Voľba vhodného Identity Managera (ďalej len IdM) je pre záujemcov jedným z kľúčových úkonov. Každý, kto sa zaujíma o bezpečnosť svojich zdrojov - účtov i aplikácií, automatizáciu procesov, delegáciu oprávnenie schvaľovanie, centralizáciu systémov či evidenciu, chce pre seba či firmu vybrať ten najvhodnejší IdM, ktorý je na trhu k dostaniu. Rôzne firmy aj jednotlivci potrebujú a vyhľadávajú odlišné spektrum vlastností, a preto sa potom na základe ich preferencií líši postup a zohľadnenie produktu IdM - tie sa totiž medzi sebou líšia na základe zamerania i filozofie.
Po ktorých vlastnostiach sa pýtať? Tak ako by sa mali odlišovať výrobky, aj IdM sú rozdielne na základe vlastností a funkcií. Medzi Identity Manager je možné vyberať na základe toho, pre koho sú určené aj na základe ich procesov. Pri výbere je napríklad dobré zohľadniť licenciu, výkonnosť i rýchlosť a samozrejme aj "upgradovateľnosť".
Dodávateľ je kľúčové
Ešte, než začneme zmieňovať samotné prvky, ako je licencia alebo kvalitný kód, je dobré si uvedomiť, že medzi zásadné veci patrí výber dodávateľa. Chcete produkt zo zahraničia, alebo z Česka? Chcete takého dodávateľa, ktorý je zároveň aj Vendor IdM? Premýšľate nad tým, či zvoliť dodávateľa na kľúč, či máte v pláne riešenie realizovať sami?
Zdroj: Azamat E / Unsplash.com
"Ak si vyberiete kvalitný IdM produkt, ktorý bude" vykúpený "nedostatočne kvalitným tímom, vyhrané mať nebudete. Pri výbere je dobré brať do úvahy aj samotný tím, ktorý bude mať IdM na starosť. V ideálnom prípade by ste sa mali opýtať po implementáciu Identity Managera priamo na vaše prostredie - nechajte ich, nech vám ukážu, v čom konkrétne vám IDM pomôže. Nechajte dodávateľa, nech vám na základe vašich potrieb navrhne riešenie," upozorňuje Lukáš Cirkva, partner a riaditeľ v spoločnosti BCV solutions s.r.o.
Všeobecne v mnohých prípadoch platilo, čím viac funkcií, tým lepšie. Aj dnes sa týmto heslom niektorí užívatelia riadi. Porovnať produkty IdM medzi sebou je pre experta veľmi ťažké, v podstate nemožné. Dôvodom je rozsah funkcií a spôsob ich využitia, o ktorom rozhoduje implementačnej tím.
"Predtým boli IdM rozsiahlymi nástrojmi funkcií pre implementačné tím, ktorý mal za úlohu vytvoriť z produktu cestou veľkých úprav riešenia na mieru. Tieto IdM nebolo možné v základe používať, veľa bolo treba dorobiť. Organizácia museli byť veľké - inak by hrozilo, že sa investícia do podobnej implementácie jednoducho nevráti, "uvádza Lukáš Cirkva.
IdMka posúvajú mnoho funkcií od programátorov do GUI pre adminov. Aby aj admin mohol čo najviac funkcií urobiť sám, napríklad ľahko pripojiť spravovaný systém. Nástroje IdM sú jednoduchšie, intuitívnejšie, ľahšie ovládateľné a rýchlejšie nasaditeľné. Radšej menej funkcií, ktoré sú však zrozumiteľné a ľahko použiteľné.
Otázka ohľadom toho, kto bude s Identity Managerom pracovať, patria medzi kľúčové rozhodnutie a súvisí viacmenej s bodom vyššie. Ako bolo spomínané, IdM boli predtým veľmi zložité integračné nástroje - dnešný Identity Manager sa snaží využívať štandardné funkcie, ktoré zvláda ovládať samotný administrátor, a to bez využívania implementátorov. Kto bude s Identity Managerom pracovať? Budú to užívatelia? Či má byť IdM určený pre administrátorov? Alebo je v pláne mať IdM ako infraštruktúrny softvér, ktorý pracuje na pozadí, a teda ho budú mať vďaka početnosti transformáciou na starosti samotní programátori? Tieto otázky je nutné si zodpovedať.
Do troch základných skupín používateľských účtov sa radí zákazníci, zamestnanci a dodávatelia. Pre každú skupinu sa uplatňujú rozdielne IdM procesy. Príkladom možno uviesť proces nástupu zamestnanca, tj. Vzniku pracovného úväzku. Valná väčšina IdM je uspôsobená zamestnaneckým účtom - moderné IdM majú ale aj špecializované funkcie pre správu privilegovaných účtov PIM, ktoré umožňujú dočasné odovzdanie hesiel.
● Identita zamestnancov zvyčajne vzniká a zaniká na základe zmluvného úväzku, ktorá sa zvyčajne vykonáva personálnym oddelením, kde ju načítajú do IDM, či vykonajú zmenu. IdM musím vedieť riešiť aj viac pracovnoprávnych úväzku zamestnanca v jednej organizácii.
● Pre vznik identity u externistov (dodávateľov, študentov, zákazníkov) je možné používať webové rozhranie IdM. Externistov do systémov často pristupujú pomocou VPN, pričom sa zvyčajne využívajú certifikáty.
● Účty aplikácií či administrátorské účty - teda tie účty patriace do skupiny technických a servisných, zvyčajne nesmie zaniknúť po odchode jednotlivých zamestnancov. Nie je možné na ne aplikovať personálne procesy, majú vlastnú agendu procesov. V rámci IdM možno riešiť napríklad agendu odovzdávanie jednotlivých hesiel k aplikáciám či účtom.
● Privilegované účty (PIM) sú určené napr. Pre administrátorov vo Windows.
Úloha aneb RBAC, a teda Role-Based Access Control, je funkčný mechanizmus IdM. Značí získanie konkrétnych povolenia a oprávnenia pre pohyb v systéme. Rozlišujú sa úlohy aplikačné, prístupové, biznis role a role podľa typu priradenia (automatické a manuálne pr
ováděné). "Je nevyhnutné vziať do úvahy, aké účty má v rámci firmy zmysel zriaďovať a následne aj spravovať. Všetko je potom tiež otázkou času a samozrejme aj otázkou finančných prostriedkov, "upozorňuje Lukáš cirkvami, partner a riaditeľ v spoločnosti BCV solutions s.r.o.
Procesy v rámci Identity Managementu reprezentujú sledy udalostí v rámci konkrétnej identity - sledujú vstupy užívateľov, synchronizáciu i workflow. V rámci procesov možno rozlišovať niekoľko základných, a to personálne (zmeny pracovného pomeru, zmeny popisných atribútov, zmeny v organizačnom zaradenia) automatické (týkajúce sa systémové synchronizácia) a ručné zásahy (žiadosti o prístupy v rámci GUI, VPN a ďalšie). V rámci procesov je dôležité sa pýtať po štandardných personálnych procesoch a žiadostiach ohľadom schvaľovania. Sledujte schémy jednotlivých procesov - či zodpovedajú vašim nárokom a požiadavkám. Moderné IdM by mal byť a zvyčajne tiež je - zrozumiteľný. Všetko by malo byť užívateľsky prívetivé, jednoduché a rýchle - s tým súvisí aj odozva web GUI, ktorá musí byť takmer okamžitá. Je preto dobré venovať dostatočné množstvo času testovania webového užívateľského rozhrania.
Voľba licencie je taktiež dôležitým rozhodnutím. Opensource licencie poskytuje užívateľom, respektíve klientom, slobodu, zároveň je dôležité si uvedomiť, že voľba opensource či closesource licencie nesúvisí s aplikovateľnosťou a kvalitou IdM. Ani jedna z nich nie je horší či lepší. Pýtajte sa preto na to, ako je vaša dopytované licencie obmedzená, a aké služby ponúka dodávateľ. Zároveň je však vhodné sa poradiť so svojím právnikom. Upgradovateľnosť svedčí o skutočnosti, či je IdM moderné alebo nie. Prebieha upgrade raz za rok? Vychádza vôbec novej verzie? Koľko stojí upgrade Identity Managera? Ako veľmi je kvalitný kód, je vhodné preveriť vo chvíli, keď sa bude IdM implementovať a upravovať tímom vývojárov vo vašej firme. To, ako spoznať kvalitný kód, možno na základe mnohých parametrov, ako je napríklad: dokumentácia kódu - kvalitná je známkou kvalitného programu, kvality rozhranie, upgradovateľnosť, čitateľnosti a ďalších.
"Pri výbere IdM sa miesto všemožných funkciou preto zamerajte skôr na dodávateľa a riešení vašich úloh. S výberom neponáhľajte - systémy IdM sú určené na dlhodobé používanie a zároveň je vhodné odporučiť spracovanie malého testovacieho projektu. Dbajte na to, ktoré systémy IdM podporuje, akú má IdM dokumentáciu a ktoré procesy umožňuje, "uzatvára Lukáš Cirkva, partner a riaditeľ v spoločnosti BCV solutions s.r.o.
Zdroj: BCV solutions
