magasyn_ôsz jav - Synergon Nyrt.

tanácsadásIDM egy kicsit bôvebbenA hozzáférések és jogosultságok kezelése a vállalatok életét mindjobban átszövôIT-rendszerek és -alkalmazások, a felhasználók számának növekedése következtében kerül elôtérbe.Egy IDM-alkalmazás azonban hatékony megoldást jelenthet erre a komoly problémára,mivel mindig pontos információval rendelkezik minden rendszerrôl.Új alkalmazott belépése esetén hosszadalmas folyamat a vállalatirendszerekhez való hozzáférés biztosítása, kilépéskor pedig szintelehetetlen a megfelelô nyilvántartás nélkül minden jogosultságottörölni, ami biztonsági kockázatot jelent a társaságok számára.Federation ManagementAmikor identitáskezelô rendszer bevezetésén kezdünk el gondolkozni,fontos tisztázni, pontosan milyen funkcionalitást isvárunk el tôle, ugyanis nagyon gyakran összemossák a határokataz identitáskezelô (Identity Management), a hozzáféréskezelô(Access Management), az egypontos belépést biztosító(Single Sign-On) és az összekapcsolt azonosságkezelô (FederationManagement) rendszerek között.Viszonylag új fogalomnak számít a Federation Management,melynek feladata, hogy egy szabványos – általában webes –felületen keresztül akár a különbözô telephelyeken találhatóvagy a partnercégnél meglévô IDM-rendszerekkel is képeslegyen együttmûködni. A teljes együttmûködéshez azonbanszabványok kialakítása szükséges, amire vannak már törekvések(SAML, Security Assertion Markup Language, Libertyszabvány). Ezekhez hasonló szabványt valósít meg a .NETPassport, melyet már nemcsak a Microsoft MSN vagy Hotmailhasznál, hanem több internetes weboldal is.Az IDMHa pár szóval kellene az Identity Menedzsment mûködését vázolnom,akkor azzal kezdeném, hogy mit is jelent a reconciliation ésprovisioning egy IDM -rendszeren belülReconciliationProvisioningA másik, jóval nagyobb területet lefedô fogalom a provisioning,amely az erôforrások kezelését, felhasználók felvételét, törlését,illetve jogosultságaik beállítását takarja. A pontosabb megértéshezszükséges néhány pontos ismerete. A rule (szabály), amelymeghatározza a rendszer automatizmusainak mûködését. Szabályokhatározzák meg például a személy e-mail-címét a vezeték éskeresztnévbôl, illetve az irodaszáma alapján eldönti, melyikszerveren kell létrehozni az e-mailfiókot a felhasználónak, és kivelkell a folyamatot jóváhagyatni. A role (szerepkör) lényege pedigaz, hogy úgy csoportosíthatók az erôforrások és a jogosultságok,hogy az megfeleljen a vállalat alkalmazotti feladatköreinek. Ilyenszerep lehet például az irodavezetô, akinek korlátlan internethozzáférést,VPN-kapcsolatot és teljes olvasási jogot kellbiztosítani a fájlszerveren, vagy a titkár, aki csak munkaidôbeninternetezhet, és csak a saját könyvtárát éri el a fájlszerveren.A workflow (munkafolyamat) lépésrôl lépésre leírja a vállalat ITrendszeréneküzemeltetésével és felügyeletével kapcsolatosfeladatokat. A munkafolyamat leírása részletesen tartalmazza avállalatnál már kialakult tevékenységeket. Például ha egy új alkalmazottbekerül az HR-rendszerbe, ez elindít egy munkafolyamatot,ahol elsô lépésben egy szabály meghatároz egy azonosítót,majd a következô lépésben létrehoz egy entitást a IDM-rendszerben.Egy újabb szabály ezután kiolvassa az alkalmazottiazonosítót, meghatározza belôle a szerepkört és a telephelyet, s aszerepkör alapján a rendszer eldönti, milyen hozzáféréseket kellbiztosítani az új alkalmazott számára. Ismét egy új szabály generáljaaz e-mail-címet, és a telephely szerinti levelezô szerveren létrehozzaa postaládát. Ezzel párhuzamosan e-mailt küld a telephelyvezetôjének, hogy jóváhagyassa a hozzáférést a Windowstartományhoz A jóváhagyást követôen létrehozza a felhasználót aWindows rendszerben, és beállítja a szerepkörnek megfelelô jogosultságokat.A rendszernek tartalmaznia kell minden személy identitását, ezértezt fel kell venni, és mindig naprakészen tartani a rendszerben.Ehhez olyan megbízható forrást kell választani, amely mindignaprakész információval rendelkezik az alkalmazottakról. Ez többnyirea HR-rendszer, melyben minden alkalmazott szerepel.Amennyiben a HR-rendszer nem fedné le azon személyek körét,akiket szeretnénk felügyelni, más partner- és ügyfélkezelô rendszerekis bevonhatók a körbe. A felderítés folyamatának feladata,hogy minden személyhez létrehozzon egy identitást az IDM-rendszerben.A másik fontos feladat a változáskövetés, hiszen az IDM-rendszertmindig szinkronban kell tartani a forrásrendszerekkel. Az összeegyezetésneka rendszer bevezetésekor van fontos szerepe, ami akésôbbiekben biztonsági szempontból is lényeges. A bevezetéstkövetôen az összeegyeztetés során az IDM az általunk meghatározottszabályok alapján próbál egyezôséget találni az egyesrendszerekben már meglévô felhasználói fiókok és az IDM-bentalálható identitások között. Az így felderített egyezôségek alapjánkapcsolja össze a rendszer az identitást az erôforrásban találhatófiókkal, ez biztonsági kockázatcsökkentô tényezô is, mivel kiszûri aberagadt vagy ismeretlen fiókokat, amelyek senkihez nem köthetôk,és biztonsági kockázatot jelentenek.A vegyes vállalati rendszerekhez és a heterogén környezethezleginkább alkalmazkodó felépítésének köszönhetôen az IDMrendszerszámos operációs rendszeren és adatbázissal képes mûködni.A saját fejlesztésû és a third-party adaptereken keresztül alegtöbb rendszert képes felügyelni és adminisztrálni.A rendszereken elvégezhetô feladatok köre elég vegyes: az egyszerûfiókkezeléstôl kezdve a jogosultság- és az LDAP-struktúrakezelésenát a könyvtár jogosultságainak kezeléséig sok feladatelvégeztethetô. A számos támogatott rendszer interfészadaptereinekfüggvényeit felhasználva az egyéni elvárásoknak megfelelôtevékenységek (taszkok) hozhatók létre, amelyek csak egy feladatotelvégzô elemi folyamatokat képeznek le. Ilyen például az e-mail-küldés, a felhasználó letiltása, engedélyezése, a jelszó megváltoztatása,a jogosultság beállítása stb. Ezek azok az építôelemek,amelyek logikai összekapcsolásával alakul ki a munkafolyamat.Az IDM-rendszer mindig az aktuális adatokkal rendelkezik afelügyelt rendszerekrôl, alkalmazottakról, partnerekrôl és akár azügyfelekrôl. A beépített riportfunkciók segítségével perceken belülkinyerhetjük a számunkra szükséges információt. A rendszer naplózminden tevékenységet, amibôl visszakövethetô, hogy ki, mikorés milyen változtatást hajtott végre a rendszerben. Ezeket a ripor-MAGASYN 2006/TAVASZ27