Novinky

Více než 30 IDM realizací v České republice i zahraničí

AMI Praha Očima projekťáka: Jak jsem poznal Identity management pro velké ryby
Očima projekťáka: Jak jsem poznal Identity management pro velké ryby

Očima projekťáka: Jak jsem poznal Identity management pro velké ryby

Ačkoliv se v oblasti informačních technologií pohybuji nějaký ten rok, stále zjišťuji, že bych potřeboval několik životů na to, abych se vyznal ve všech oblastech, které dnes pokrývá. V AMI Praha jsem měl možnost poznat zajímavou oblast správy identity, kterou bych dříve považoval pro IT za okrajovou. Ale po získaných zkušenostech mohu potvrdit, že identity si zaslouží své pevné místo ve světě IT.

Pokud pracujete v menších firmách, kde se obvykle všichni znáte křestním jménem a už jste spolu byli minimálně jednou na pivu, potřebu správy a řízení identit asi tolik nepocítíte. V případě, že jste na opačném pólu firemního řetězce, to znamená máte velké množství zaměstnanců nebo externistů a širokou škálu heterogenních informačních systémů máte najednou úplně jiné potřeby. Do společnosti přijde nebo naopak odejde zaměstnanec a jeho správné vy/začlenění stojí nemalé lidské a časové úsilí. Nehledě na fakt, že nemáte ani přehled o svých zaměstnancích z pohledu přístupů a oprávnění k jednotlivým systémům a celková evidence a dohledatelnost jakékoliv informace je složitá či dokonce nemožná. Není to náhodou neefektivní a neekonomické? Pokud si na tuto otázku odpovíte ano, tak vítejte ve světě identity managementu (dále jen IdM).

Já osobně si myslím, že nejlépe se člověk učí praktickým příkladem. Měl jsem tu možnost být součástí projektu, který implementoval IdM ve velké společnosti s počtem zaměstnanců v řádech tisíců. Právě tato praktická zkušenost mi otevřela bránu do světa IdM.

Co je tedy nástroj IdM a čím upoutal moji pozornost?

IdM je vlastně další (integrační) systém, ke kterému je nutné přistupovat stejně jako k jakémukoliv jinému informačnímu systému, který zavádíte do své infrastruktury.

První věc, která mě zaujala při implementaci IdM , bylo velké množství lidí obsazených do různých rolí, kteří se na projektu takového typu objevili. Vše začíná u architekta, který musí nejen znát celou infrastrukturu do které nástroj identity management bude zasazen, ale musí také umět navrhnout správný integrační postup. Vše, co se týká identit a rolí je vždy také otázkou bezpečnosti v souladu s procesy a pravidly společnosti a proto je pracovník oddělení bezpečnosti nedílnou součástí týmu. V neposlední řadě do projektu zasáhnou administrátoři neboli správci IdM. Pracují s ním dnes a denně a často mají podnětné připomínky, neboť znají návazné systémy a problémy z každodenní praxe. A pak tu máme velký počet technických pracovníků od síťařů po správce databází, operačních systémů, bází SAPu apod.

Důležitou otázkou při nasazení IdM  je rozsah jeho použití. Pokud jej využijete pouze na změnu hesla, jeho správa nebude tak náročná, jako když budete vytvářet, přidělovat a schvalovat role apod. Na náročnost správy má také vliv množství napojených systémů. S rozšířením portfolia služeb, které IdM nabízí zjistíte, že na správu takového systému potřebujete několik lidských zdrojů. A to nemluvím o situaci kdy propojíte IdM s jinými management nástroji. Navýšení kapacit na správu nemusí nikoho vystrašit, protože zavedením IdM mnoho kapacit ušetříte.

Nasazení IdM ve velké organizaci

Vraťme se, ale zpět k mojí zkušenosti z reálného projektu. Po nasazení se zjistilo, že ne úplně vše je ideální a existují specifické požadavky, které IdM out-of-the-box nenabízí. Není se čeho bát většina IdM nástrojů nabízí možnost vlastní úpravy, je schopna využívat mnoho databázových platforem a podporuje řadu standardů. Při vývoji většinou využijete nějaký vyšší programovací jazyk s pomocí XML.

Praxe nasazení identity managementu ve velkých organizací ukazuje, že správa oprávnění v koncových systémech je nedílnou součástí správy identit. Ano, to je pravda, ale většinou tomuto kroku předchází jiné aktivity, které organizace zavádí s pomocí IdM. Na začátku je nutné do IdM nějakým způsobem synchronizovat identity z již existující infrastruktury. Cílem je tedy synchronizace nejlépe z HR systému, který má v ideálním případě, ten nejaktuálnější stav všech identit ve společnosti. Jakmile máme identity v IdM můžeme začít kouzlit. První trik, který nám IdM nabízí je změna hesla, která se automaticky propaguje do napojených systémů. Pak přichází na řadu práce s oprávněními v jednotlivých systémech. Zde se často zavádí vysoká míra automatizace, která dokáže velmi flexibilně reagovat na organizační změny ve společnosti.

Samostatnou kapitolou je napojení systémů, které jsou s IdM v nějaké interakci. Výrobci IdM často nabízejí širokou škálu různých konektorů. V případě, že konektor pro daný systém neexistuje nebo není na danou verzi certifikován máte většinou možnost ho dodělat. Složitost napojení je velmi variabilní a vždy závisí na složitosti napojovaného systému, ale také na připravenosti jeho rozhraní. Pokud to nejde jinak, můžete vždy použít hrubou sílu. Obecně lze říci, že je možné napojit a řídit cokoliv, záleží pouze na rozpočtu.

Požadavky na HW a infrastrukturu záleží vždy na několika faktorech jako je očekávaná zátěž, počet uživatelů, jak je systém využíván a samozřejmě doporučením výrobce. I zde však platí doporučení implementovat spolu s IdM nástroje pro monitoring, archivaci, logování, zálohovaní a zajistit redundaci kritických komponent celého ekosystému. Architektura by měla být postavena tak, aby neomezovala jak vertikální, tak horizontální rozšiřitelnost. Určitě je správné počítat s korelací množství data a odezvou systému, což nám pomohou odhalit zátěžové testy.

Zavedení IdM je u větších společností zatížených vlastními procesy, běh na delší trať, ale efekt je neoddiskutovatelný. Na druhou stranu dnes nemusíme zavádět IdM pouze u společností s tisíci zaměstnanci, existují i „light“ verze, například v dnes tak moderním cloudu (např. SkyIdentity – Cloud Identity Management), které se zaměřují na střední a menší společnosti. V menších firmách odpadá mnoho administrativy a nasazení může být realizováno v řádech týdnů.

Oblast identity managementu má jasný důvod své existence a určitě se bude dále rozvíjet v návaznosti na další technologický pokrok a trendy. 

 

Autor: Ondřej Tyrychtr