Je pravděpodobné, že většina čtenářů toho článku již prošla obdobím hledání vlastní identity a zřejmě vystupuje v okolní společnosti pod svým pravým jménem, ukazuje svou tvář a občas při prvním setkání přidruží svoji pracovní roli. Jednoduše řečeno, nabízí ostatním několik zcela jednoznačných, nebo dokonce unikátních atributů, podle kterých se dá relativně spolehlivě identifikovat. Už v tomto okamžiku prokázaní a dokázání identity, ať již komunikujeme s úřadem, bankou nebo jinou komerční institucí, začínáme pociťovat problém s existencí nejednoznačných pravidel a podmínek identifikace.
Narážíme na to, že většinou sice stačí obecně přijímaný doklad totožnosti, jakým je občanský průkaz, ale v některých případech musíme použít jiný doklad, průkaz, identifikační kartu, řetězec znaků nebo jiný dodatečný prvek nutný pro ověření. Většina z běžných lidí, kteří jsou na míle vzdálení od branže IT, tak řeší velmi podobné problémy. Jak takové množství průkazů, identifikačních karet, čipových karet a PINů spravovat? Jak je uchovávat na bezpečném místě, jak je nezaměňovat a jak poskytovat správným institucím správné údaje?



V praktickém životě nás nutnost prokazovat vlastní identitu řadou rozdílných způsobů obtěžuje a přináší další problémy. Jelikož je člověk tvor líný a vždy hledá cestu nejmenšího odporu, tak si také hledá cestu, jak tento problém obejít. Výsledkem jsou PINy k platebním kartám napsané v mobilním telefonu, na útržcích papíru v peněženkách, nebo v tom nejhorším případě přímo na samotných kreditkách. Takže i to je společné se světem IT, kde je problematická správa identit jen přirozeným důsledkem přístupu k této oblasti.

Kde začít?

Zajímavým začátkem při řešení oblasti správy identit (dále jen IdM – dle zkratky termínu identity management) je rozhovor s uživateli. Tam, kde si IT manažer nebo administrátor systému myslí, že nové uživatelské jméno a bezpečné heslo přináší zvýšení zabezpečení, tam si uživatel zoufá a hledá cestu z problémů. Setkal jsem se několikrát osobně s tím, že na přímý dotaz o počtu přihlašovacích jmen a hesel odpovídali odpovědní správci jinak než koncový uživatel. Správci měli za to, že maximální počet jmen a hesel nebude vyšší než například čtyři až pět, reálná zkušenost uživatele byla téměř dvojnásobná. Pracoval totiž se systémy, o které se staralo jiné oddělení, používal bankovní a jiné externí aplikace, které interní IT „nepočítá“, a tudíž je vůbec nezahrnuje do této oblasti, a tak byl nucen spravovat podstatně větší množství přihlašovacích jmen a hesel.
Přihlédneme-li k tomu, že většina systémů má navíc jiná pravidla pro vytváření účtů a politiku hesel, tak se uživatel (v této chvíli už můžeme používat označení „chudák“ uživatel) většinou odevzdá a rezignuje na to, aby hesla byla bezpečná, natož bezpečně uchovávána. Jeho cílem je totiž pracovat. Přihlásit se, pokud možno vždy stejným heslem, a pokud to nejde, tak si rozdílná hesla někam napsat.
Nelze se tudíž uživatelům divit, že nově implementovaná technologie, například firemní portál nebo systém pro vzdálený přístup, v nich nevyvolá nadšení z nových vlastností, ale spíš zděšení nad další metodou bezpečného ověření.

3 nejčastější chybné kroky

1. Nový autonomní systém

Již jsem zmínil, že v prostředí podnikové infrastruktury přibývá počet přihlašovacích jmen a hesel. Je paradox, že i v současné době, kdy se problém správy identit diskutuje poměrně aktivně a stejně aktivně se řeší, dochází k tomu, že jsou zákazníci ochotní implementovat další systémy se samostatnými databázemi uživatelských účtů a tím zpravidla s dalšími uživatelskými hesly.

2. Řešení IdM radikálně a rychle

Dobrá myšlenka a přístup k řešení IdM často selže tím, že je snaha řešit tento problém radikálně a rychle. Rozhodnutí o snížení počtu uživatelských účtů a hesel z celkového počtu deset na jeden jediný účet a jedno heslo, to je bohužel většinou zcela utopistická představa. Prakticky odsouzená k nezdaru. Megalomanský projekt s velkým rozpočtem postupně vyšumí a v lepším případě se situace udrží na stejné úrovni.

3. Proprietární řešení – vlastní šikovný programátor je zlatý důl

Jeden z nejčastějších omylů a chybných kroků. Celá oblast IdM je poměrně komplikovaná a vzhledem k provázaným a komplexním informačním systémům, dopadům na celkovou úroveň zabezpečení a obecně vysokým nárokům na spolehlivost celého řešení je cesta jednoúčelových řešení, programování synchronizací na míru nebo vytváření účelových skriptů tou nejméně spolehlivou. Je třeba si uvědomit, že takové řešení je zcela závislé na konkrétních lidech a platí jen pro určité verze systémů v dané době. Má osobní zkušenost je taková, že po několika měsících nebo letech vývoje na míru je zákazník naprosto odkázán na jednoho nebo dva programátory a jejich nepřítomnost má zcela fatální dopad na celkový chod společnosti.

Technologická řešení

Typickými úlohami IdM systémů je vytváření uživatelských účtů, správa zapomenutých hesel a reset stávajících, zajištění a odstranění přístupu a autorizace do dalších systémů, replikace identit a také dokonalé odstranění identit na konci jejich životního cyklu.
Nabídka technologií pro oblast IdM existuje. Předtím však musíme zmínit jeden zcela zásadní bod. Řešení správy identit se vždy dotkne uživatelů. V některých případech zcela zásadně ovlivní jejich práci. Proto je nutné, aby celý projekt měl silnou a jednoznačnou podporu vedení a byl s předstihem komunikován uživatelům. Bez takové podpory a vůle ke změně je téměř zbytečné začínat.

Řešení chybného kroku č. 1 – podniková pravidla

Vrátím-li se k analogii s občanským průkazem, tak i v podnikové infrastruktuře zpravidla převládá jedno dominantní úložiště uživatelských identit, tedy přihlašovacích účtů, jejich atributů a hesel, které se používá nejvíce. Je dobré stanovit pravidlo, že toto bude primární, neboli zdrojová databáze uživatelských účtů a jejich hesel. Jakýkoli dodavatel potom musí dostat jednoznačné zadání a respektovat primární adresářovou službu jako jedinou možnou. Svá řešení potom bude integrovat s podnikovou technologií a nepřinese tak další – byť jednoduchou – službu pro práci s uživatelskými účty. Vytvořené pravidlo by mělo také stanovit technologii a mechanismus pro ověřování uživatelských účtů a jejich následnou autorizaci pro přístup k podnikovým zdrojům.
Příkladem může být rozšířená technologie adresářových služeb společnosti Microsoft, tedy Microsoft Active Directory (AD). V prostředí klientských operačních systémů Windows je tato implementace LDAP adresáře od Microsoftu AD ideální řešení, zejména díky dokonalé integraci a škále možností. Jelikož používá pro ověřování protokol Kerberos, je možné ji bez větších problémů stanovit podnikovým standardem i ve větších organizacích.

Řešení chybného kroku č. 2 – reálně nastavený cíl

Nativní a integrované řešení je vždy levnější a spolehlivější. Svět však není jednobarevný a právě oblast IdM a potíže s ní spojené se dotýkají hlavně heterogenního prostředí. Další adresářové služby, jako jsou například OpenLDAP nebo Sun One Directory, tak mohou být vázáné na použité informační systémy (SAP, Microsoft Dynamics NAV atd.).
Prvotním cílem je často snížení absolutního počtu přihlašovacích jmen a hesel. Sice je to z pohledu celkové problematiky velmi zúžené, ale prakticky to přinese okamžité efekty komfortnější práce, zvýšení zabezpečení a zpřehlední prostředí. Hlavní chybou je však nastavit cíl projektu nereálně. Například dosáhnout jednoho uživatelského účtu a jednoho hesla se dá prakticky jen tak, že se množství adresářových služeb sníží na jednu až dvě. V jiných případech je to téměř nemožné. Proto je nutné nastavit cíle reálně a zaměřit se na přizpůsobení aplikací, které jsou víceméně standardizované a jejich integrace do jedné z adresářových služeb bude proveditelná v přijatelné době a za přijatelných nákladů.

Řešení chybného kroku č. 3 – kvalitní technologické řešení

V situaci, kdy je nutné správu identit řešit, jednotlivé informace vyměňovat a synchronizovat, přichází na řadu technologie. Praktické zkušenosti říkají, že se rozhodně nevyplatí jít vlastní cestou, kdy šikovní programátoři začínají psát malé kousky kódu a jednoúčelové programy, které se nakonec stanou monstrózním orlojem, který se bez neustálé údržby neobejde. Nabídka kvalitních řešení, která jsou určena právě pro tuto oblast, je zastřešena velkými a důvěryhodnými výrobci, jako je Microsoft, IBM nebo Novell. Ověřené řešení je vhodné do heterogenního prostředí, kde se vyskytují desítky nebo stovky různých aplikací i adresářových služeb a je možné je propojit pomocí připravených konektorů. Standardní a popsané rozhraní pro správu zajistí, že nevznikne závislost na několika osobách a zároveň neohrozí chod společnosti.

Závěr

Začali jsme otázkou a rád bych několika dalšími skončil. Řešíte-li oblast správy identit, zeptejte se: Kolik účtů a hesel používají vaši uživatelé? Víte, kolik času je každý den stojí neustálé přihlašování a změna přihlašovacích údajů? Víte, jaká je vaše primární adresářová služba? Máte stanovena pravidla pro nové systémy a technologie?
Problém identit nesouvisí jen s IT a jeho řešení není rychlé jako mávnutím kouzelného proutku. Pokud si však nastavíte rozumné cíle a použijete kvalitní technologie, můžete tuto oblast infrastruktury dostat pod kontrolu a dosáhnout tak přehledné správy.