- Přehledy IS
- APS (25)
- BPM - procesní řízení (23)
- Cloud computing (IaaS) (10)
- Cloud computing (SaaS) (30)
- CRM (51)
- DMS/ECM - správa dokumentů (19)
- EAM (17)
- Ekonomické systémy (68)
- ERP (87)
- HRM (28)
- ITSM (6)
- MES (33)
- Řízení výroby (36)
- WMS (28)
- Dodavatelé IT služeb a řešení
- Datová centra (25)
- Dodavatelé CAD/CAM/PLM/BIM... (40)
- Dodavatelé CRM (37)
- Dodavatelé DW-BI (50)
- Dodavatelé ERP (63)
- Informační bezpečnost (43)
- IT řešení pro logistiku (48)
- IT řešení pro stavebnictví (26)
- Řešení pro veřejný a státní sektor (27)
CRM systémy
Plánování a řízení výroby
AI a Business Intelligence
DMS/ECM - Správa dokumentů
HRM/HCM - Řízení lidských zdrojů
EAM/CMMS - Správa majetku a údržby
Účetní a ekonomické systémy
ITSM (ITIL) - Řízení IT
Cloud a virtualizace IT
IT Security
Logistika, řízení skladů, WMS
IT právo
GIS - geografické informační systémy
Projektové řízení
Trendy ICT
E-commerce B2B/B2C
CAD/CAM/CAE/PLM/3D tisk
Přihlaste se k odběru zpravodaje SystemNEWS na LinkedIn, který každý týden přináší výběr článků z oblasti podnikové informatiky | ||
Cesta k efektivnímu identity managementu (3. díl)
Řízení přístupů
Správa identit a přístupů (Identity and Access Management, IAM) je relativně široká oblast, složená z mnoha spolupracujících technologií. Jedna z nich však silně vystupuje do popředí: řízení přístupů (Access Management, AM). Není to proto, že by byla důležitější než ostatní. Ale na rozdíl od ostatních IAM technologií, které si pokojně žijí někde v pozadí informační infrastruktury, technologie na řízení přístupů vstupují uživateli přímo do cesty. Do této skupiny patří zejména technologie jednotného přihlašování (Single Sign On, SSO) a částečně i různé autentizační a autorizační technologie. Pokud se nemůžete přihlásit do informačního systému, může za to zřejmě některá z komponent, o kterých je tento článek.
V tradičních aplikacích si většinou autentizaci, autorizaci a podobné bezpečnostní mechanismy implementuje každá aplikace samostatně. Tento přístup je zjevným plýtváním zdrojů, jelikož provozovatel musí platit za tu samou funkcionalitu několikrát – a to nejen za její vývoj, ale i za její konfiguraci a provoz. Navíc jednotlivé aplikace o sobě navzájem nevědí a uživatel se musí přihlásit do každé aplikace zvlášť. Řešením právě těchto problémů se zabývají technologie správy přístupů.
Zjednodušeně by se dalo říci, že základním principem řízení přístupů je oddělení autentizace uživatele od aplikací. Přihlášení (autentizace) uživatele v tomto případě zabezpečuje centralizovaná komponenta většinou označovaná jako SSO nebo AM server. Ta zabezpečí, aby uživatel nemusel zadávat svoje přihlašovací údaje pro každou aplikaci zvlášť, ale jen při prvním přístupu k některé z integrovaných aplikací.
Proces jednotného přihlášení zabezpečovaný centrálním autentizačním serverem by se dal popsat následovně. V případě prvního přístupu k aplikaci je uživatel přesměrován na SSO server, kde se pomocí svých přihlašovacích údajů autentizuje. Po úspěšném přihlášení je následovně přesměrován zpět na aplikaci spolu s „tokenem“ obsahujícím informace o přihlášení uživatele. V případě, že se tento uživatel rozhodne přistoupit k jiné aplikaci, je znovu přesměrovaný na SSO server. Nyní už SSO server ví, že uživatel byl autentizován a je okamžitě přesměrován zpět na aplikaci, která na základě existujícího „tokenu“ umožní uživateli přístup. Dokud se uživatel neodhlásí z některé aplikace nebo nepřekročí definovaný čas nečinnosti, může pracovat s aplikací bez nutnosti opětovného přihlášení.
Částečně může SSO server zabezpečit i autorizaci. Granularita této autorizace je většinou jen na úrovni povolení/zamítnutí přístupu úspěšně autentizovaného uživatele k dané aplikaci. O jemnější granularitě autorizací, jako je například oprávnění vykonávat konkrétní akci nebo možnost zobrazit určitý prvek v menu, už rozhoduje každá aplikace samostatně.
Tento jednoduchý princip má svoje výhody. Mezi nejvýraznější z nich patří flexibilita. Představme si, že se změní bezpečnostní požadavky na autentizaci. Zatímco v případě klasického řešení je potřebné upravovat každou aplikaci zvlášť, při využití jednotného přihlášení stačí pouze změnit způsob autentifikace na straně SSO serveru. Kromě toho SSO server může vyhodnotit odkud a v jakém čase se uživatel přihlašuje, porovnat to s předcházejícími přístupy a vynutit silnější autentifikaci, pokud se jeho zvyky najednou změní. Ať už jde o změnu bezpečnostní politiky, globální autorizace nebo je potřebná implementace dvoufaktorové autentizace, všeho se dá dosáhnout jen změnou SSO serveru bez zásahu do aplikací.
Z dlouhodobého hlediska správa přístupů šetří nemalé prostředky, přesto nemůžeme zapomínat, že i to má svou cenu. Menší část celkové ceny projektu představuje nasazení a přizpůsobení samotného SSO serveru, tu větší potom integrace jednotlivých aplikací. Aplikace, které mají být součástí řešení, je potřebné přizpůsobit a to modifikovat nebo překonfigurovat jejich nativní autenzizační mechanismus. Cena těchto modifikací, potřebného testování a organizačních nákladů často několikanásobně převýší cenu SSO serveru.
Při nasazování systémů řízení přístupů je tu však jeden kritický moment a tím je potřeba spolehlivé centrální databáze uživatelů. Tento požadavek se zdá být triviální, ale ve většině případů je to obrovský problém. Přesto, že množství aplikací umožňuje jednoduché připojení na systémy řízení přístupů, častokrát používají své databáze uživatelů a velmi často používají různé identifikátory pro stejné uživatele. Proto je nepravděpodobné, že by bylo možné nasadit technologie řízení přístupu přímo na existující informační systém bez předcházející přípravy.
Nasazení systému na řízení přístupů proto předchází nasazení systému na správu identit (IdM). IdM systém je využit právě na unifikaci databází uživatelů jednotlivých aplikací a vytvoření centrální databáze, většinou reprezentované adresářovým systémem. Po „uklizení“ identit je možné nasadit systém pro správu přístupů.
Produktů na řízení přístupů je mnoho. Jsou to nákladné komerční produkty, dostupné produkty s otevřeným zdrojovým kódem, jednoduché i přespříliš komplikované produkty a téměř každý zákazník si najde to svoje. Problémem je však jejich vzájemná kompatibilita a proto je potřebné vybírat produkt velmi zodpovědně. V neposlední řadě je důležité si uvědomit celkové náklady nasazení systému na správu přístupů. Jak už bylo řečeno, ty se váží zejména na poznání současného stavu, potřebu unifikace databází jednotlivých aplikací, potřebu vytvoření centrální databáze a potřebu přizpůsobit autentizační mechanismy připojených aplikací.
Technologie řízení přístupu jsou pověstnou špičkou ledovce v IAM řešení. Jednotné přihlášení, centrální vynucování autentizačních politik a další vlastnosti těchto technologií jsou tím, co běžný člověk (ne zcela správně) vnímá pod názvem „správa identit“. Aby tato špička ledovce dokázala efektivně plnit svůj účel, jsou potřebné i další technologie, které jsou skryté pod hladinou vnímání běžného uživatele. Proto, pokud chcete efektivně implementovat tyto technologie, je vhodné požádat o pomoc zkušeného odborníka s širokým přehledem v celé IAM oblasti.
Ing. Radovan Semančík, PhD. Autor pracuje ve společnosti Evolveum na pozici softwarového architekta a specialisty na správu identit. Navrhoval jedno z prvních řešení správy identit ve střední Evropě a podílel se na návrhu a nasazení mnoha komplexních řešení v oblasti správy identit. Momentálně věnuje většinu svého času vedením projektu midPoint, který je nejrozsáhlejším volně dostupným open source systémem pro správu identit. |
|
Ing. Katarína Valaliková Autorka pracuje ve společnosti Evolveum na pozici softwarového vývojáře a specialisty na správu identit. Většinu svého času investuje do vývoje systému midPoint. Kromě toho se věnuje nasazování systémů zabezpečujících jednotné přihlášení. |
|
Spoluautor Stanislav Grünfeld, MBA působí ve společností AMI Praha jako ředitel realizace a je zodpovědný za projekty v oblasti identity managementu. |
listopad - 2024 | ||||||
Po | Út | St | Čt | Pá | So | Ne |
1 | 2 | 3 | ||||
4 | 5 | 6 | 7 | 8 | 9 | 10 |
11 | 12 | 13 | 14 | 15 | 16 | 17 |
18 | 19 | 20 | 21 | 22 | 23 | 24 |
25 | 26 | 27 | 28 | 29 | 30 | 1 |
2 | 3 | 4 | 5 | 6 | 7 | 8 |
31.3. | HANNOVER MESSE 2025 |
Formulář pro přidání akce
4.12. | Arrow ISV Konference 2024 |
11.12. | Webinář: Dodržování směrnic, compliance, QMS |