facebook LinkedIN LinkedIN - follow
IT SYSTEMS 5/2015 , ITSM (ITIL) - Řízení IT

Cesta k efektivnímu identity managementu (4. díl)

Provisioning



EvolveumSpráva identit a přístupů (Identity and Access Management, IAM) je relativně široká oblast, složená z množství spolupracujících technologií. Uživatelé informačních systémů se s nimi většinou setkávají jen nepřímo – při přihlašování se do aplikací a práci v nich. Většina společností používá různorodé informační systémy, proto mají uživatelé většinou více účtů a hesel. Pro mnohé aplikace může situaci zjednodušit zavedení technologie pro řízení přístupů (Access Management, AM) a jednotného přihlašování (Single Sign-On, SSO), ale pro aplikace, které není možné takto integrovat, si uživatel nadále musí pamatovat přihlašovací jména a hesla k účtům. V případě zapomenutého hesla musí řešit situaci pomocí helpdesku či administrátorů.


Z pohledu administrátorů je situace při správě účtů ještě složitější. Jejich úlohou je vytvářet, měnit a udržovat účty a přístupová práva jednotlivých pracovníků při jejich nástupu, změnách vlastností, zařazení v organizační struktuře či odchodu pracovníka. Většina těchto činností se dělá stále ručně na základě ústního, telefonického nebo e-mailového požadavku a zvlášť v jednotlivých informačních systémech pomocí jejich nativních administrátorských rozhraní. V důsledku příliš velkého počtu ručních zásahů jednoho nebo několika pracovníků se účty často vytvářejí nebo mění pozdě, nesprávně nebo vůbec. Nejhorší situace může nastat při potřebě okamžitého zrušení přístupu k účtům, například v případě okamžité výpovědi. Tehdy může nečinnost nebo chyba administrátora umožnit už bývalému pracovníkovi způsobit obrovské škody společnosti. Proto tak, jak uživatelé potřebují a oceňují řízení přístupů, administrátoři potřebují na správu účtů vhodné řešení, a tím je provisioning systém, který je základním prvkem fungování nástroje pro řízení identit.

Mnozí administrátoři používají na vytváření či změny účtů v konkrétních systémech vlastní poloautomatická řešení založená na skriptech. Tato řešení pomáhají, ale téměř nikdy nepokrývají všechny systémy ani všechny události, a zejména neumožňují reagovat na vzniklé situace okamžitě (vyžaduje se ruční spuštění skriptu). Úlohou provisioning systému je spravovat účty a jejich přístupová práva ve všech systémech nejen na základě požadavku administrátora, ale i automaticky při změnách v autoritativních zdrojích údajů, například v personalistickém systému nebo databázi zákazníků. Při automatické pravidelné synchronizaci se vytvoří identita v provisioning systému, adresářovém systému pro řízení přístupů a v ostatních informačních systémech a přidělí se příslušná přístupová práva podle připravených politik. Provisioning systém si navíc uchovává informace o tom, které účty patří kterému pracovníkovi, takže vytváří globální pohled na identitu pracovníka ve všech systémech. Při odchodu pracovníka je proto možné zablokovat nebo zrušit přístupy na jediném místě – v provisioning systému a synchronizovat změny do informačních systémů.

EvolveumSynchronizace samozřejmě umožňuje i transformaci údajů na základě pravidel, například vygenerování unikátního přihlašovacího jména či e-mailové adresy na základě osobního čísla, příjmení a podobně nebo odstranění diakritiky pro některé atributy. Údaje o uživatelích jsou tak konzistentní ve všech připojených systémech.

Zajímavým příspěvkem provisioning systému do podnikové infrastruktury je možnost samoobslužného rozhraní, kdy si uživatel může na jednom místě změnit heslo pro kterýkoli účet, požádat o přístup do nového systému či vykonat přímou změnu předem definovaných atributů. Sníží se tím zatížení administrátorů, kteří se namísto neustálé správy účtů a přístupových pravidel mohou věnovat smysluplnější práci.

Technologický princip činnosti provisioning systému je velmi jednoduchý. Jeho jádrem je systém pravidel a politik na synchronizaci a transformaci údajů, které synchronizuje jednosměrně nebo obousměrně mezi připojenými zdrojovými a cílovými aplikacemi pomocí tzv. konektorů. Konektory jsou malé „pluginy“ zabezpečující komunikaci mezi provisioning systémem a aplikačním rozhraním na správu účtů na straně aplikace. Pro mnohé systémy existují hotové konektory, pro jiné je možné je vytvořit. Zjednodušeně je možné říci, že když na správu účtů v aplikaci existuje administrátorem využitelné vzdálené rozhraní, s velkou pravděpodobností ho bude možné použít pro konektor. To platí i pro proprietární (lokální/uzavřené) aplikace, pro které existuje dokumentace k takovémuto rozhraní. Jelikož konektory umožňují přímý přístup přes vzdálené rozhraní, změny se uskutečňují téměř okamžitě. Dobrý provisioning systém je navíc neinvazivní, nezabraňuje používání nativních nástrojů na správu aplikací, nekoliduje s nimi a většinou nevyžaduje ani instalaci žádných komponent na straně aplikací.

Provisioning systém vhodně doplňuje technologie pro řízení přístupů a adresářovou službu. Jejich vzájemným propojením vzniká synergický efekt, kdy provisioning systém umožňuje spravovat nejen účty v centrální adresářové službě, ale i ve všech ostatních aplikacích. Současně se provisioning systém může stát součástí řízení přístupů, kdy se pro přihlášení administrátorů respektive uživatelů do samoobslužné části provisioning systému může využít SSO.

Ing. Ivan Noris, Evolveum Ing. Ivan Noris
Autor pracuje ve společnosti Evolveum na pozici Senior Identity Engineer, Senior Tester. Vystudoval obor Informatika na Slovenské technické univerzitě v Bratislavě. V současnosti pracuje ve společnosti Evolveum na pozici Senior Identity Engineer a Senior Tester. Věnuje se zejména testování a konfiguraci systému midPoint, který je nejrozsáhlejším volně dostupným open source systémem pro správu identit, konfigurace a nasazování řešení na správu uživatelů.
 
Spoluautor Stanislav Grünfeld, MBA
působí ve společností AMI Praha jako ředitel realizace a je zodpovědný za projekty v oblasti identity managementu.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.