Co je identity management?
Identity management je termínem zahrnujícím administraci individuálních identit (uživatelských účtů) v rámci určitého systému, například systému informačního využívaného v podnicích, systému firemní sítě či dokonce celé země. V podnikovém IT se správa identit týká zavedení a správy jednotlivých rolí i přístupových práv pro jednotlivé uživatele firemní sítě. Systémy identity dávají managementu a správcům IT nástroje a technologie potřebné ke kontrole přístupu uživatelů ke kritickým podnikovým datům.
Hlavním cílem CIO v systému pro správu identit v podnikovém prostředí je vytvoření identity pro každého jednotlivce. Tím to však nekončí. Jakmile je digitální identita zavedena v systému, musí být udržována, aktualizována a monitorována v rámci toho, čemu se říká „přístupový životní cyklus“ (Access lifecycle). Systémy identity managementu tedy správcům poskytují nástroje pro změny uživatelských rolí, pro sledování činnosti uživatelů a pro zajišťování dodržování nastavených pravidel. Tyto systémy jsou navrženy tak, aby dokázaly v rámci celého podniku pomoci se správou a se sledováním přístupu uživatelů – přispívají tak k zajištění souladu s podnikovými ustanoveními i s vládními regulemi.
Seznam technologií spadajících do kategorie identity managementu zahrnuje nástroje pro správu hesel, software pro provisioning a de-provisioning, aplikace pro zajištění dodržování bezpečnostních pravidel, reportovací a monitorovací software a úložiště identit. Dnes jsou všechny tyto technologie nejčastěji sdružovány a distribuovány v sadách s dodatečnou funkcionalitou (například s automatizovanou správou digitálních certifikátů).
O čem se dnes v souvislosti se správou identit mluví zdaleka nejvíce, je „identity lifecycle management“ (správa životního cyklu identit). Tento koncept zahrnuje procesy a technologie potřebné pro distribuci a odebírání zdrojů či správu a synchronizaci digitálních identit stejně jako funkce pro usnadnění dodržování souladu s vládními ustanoveními. Pod kolonku správy životního cyklu identit spadají nástroje pro tvorbu digitálních identit, správu atributů, synchronizace identit, jejich agregace a mazání.
Proč bychom se i my měli zajímat o identity management?
Správa identit velice úzce souvisí s bezpečností a s produktivitou jakékoli organizace působící v oblasti elektronických obchodních styků. Společnosti využívají systémy identity managementu nejen k ochraně svého digitálního majetku, ale také ke zvýšení vlastní obchodní produktivity. Vlastnosti takových systémů umožňujících centrální správu některých aspektů IT ve firmě mohou pomoci se snížením komplexity administrace i s redukcí nákladů. Centralizovaná kontrola přístupu podporuje také konzistentní zajištění dodržování bezpečnostní politiky.
Systémy pro správu identit mohou organizacím také poskytnout nástroj ke kontrole zástupů nevázaných koncových bodů volně se pohybujících ve firmě. Mnohá z těchto zařízení nejsou vlastněna samotnou firmou, ale patří konkrétním uživatelům. Problém může vyvstat tehdy, když lidé chtějí s těmito přístroji přistupovat do zabezpečené podnikové sítě. Také proto je schopnost systému identity managementu zajistit dodržování pravidel ve firemní síti jednotlivými uživateli (identitami) v dnešní době téměř nepostradatelná.
Kterak může systém pro správu identit prospět naší společnosti?
Implementace systémů pro identity management a s nimi spjatými best practices může organizacím poskytnout konkurenční výhodu hned v několika ohledech. V dnešní době většina podniků chce a potřebuje vybavit své uživatele pracující mimo podnik (terénní a mobilní pracovníci, jakými jsou třeba obchodníci) možností přístupu k interním firemním systémům. Pootevření některých vrátek podnikové sítě zákazníkům, partnerům, dodavatelům a samozřejmě zaměstnancům může pomoci zvýšit obchodní efektivitu a snížit finanční náklady. Systémy identity managementu společnostem dovolují rozšířit přístupové pole k vybraným interním informacím, aniž by tak zkompromitovaly bezpečnost. Kontrolovaná správa identit a přístupu má naopak reálný potenciál, neboť poskytnutím přístupu k informacím třetím stranám lze zvýšit produktivitu společnosti, spokojenost ostatních a konečně také příjmy.
Funkcí, která má podle dodavatelů i analytiků podnikům pomoci ušetřit zdaleka nejvíce, je na první pohled triviální automatizace resetování hesel. Zdánlivá trivialita však může v některých podnicích přerůst v neuvěřitelně komplexní, nákladnou a časově náročnou činnost. Podle statistik je totiž přibližně polovina hovorů směřujících na help-desk svázána právě s žádostmi o reset hesla. Je-li tato činnost díky systémům pro správu identit automatizována, mohou obzvláště větší podniky dosáhnout v této oblasti významných časových i finančních úspor.
Systém identity managementu se může stát základním kamenem bezpečné sítě, neboť správa identit uživatelů je nepostradatelným dílkem v skládačce kontroly přístupu. Takový systém od společnosti vyžaduje hlavně nadefinování přístupových politik a specifické určení toho, kdo bude mít přístup k jakým informacím. Tato definice je základní částí digitální identity. Následně dobře spravované identity obnášejí také lepší kontrolu přístupu uživatelů, což se projeví ve sníženém riziku vnitřních a vnějších bezpečnostních narušení.
Systém pro správu identit může rovněž zlepšit dodržování souladu s vládními nařízeními, neboť společnostem poskytuje nástroje k implementaci komplexního zabezpečení, kvalitního auditorního procesu i vlastních pravidel pro přístup. Mnohé systémy dnes nabízejí funkce určené k zajištění fungování organizace v souladu s regulacemi.
Jak pracují systémy pro identity management?
Typický systém pro správu identit je dnes složený ze čtyř základních stavebních kamenů: Z adresáře osobních dat, které systém využívá při definici individuálních uživatelů (to lze považovat za jakési úložiště digitálních identit); ze sady nástrojů pro přidávání, modifikaci a mazání těchto dat (správa přístupového životního cyklu); ze systému pro regulaci přístupu uživatelů (vynucení bezpečnostních pravidel a aplikace přístupových práv); z auditovacího a reportovacího systému (díky nimž můžete zpětně ověřit veškerou činnost provozovanou ve svých systémech).
Regulace uživatelského přístupu může využívat celou řadu autentizačních metod pro ověření identity uživatele, například hesla, digitální certifikáty, toky či identifikační karty typu smart card. Hardwarové tokeny a smart cards velikosti kreditních karet tradičně sloužily jako jedna z komponent dvoufaktorového autentizačního schématu, který pro kontrolu vaší identity kombinuje něco, co znáte (tedy heslo), s něčím, co máte (token či karta). Smart card obsahuje čip s integrovaným obvodem a může mít také vlastní interní paměť. Softwarové tokeny, které se dostaly na trh v roce 2005, se mohou nacházet na jakémkoli úložném zařízení od USB klíčenek, až po některé mobilní telefony.
Co je tzv. Federated identity management?
Federated identity management umožňuje sdílení digitálních identit s důvěryhodnými třetími stranami. Jde o autentizační sdílený mechanismus, díky němuž mohou uživatelé za pomoci jediného uživatelského jména, hesla a eventuálních dalších ověřovacích údajů přistupovat do více než jedné sítě. Tento princip je obecně znám také pod názvem „single sign-on“ (jediné přihlášení). Standard single sign-on umožňuje lidem, kteří již verifikovali svou identitu v jedné síti či na nějaké webové stránce, přenést svůj autentizovaný status i jinam (při vstupu do jiné sítě či přechodu na jiný web). Tento model je utilizován pouze mezi partnerskými korporacemi – v angličtině se jim říká „trusted partners“ – , které si navzájem ručí za vlastní uživatele.
Tento federovaný model staví na otevřené specifikaci SAML (Security Assertion Markup Language). Ta definuje rámec XML pro bezpečnou výměnu mezi bezpečnostními autoritami. SAML bylo vyvinuto sdružením Liberty Alliance, které se zabývá vývojem specifikací, směrnic a best practices pro Federated identity management. Organizace přišla se specifikací SAML, aby umožnila vzájemnou interoperabilitu různých platforem pro autentizaci a pro poskytování autentizačních služeb.
Firmy Microsoft a IBM v odpovědi na to přišly s konkurenčním standardem pro Federated identity management, specifikací WS-Federation. Ta je navržena proto, aby společnostem poskytovala standardizovaný způsob sdílení identit uživatelů a zařízení napříč různorodými systémy pro autentizaci i přes hranice jednotlivých korporací.
Federovaný model identity managementu může usnadnit administraci a umožnit společnostem rozšířit správu identit a přístupu také na uživatele třetích stran a služby ostatních podniků.
Jaké jsou v současnosti rizika a výzvy při implementaci řešení správy identit?
Zavádění identity managementu je velikou výzvou. Vaše aplikace pravděpodobně disponují vlastními úložišti identit a autentizačními schématy, nikdo však neříká, že musejí být organizovány standardním způsobem. Vaše společnost možná reagovala předvídavě a pořídila systémy založené na průmyslových standardech, stačí však akvizice firmy, která nebyla tak prozíravá, a máte před sebou pořádnou kopu práce.
Úspěšná implementace vyžaduje určitou předvídavost. Společnosti, které zavádějí správu identit a před započetím projektu mají jasně definovanou strategii identity managementu – vytyčené cíle, souhlas akcionářů, definované obchodní procesy – , bývají v samotné implementaci mnohem úspěšnější, než jejich kolegové, kteří vše šili horkou jehlou.
Hlavním rizikem, které je třeba brát v potaz, jsou centralizované operace, jež představují lákavý cíl pro hackery a další zločince. Uvědomte si, že snížením komplexity zabezpečení práci neusnadňujete jen správcům IT ve své firmě. Pokud se tedy útočníkovi podaří zkompromitovat bezpečnost a proniknout do systému identity managementu, může si vytvořit vlastní identitu se všemi právy a získat tak neomezený přístup do celé podnikové sítě.
Je třeba znát v souvislosti s identity managementem určitou terminologii?
Ve světě správy identit je několik pojmů, které není až tak od věci znát:
Správa přístupu (Access management)
Téměř se nestane, že byste viděli „identity management“ a „access management“ nebyl někde v sousedství. Většina dodavatelů totiž správu identit a přístupu kombinuje v jediném konceptu IAM (Identity and Access Management).
Samotný access management referuje k procesům a technologiím využívaným pro kontrolu a monitorování přístupu k síti. Mezi funkce správy přístupu patří autentizace, autorizace či auditování, což zároveň bývají nepostradatelné součásti systémů pro identity management.
Ověřovací údaje (Credentials)
Identifikátor využívaný uživatelem k získání přístupu do sítě. Jde o uživatelovo heslo, certifikát infrastruktury veřejných klíčů PKI (Public Key Infrastructure) či biometrické informace (otisk prstu, snímání oční rohovky).
De-provisioning
Proces odstraňování identity z úložiště identit a ukončení veškerých přístupových práv souvisejících s danou identitou.
Digitální identita (Digital identity)
Samotná identita zahrnující popis uživatele a jeho přístupová práva. Digitální identitu lze vytvořit také pro určité zařízení, například pro laptop přistupující do podnikové sítě.
Oprávnění (Entitlement)
Sada atributů definujících přístupová práva a privilegia autentizovaného uživatele.
Správa životního cyklu identit (Identity lifecycle management)
Referuje k celé množině procesů a technologií pro údržbu a aktualizaci digitálních identit. Identity lifecycle management zahrnuje synchronizaci identit, provisioning, de-provisioning a průběžnou správu uživatelských atributů, ověřovacích údajů a oprávnění.
Synchronizace identit (Identity synchronization)
Proces zajištění toho, aby různá úložiště identit – například po akvizici jiného podniku s vlastním úložištěm – obsahovala konzistentní data pro jednotlivé identity.
Resetování hesla (Password reset)
V tomto kontextu jde o funkci systémů identity managementu, která uživatelům umožňuje samostatně provádět anulování svých hesel, čímž usnadní práci správci IT i celému help-desku.
Provisioning
Proces tvorby identit, definování jejich přístupových práv a jejich zahrnutí do úložiště identit.
Security principal
Digitální identita s jedním či více ověřovacími údaji, kterou lze autentizovat a autorizovat pro interakci se sítí.