Termékek

Novell® Identity Manager – Hatékony személyazonosság-felügyelet

Változások kora: heterogén, komplex informatikai környezetek
Semmi sem fontosabb annál, mint aminek eljött az ideje.”

Fejlődés, hatékonyság, gyorsaság, költségcsökkentés, dinamizmus - üzleti környezetben gyakran elhangzó, közkedvelt pozitív üzenetet hordozó szavak.

Mindannyiunknak, még a témát szkeptikusként megközelítőknek is, el kell ismerniük, hogy az elmúlt évtizedekben végbement változások környezetünket, sőt az arról alkotott gondolatainkat is jelentősen átformálta. Az informatikára fókuszálva, amelyre úgy is lehet tekinteni, mint a változások egyik mozgatójára, megállapítható, hogy a kezdeti, csak néhány funkciót felölelő, a szervezetek működésében szigetként megjelenő, csak néhány hozzáértő által használt alkalmazásoktól, a mai napra eljutottunk, a szervezetek teljes funkcióit lefedő komplex IT infrastruktúráig, annak üzembetartásáig. Elérkeztünk arra a szintre, ahol a szervezet összes alkalmazottja munkavégzéséhez elengedhetetlen az informatika eszközök mindennapos használata. Sőt, az ügyfeleknek nyújtott szolgáltatásoknál, a hatékony partneri kapcsolatoknál is megkerülhetetlen az informatika bevonása. Az informatikai infrastruktúra jelentősen befolyásolja a működés hatékonyságát. A kialakult környezetek mind a szállítók, mind a megoldások tekintetében összetettek, heterogének és úgy tűnik, hogy ebben hosszútávon sem fog változás történni. Ehhez a kialakult körülményekhez az üzemeltetés szempontjából is alkalmazkodni kell.

Azoknál a szervezeteknél, ahol a biztonsági szempontoknak történő megfelelés az egyik legelső helyen áll a komplex infrastruktúrákban, a megnövekedett felhasználói létszám mellett, egyre nagyobb gondot jelenthet akár még az egyik legegyszerűbbnek tűnő, olyan feladat végrehajtása is, mint az alkalmazott rendszerekben a felhasználói jogosultságok kiosztása, annak kezelése, kézben tartása. Például a jogosultságok kiosztásnál a jóváhagyások gyakran papíron történő adminisztrációjának a végrehajtása jelentős erőfeszítéseket kívánhat, komoly erőforrásokat vonva el a nagyobb produktivitást igénylő feladatoktól. Túl sok idő telhet el ún. back-office tevékenységekkel ahelyett, hogy inkább ügyfélkapcsolatokra fordítódna. Miből ismerhető fel a személyazonosság-kezeléséből adódó problémák?

Egy szervezet életében a személyazonosság felügyelethez kapcsolódó problémák megjelenése a következőkből ismerhető fel:

  • “Túl hosszú idő telik el, amíg a felhasználók megkapják a hozzáférést azokhoz a rendszerekhez, amelyekre munkavégzésükhöz szükségük van.”
  • “Olyan alkalmazottaknál, akiknek gyakran változik a munkakörük, szinte alig lehet követni, hogy éppen melyik az a rendszer, amihez van, és melyik az amelyikhez nincs hozzáférésük.”
  • “Vajon biztosak lehetünk-e abban, hogy hogy a szervezetből kilépő volt kollégák már valóban nem tudnak hozzáférni az informatikai rendszereinkhez?”
  • “Felhasználóink nem tudják átlátni, kezelni az azonosítóikat és jelszavaikat, ebből kifolyólag a ránk háruló hatalmas mennyiségű végrehajtandó adminisztrációs feladat következtében már úgy tűnik néha, hogy mi sem...”
  • “És ez a helyzet a komplexitás növekedésével napról napra egyre rosszabb…”
  • “Jelentős erőfeszítéseket kíván az auditorok igényeinek folyamatos kielégítése, és sokszor nem vagyunk biztosak abban, hogy amit prezentálunk, az igaz!”

Ebben az esetben ahhoz, hogy a szervezet teljes erőből az igazán fontos feladataira koncentrálhasson, már konkrét lépésekre, a probléma megfelelő módon történő feloldására van szükség. Vajon milyen megoldás adódik? És ehhez is elegendő-e megint csak az informatikát segítségül hívni?

Személyazonosság felügyeleti rendszer jellemzői

A problémákat nem csak az újabb információk segítségével oldjuk meg, hanem azáltal, hogy rendszerbe foglaljuk azt, amit már régóta tudunk.”

Ahogy a szervezetek egyre több rendszert használnak – például vállalatirányítási, CRM, helpdesk rendszerek, levelezőkiszolgálók, adatbázisok –, egyre összetettebb feladattá válik a felhasználói jogok kezelése. Akár még egy szervezeten belül is elképzelhető, hogy az eltérő szervezeti egységek sok esetben különbözőképpen kérvényezik a felhasználó jogosultságokat és osztják szét az informatikai erőforrásokat. Az informatikai szállítók felismerték a megjelenő piaci igényeket és erre a területre is kínálnak egységesített megoldásokat. A tapasztalat azonban azt mutatja, hogy az alkalmazások bevezetése mellett jelentős szervezetfejlesztéssel kapcsolatos feladatokat is el kell végezni, nem csak a technológia bevezetése elérendő, hanem ki kell alakítani a felhasználói jogosultságok kezeléséhez kapcsolódó részletes folyamatokat is. Tehát nem elég csak az informatikára koncentrálni, a folyamatok kialakítására is energiát kell fordítani. Sőt a bevezetésnél is a több lépcsős modell tűnik a legmegfelelőbbeknek, ahol a rendszerek funkciók, modulok a koncentrikus bővítés elvét betartva, fokozatosan kerülnek alkalmazásba vételre.

A személyazonosság-felügyelet (Identity Management) lényege, hogy minden felhasználó számára meghatározza, a szervezet milyen alkalmazásainak használatára van jogosultsága, milyen adatbázisokhoz, információkhoz férhet hozzá, és ezeket folyamatosan rendelkezésére is bocsátja - de ezzel egy időben az illető jogosultságának határain kívül eső alkalmazásokat teljes mértékben el is zárja. Az adatok, információk így mindig elérhetők a felhasználók számára, de csak addig a határig, ameddig az engedélyezve van. Ezek a rendszerek mindig az aktuális adatokkal rendelkeznek a felügyelt rendszerekből, alkalmazottakról, partnerekről, és akár az ügyfelekről. Előnyük, hogy a szervezeten nyomon követhető a személyazonosságok teljes életciklusa, és a változásokat – például új kolléga érkezése, előléptetés, áthelyezés, szervezet átalakítás – gyorsan és biztonsággal lehet kezelni, felügyelet alatt tartani. A nagymértékűen automatizálható folyamatoknak és a sokoldalú önkiszolgálási lehetőségeknek köszönhetően jelentősen csökkentheti az üzemeltetésre háruló terheket. A személyazonosság felügyeleti rendszerek alkalmazásával a következő problémák szüntethetők meg:

  • A felhasználók időráfordítása, hogy azonosítsák magukat, jelszavaikat gépeljék be a különböző rendszerekbe.
  • A túl sok felhasználói fiók karbantartására fordított idő, és a többféle folyamat a hozzáférés-kezelésére, annak irányítására.
  • Az egyes indentitások jogosultságai nem egységesek, nincs megfelelően kezelve az identitások életciklusa.
  • A használaton kívüli felhasználói fiókok, amelyek magas biztonsági kockázatot jelentenek,
  • az egy személyhez tartozó több digitális identitás.
  • Jogosulatlanok hozzáférése az üzletileg kritikus információhoz.
  • Az újonnan belépő alkalmazottak várakozása a szükséges rendszerek elérésére (pl. akár a levelezéshez).
  • Manuális folyamatok (pl. a felhasználók csoportosításánál és áthelyezésénél).

Fontos tisztázni, hogy pontosan milyen funkcionalitást is várunk el a személyazonosság-kezelő (Identity Management) rendszerektől, ugyanis a funkciók csoportosítása kapcsán összemosódhatnak a határok a hozzáférés kezelő (Access Management), az egy pontos beléptetést biztosító (Single Sign On) rendszerek között.

Jogos funkcionális elvárások egy hatékony személyazonosság felügyeleti rendszerrel kapcsolatosan

A jó kezdet már félsiker”

Ha a növekvő számú alkalmazáshoz, rendszerhez, információforráshoz rendelt hozzáféréseket költséghatékony és biztonságos módon akarjuk kezelni, a szervezetnek személyazonosság felügyeleti infrastruktúrát kell kiépítenie. A kialakítandó rendszerrel kapcsolatosan a következő elvárásokat fogalmazhatjuk meg:

  • Tartalmazza naprakészen a szervezetnél lévő összes alkalmazott és esetleg ügyfél azonosító és leíró adatait.
  • Egy központi adatbázisban tárolja a felhasználókat, a háttéralkalmazások felhasználói adatait, és az ezek közötti kapcsolatokat. Az adatbázis esetében támogassa az elosztottságot (replikációval) és a magas rendelkezésre állást.
  • Képes legyen a meglévő rendszerekhez történő kétirányú adatkapcsolat kialakítására.
  • Legyen képes a jelszavak központosított kezelésére, az alkalmazások felé a jelszószinkronra és biztosítson a vállalati jelszó házirendek betartására könnyen kezelhető felületet.
  • Legyen naprakész. Belső alkalmazottak esetén a naprakészséghez szükséges adatokat leginkább a szervezetnél már meglévő HR rendszer képes nyújtani. Ügyfelek esetén partner- és ügyfélkezelő rendszer - pl. CRM- képes erre.
  • Identity Management rendszerben az adatoknak mindig szinkronban kell lennie a forrásrendszerekkel, ezért képesnek kell lennie folyamatosan a változások kezelésére.
  • Képesnek kell lennie az erőforrások kezelésére: felhasználók felvételére, törlésére, jogosultságaiknak a beállítására.
  • Szabályokat (pl. alkalmazottak e-mailcímeinek kialakítása a vezeték és keresztnévből), és szerepköröket (pl. irodavezető, akinek akár korlátlan jogai lehetnek egy titkárnőhöz képest) lehessen definiálni.
  • Legyen benne munkafolyamatot támogató Workflow rendszer, támogassa a változások követését.
  • Számos operációs rendszerrel és adatbázis-kezelővel képes legyen együttműködni. Maga a rendszer legyen képes mindenféle heterogén környezetben a meglévő jellegzetességekhez alkalmazkodva működni.
  • Egy fejlett Identity Management rendszer rendelkezzen Self-Service szolgáltatással, ahol a felhasználók maguk felügyelhetik a hozzáféréseiket. (ami által megszűnhetnek az elfelejtett jelszavakból adódó problémák, mivel akár saját maguk módosíthatják elfelejtett jelszavukat, illetve kérhetnek hozzáférést a szervezet erőforrásaihoz, és a jóváhagyók engedélyezhetik azt).
  • Biztosítsa az adminisztrációs folyamatok és módosítások részletes és biztonságos naplózását, auditálását.
  • Legyen rugalmas és könnyen továbbfejleszthető, koncentrikus elven bővíthető. A rendszer képes legyen újabb háttéralkalmazások bevonására is.
  • Tartalmazzon olyan fejlesztői készletet, amely az egyedi alkalmazásokhoz történő csatlakozások kialakítását zökkenőmentessé teszi.
  • Tartalmazzon olyan tervező és dokumentációs keretrendszert, amellyel a rendszer működése megtervezhető, dokumentálható és tesztelhető.

Személyazonosság felügyeleti rendszerek bevezetése

A terv csupán elmélet marad, ha nem fajul azonnal kemény munkává”

Tapasztalatok alapján egy személyazonosság felügyeleti rendszert lépésenkénti fokozatosan célszerű bevezetni a rendszer funkciók koncentrikus bővülés elvének betartásával. Koncentrikus, egyre bővülő szakaszonként - önmagában is helytálló, de funkcionálisan fokozatosan bővülő rendszerként.

A koncentrikus bevezetés elve - a lineáristól eltérően - azt jelenti, hogy a többlépcsős bevezetésnél már a kezdő fokozat során a rendszer bevezetésre kerül, az ezt követő fokozatok alkalmával további funkciók bevezetése történik meg, ún. fokozatosan bővülő terjedelemben. Így a rendszer már kezdeti lépcsőfokot követően is működőképes. Erre az alapra épülhet a további fokozatok alkalmával a következő lépcsőkben bevezetésre kerülő koncentrikusan bővülő, szakaszosan gazdagodó funkciókészlet.

A személyazonosság-felügyeleti rendszerek bevezetésénél ez a következők szerint valósulhat meg:

  1. lépcsőfok: központosított azonosság-kezelés kialakítása (folyamatok, technika), hiteles felhasználó adatbázis tervezése, létrehozása, feltöltése.
  2. Lépcsőfok: hozzáférések biztosításának központosítása, felhasználónév és jelszó management.
  3. Lépcsőfok: szerepalapú erőforrás- és jogosultság-kezelés kialakítása.

Mint már említésre került egy személyazonossági felügyeleti rendszer bevezetése során elvégzendő feladatok között szerepeltetni kell a felhasználói jogosultságok kezeléséhez kapcsolódó részletes folyamatok kialakítását is, legalább az alábbi területek fokozott figyelembevételével:

  • Központosított azonosságkezelési folyamat kidolgozása.
  • Az aktuális szervezeten belüli felhasználói kör, az azok kezelését támogató erőforrások, eszközök, tevékenységek, összefüggések, stb. feltérképezése.
  • A nem szervezeten belüli - pl. partnerek, ügyfelek- felhasználók hozzáféréseinek és az azok kezelésére fordított erőforrások meghatározása.
  • Az alkalmazott technológiák és folyamatok pontos meghatározása.
  • A kritikus informatikai rendszerekhez való hozzáférések kezelésével kapcsolatos tevékenységek, erőforrások, stb. meghatározását és azok költség-hatékony biztosításának feltételei.
  • A jogosulatlan hozzáférésekből adódó működési kockázatok üzleti folyamatokra gyakorolt hatásainak elemzése.
  • A szervezet számára fejlesztett ás fejlesztendő alkalmazásokhoz az azonosítás, hitelesítés követelményeinek meghatározását, biztosítva ezáltal az integrálhatóságot.
  • Hozzáférési profilok és workflow alapú jóváhagyási folyamat kialakítása.

Bevezetésből származó konkrét előnyök

  • A produktivitás és a működési hatékonyság növekszik – pl. gyorsul az account létrehozás, módosítás és visszavonás.
  • Csökkenő adminisztrációs és pl. akár helpdesk költségek.
  • Az IT támogatást kap a növekvő üzleti igényeknek való megfelelésben – azaz a terhelése csökken.
  • Bonyolult adminisztrációs folyamatok automatizálása, azonnali hozzáférés az erőforrásokhoz.
  • Biztonsági kockázatok csökkenése.
  • Biztos lehet lenni az előírásoknak való megfelelésben.
  • Az értékes és védett erőforrásokhoz való hozzáférés kezelés költségei csökkennek.
  • A felhasználók webes önkiszolgáló funkció esetén lekérhetik vagy visszaállíthatják a jelszavaikat.