovými aplikacemi pomocí tzv. konektorů. Konektory jsou malé „pluginy“ zabezpečující komunikaci mezi provisioning systémem a aplikačním rozhraním na správu účtů na straně aplikace. Pro mnohé systémy existují hotové konektory, pro jiné je možné je vytvořit. Zjednodušeně je možné říci, že když na správu účtů v aplikaci existuje administrátorem využitelné vzdálené rozhraní, s velkou pravděpodobností ho bude možné použít pro konektor. To platí i pro proprietární (lokální/uzavřené) aplikace, pro které existuje dokumentace k takovémuto rozhraní. Jelikož konektory umožňují přímý přístup přes vzdálené rozhraní, změny se uskutečňují téměř okamžitě. Dobrý provisioning systém je navíc neinvazivní, nezabraňuje používání nativních nástrojů na správu aplikací, nekoliduje s nimi a většinou nevyžaduje ani instalaci žádných komponent na straně aplikací.

Provisioning systém vhodně doplňuje technologie pro řízení přístupů a adresářovou službu. Jejich vzájemným propojením vzniká synergický efekt, kdy provisioning systém umožňuje spravovat nejen účty v centrální adresářové službě, ale i ve všech ostatních aplikacích. Současně se provisioning systém může stát součástí řízení přístupů, kdy se pro přihlášení administrátorů respektive uživatelů do samoobslužné části provisioning systému může využít SSO.

Ing. Ivan Noris, Evolveum Ing. Ivan Noris
Autor pracuje ve společnosti Evolveum na pozici Senior Identity Engineer, Senior Tester. Vystudoval obor Informatika na Slovenské technické univerzitě v Bratislavě. V současnosti pracuje ve společnosti Evolveum na pozici Senior Identity Engineer a Senior Tester. Věnuje se zejména testování a konfiguraci systému midPoint, který je nejrozsáhlejším volně dostupným open source systémem pro správu identit, konfigurace a nasazování řešení na správu uživatelů.
 
Spoluautor Stanislav Grünfeld, MBA
působí ve společností AMI Praha jako ředitel realizace a je zodpovědný za projekty v oblasti identity managementu.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

Digitální bitva o zákazníky i zaměstnance

IT Systems 11/2021Pokud bychom měli z aktuálního vydání IT Systems vypíchnout hlavní témata, upozornili bychom především na články věnované digitalizaci personalistiky, integraci podnikových aplikací, využití IT ve zdravotnictví nebo na téma bankovní identity, na kterou se díváme jak z perspektivy možného komerčního využití, tak i z hlediska její architektury a technologií, na nichž je tato moderní forma autentizace postavena. Největší prostor ovšem dostal blok článků věnovaný automatizaci zákaznické péče.