Co je identity management?

Identity management je aplikace určená pro centrální správu uživatelských účtů v organizaci, popřípadě i mimo organizaci u partnerů nebo v cloudu. Základními benefity jsou zvýšení bezpečnosti díky vynucení pravidel, auditování změn účtů a automatizace procesů spjatých s životním cyklem identit. V principu je identity management vhodný pro organizace, které mají více uživatelských účtů, koncových systémů nebo podléhají regulacím (zejména legislativním požadavkům). V praxi jsme se setkali s řešeními nasazenými v nejrůznějších oborech – v energetice, bankách, středně velkých firmách, ve státní správě, na univerzitách atd.

Nezbytnou součástí řízení identit je i správa rolí a oprávnění. Zvláště ve větších organizacích je někdy vhodné využít i specializovaného analytického nástroje zvaného role management, který slouží pro modelování business rolí skládajících se z více drobných oprávnění. To pak umožňuje poskládat model rolí z menšího počtu entit a učinit jej flexibilní vůči organizačním změnám, protože role je primárně určena pro organizační uzel či proces, který je dle potřeb vyplňován uživateli.

Příklad z praxe

Pojďme si na příkladu ukázat přínosy nástrojů identity managementu. Velká společnost z finančního sektoru si na identity managementu pochvaluje nejvíce to, že noví zaměstnanci nemusí začátek své kariéry trávit neproduktivním čekáním na IT oddělení, až jim vytvoří potřebné přístupy, ale vše mají dopředu připraveno díky centrální správě identit. Část přístupů a oprávnění je možné automatizovat dle organizační struktury či procesů, o zbytek se zažádá v prostředí identity managementu. Výhodou možnosti přímé žádosti je, že neexistuje prodleva mezi schválenou žádostí a vlastní exekucí (tzv. provisioning účtu). Kdo má zkušenost z organizace, kde funguje klasický helpdesk či service desk, ví, o čem mluvíme. Žádost se nějakou dobu schvaluje (to je stejné i v identity managementu) a pak se zase čeká, až správce přístupy přidělí. V identity managementu je druhá část popsaného procesu okamžitá.

Standardy a protokoly

Podívejme se na některé internetové standardy a protokoly související s identity managementem a autentizací. Vzpomeňme nejprve standard SPML, který měl snahu sjednotit základní rozhraní enterprise aplikací pro správu účtů. V praxi jsme se ale s uplatněním SPML příliš nesetkali, používá se spíše jako protokol pro komunikaci mezi komponentami samotného identity managementu. Zato snahy o standardizaci rozhraní pro řízení účtů a oprávnění v cloudu mají vyšší naději na úspěch než na enterprise úrovni, kde je heterogenita systémů přece jen vyšší. Svou roli hraje i to, že moderní webové aplikace často vznikají na zelené louce, a mají tak možnost implementovat standardní rozhraní již od návrhu. V oblasti internetového provisioningu se slibně rozvíjí například protokol SCIM (System for Cross-domain Identity Management) založený na REST API. Zatím je to docela mladý standard, ale počet implementací i funkcí stále roste. Na standardu spolupracují firmy Google, Salesforce.com, Ping Identity, Cisco, Sailpoint, CA a další.

Neměli bychom zapomenout ani na to, že se prosazují internetové standardy nezávislé na klasickém pojetí distribuovaného identity managementu. Mluvíme o standardech OpenID a OAuth, které si již našly cestu k mnoha poskytovatelům SaaS – zvláště do sociálních sítí, kde je logicky obrovská základna vhodného materiálu, uživatelů. Zmíněné standardy nemají vlastně s identity managementem přímo nic moc společného, jde primárně o mechanismy autentizace či autorizace, ale jednoduché požadavky na řízení účtů splnit mohou.

Pokud využijeme veřejného nebo i vlastního poskytovatele OpenID/OAuth identity, můžeme se pak touto identitou bezpečně autentizovat i do jiných napojených služeb. Uživatelé si typicky mohou u poskytovatele identity sami definovat míru sdílení dat s ostatními službami (e-mail, kontakty, role). Cílová služba pak může na základě přihlášení uživatele a doptání údajů třeba přes OAuth, získat dostatek informací k založení svého vlastního účtu. Jde však o specifické uplatnění se silnou závislostí na dostupnosti centrálního prvku, kde vzniká riziko „single point of failure“.

Trendy

V dnešní době se nákup IT služeb stále více odehrává mimo klasické hranice IT infrastruktury organizace. Několik příkladů: marketingové oddělení spustí extranetový portál pro zákazníky, management společnosti začne používat mobilní platformu pro reporting výkonnosti podniku a výroba nakoupí cloudovou službu pro rezervaci zdrojů. Ve všech případech je to ale nakonec práce a zodpovědnost IT oddělení, aby zajistilo, že nové služby splní firemní politiku a nezanesou bezpečností riziko. Jedním z nezbytných důsledků tohoto vývoje je, že business musí přijmout více odpovědnosti za udržení bezpečnosti v aplikacích, které sám iniciuje. Ve světě identity managementu jsou to procesy certifikace/atestace přiřazených účtů a rolí, definování pravidel „segregation of duties“ a u větších organizací může jít o modelování a schvalování business rolí. Tyto požadavky jsou navíc stále přísněji vynucovány regulačními normami či auditory. Výrobci identity managementu těmto požadavkům jdou vstříc – nejsou výjimkou řešení s připraveným API pro integraci s mobilními platformami. Odbourávání tlustých klientů, modernizace a přívětivost dříve strohých grafických rozhraní jsou samozřejmostí. Manažer tak může rychle ze svého osobního smartphonu (BYOD) schválit přidělení rolí zaměstnanci nebo si zobrazit report s přístupy dodavatelů k aplikacím.

Kromě většího zaměření na frontend je zjevná snaha výrobců rozšiřovat klasický identity management o funkce v oblasti analýzy rolí (role management) či analýzy využití přidělených oprávnění v aplikacích. Někteří výrobci již přijali trend a tyto nástroje přímo slučují s aplikacemi identity managementu, jiní je stále vyvíjejí a licencují jako oddělené produkty. Jde o logické spojení analýzy a exekuce v oblasti identit a jejich oprávnění. V budoucnu se možná dočkáme i dalšího sjednocování s produkty access managementu a SSO.

Jak bude vypadat identity management za pár let

Jak jsme již zmínili v úvodu článku, soudobým hybatelem vývoje identity managementu jsou cloudové služby ve formátu SaaS. Situaci lze trochu přirovnat ke stavu v enterprise IT před pěti až sedmi lety – velký počet aplikací, ve kterých probíhá neefektivní správa uživatelů, jejich oprávnění a hesel. Je zde však patrný i určitý rozdíl – internetové služby jsou, co se technologií týče, více uniformní než typický „on premise“ software. To umožňuje rychlý vývoj konektorů pro klasický enterprise identity management, a tak dnes společnosti, které disponují vlastním identity managementem, nemají problém své účty spravovat i v externím prostředí. To asi není nijak překvapivá informace. Představme si ale společnost bez vlastního identity managementu a s aplikacemi masivně outsourcovanými v cloudu, jak a čím řídit účty? Když pomineme variantu řídit své cloudové aplikace z „on premise“ identity managementu, což je v dnešní době stále jasná první volba (zvláště v ČR), existují i další možnosti.

Revoluční myšlenkou je účty a oprávnění v cloudových službách řídit výhradně z veřejného cloudového IdM nástroje. Konzervativnější bezpečáci jistě zbystří nad vysokou koncentrací citlivých dat a pravomocí uložených u externího provozovatele. Společně s poměrně malou rozšířeností cloudových služeb v našich končinách, je otázka bezpečnosti asi největším blokem pro širší zavádění samotných aplikací identity managementu formou SaaS.

Přikláníme se k názoru, že bezpečnostní aplikace půjdou masivně do cloudu jako jedny z posledních. Dokážeme si představit společnosti, které by již dnes využili čistě cloudový identity management pro správu svých cloudových aplikací. Zkrátka proto, že taková společnost žádné interní systémy nemá nebo mít nechce. Poptávce po identity managementu v čisté variantě SaaS již dnes umí vyhovět první společnosti, které nabízejí konektory až k desítkám nejpoužívanějších webových aplikací. Jmenujme například firmu Ping Identity nebo Symplified jako zástupce oboru. Ani klasičtí výrobci identity managementu nezůstávají pozadu a nabízejí vedle „on premise“ identity managementu i cloudová řešení (většinou s omezenou funkcionalitou) hostovaná ve vlastním cloudu daného výrobce nebo jeho partnerů.

Závěr

Identity management se dnes soustředí hlavně na integraci příbuzných bezpečnostních a analytických produktů do jediného rozhraní, které je přístupné jak v klasickém webovém prohlížeči, tak i v mobilním zařízení. Výrobci tím sledují cestu většího zapojení zaměstnanců mimo IT do procesů identity managementu, protože stále více podnikového softwaru je pořizováno jako služba mimo hranice IT oddělení. V oblasti cloudu se identity management dotahuje na velký boom aplikací SaaS, přičemž klasické pojetí distribuce účtů soupeří s centralizovanými poskytovateli identit využívajícími standardy OpenID a OAuth. AMI Praha je jednou ze společností, která je schopná svým zákazníkům pomoci s výběrem a nasazením řešení pro identity management. Nechme se překvapit, zda se v blízké budoucnosti podaří výrazněji prosadit některému z nástrojů poskytovaných formou SaaS. To by byla v oboru skutečná revoluce.

Martin Lízner