Rozmawiamy z Jarosławem Stokowcem – ekspertem do spraw zarządzania projektami IT w obszarze security&identity (aktualnie TVN S.A.) o tym, czego można się spodziewać, wdrażając system do zarządzania tożsamościami i dostępem. Jak przebiegają poszczególne prace i jakich korzyści powinniśmy oczekiwać już na początku tego przedsięwzięcia?
Jak rozpoczyna się pracę nad systemem do zarządzania tożsamościami i dostępami?
Jarosław Stokowiec: Jeśli chodzi o przygotowanie oraz uruchomienie systemu do zarządzania tożsamościami i dostępami w organizacji, to mamy dwa modele realizacji takiego przedsięwzięcia. Pierwszy sposób związany jest ściśle z możliwościami finansowymi i kadrowymi przedsiębiorstwa. Zdefiniowanie od razu całego zakresu zadań i ich realizacja wiąże się z wysokimi kosztami, a co za tym idzie potencjalnymi problemami związanymi z pozyskaniem finansowania na te wszystkie elementy. Jeżeli jednak firma dysponuje analitykami na tyle dostępnymi, że mogą uruchomić projekt i ma duże zasoby finansowe, to można podejść do wdrożenia systemu od razu w całości. W przeciwnym wypadku warto podzielić cały proces na mniejsze fragmenty. Drugi sposób zakłada etapowe podejście i walidację całego procesu na małych odcinkach.
Wdrażając IAM preferowane jest podejście etapowe?
JS: Z mojego punktu widzenia korzystniejszy jest ten drugi model i dlatego rekomendowany. Staramy się, aby w tym podejściu każdy etap przynosił wymierne korzyści firmie i stopniowo organizował funkcjonowanie całej organizacji.
W pierwszym kroku porządkujemy proces zarządzania tożsamością jako taką, czyli identyfikujemy miejsca, w których mogą się pojawić dane o pracownikach czy współpracownikach. Ustalana jest mapa relacji pomiędzy źródłami danych i określane sposoby implementacji identity & access management. Wszystko dzieje się w celu uzyskania centralnego repozytorium informacji o tożsamości.
Czyli klient już na samym początku procesu wdrożenia może liczyć na pierwszą korzyść w postaci utworzenia centralnego repozytorium zawierającego informacje o tożsamościach?
JS: Tym benefitem jest przede wszystkim pierwszy provisioning, czyli uruchomienie dostępu do głównego systemu, w ramach którego użytkownicy się autoryzują. Najczęściej wykorzystuje się do tego Active Directory lub inne usługi katalogowe. Centralne repozytorium umożliwia uporządkowanie procesu zarządzania tożsamościami osób zatrudnionych w organizacji. Od tej chwili wiemy, kto jest zarejestrowany, kiedy zakończył współpracę itp. Potem stopniowo automatyzujemy proces nadawania dla nich podstawowych uprawnień, takich jak dostęp do infrastruktury informatycznej firmy, co widocznie przyspiesza pracę całej organizacji. Już ten pierwszy krok powoduje, że widoczne są zalety wdrażania systemu IAM, ponieważ następuje wyraźne przyspieszenie w tym obszarze.
Jak wygląda kolejny etap wdrażania systemu do zarządzania tożsamościami i dostępami?
JS: W następnym kroku przechodzimy do systemów dziedzinowych. Sprawdzamy każdy po kolei. W ramach tych działań następuje pełna identyfikacja ról i uprawnień oraz sposobu ich nadawania, a także warunków akceptacji. Potem następuje stopniowe włączanie systemów dziedzinowych do naszego systemu IAM w ramach całej akcji managementu.
Jak wygląda taka implementacja systemu dziedzinowego do IAM?
JS: Implementacja kolejnych systemów polega na tym, że analizujemy i dostosowujemy model uprawnień systemu dziedzinowego do standardu umożliwiającego wprowadzenie do IAM. Co robimy w pierwszym kroku? Patrzymy, w jaki sposób wyglądają te uprawnienia w systemie, tzn. sprawdzamy, jacy są użytkownicy i do czego mają dostęp. Przekładamy nazwy ról z systemów dziedzinowych na bardziej zrozumiałe dla użytkowników, ponieważ często są skrótowymi nazwami technicznymi, nadanymi przez kreatora systemu i „zrozumiałymi” tylko dla niego.
Tworzymy więc dla tych skróconych systemowych form pełną nazwę biznesową dla danej roli i dodajemy do tej nazwy opis, który będzie zrozumiały dla użytkowników systemu. Na tej podstawie tworzony jest szablon wniosku o dostępy, po to, aby użytkownik korzystający z IAM widział rolę ze zrozumiałą dla niego nazwą. To jest dla nas sprawa priorytetowa.
Kolejnym elementem jest ustalenie właścicieli poszczególnych ról, czyli osób, które powinny akceptować nadanie roli i uprawnienia użytkownikowi. Decyzja ta należy do właścicieli biznesowych. Innymi słowy, osoby decyzyjne odpowiadające za konkretne procesy i ich realizację w systemach stwierdzają: „ta osoba może mieć dostęp do mojego obszaru, za który ja odpowiadam, może na przykład wprowadzać takie a takie dane lub nie może tego robić.”
Następnie ustalane są reguły wykluczające, które automatycznie będą walidować wniosek o dostępy. Na przykład, jeśli ktoś ma przypisaną jakąś rolę w systemie, to powinna się ona wykluczać z inną rolą, bo będzie to naruszało normy bezpieczeństwa przedsiębiorstwa (np. SOX).
Czy to oznacza, że system IAM będzie tylko automatycznie sygnalizował kolizję uprawnień, czy po prostu nie pozwoli na utworzenie wniosku o dostęp/uprawnienia dla takiej tożsamości?
JS: Opowiem o tym może na przykładzie systemu księgowego. System taki oferuje m.in. możliwość wprowadzania faktur, zatwierdzania faktur oraz zleceń dokonania płatności. Wszystkie te uprawnienia nie powinny skupiać się w ręku jednej, tej samej osoby.
Utworzenie takiej reguły wykluczającej w systemie IAM nie pozwoli w na przygotowanie w przyszłości wniosku o takie uprawnienia dla tej konkretnej osoby.
Później kolejnym krokiem jest kwestia konfiguracji takiego wniosku. Tworzymy te wszystkie role, jakie powinny być na wniosku, jak się powinny nazywać, jakie są ich nazwy techniczne, tak żeby na koniec administrator mógł zidentyfikować rolę i jej uprawnienia w systemie dziedzinowym. Administrator systemu dziedzinowego musi wiedzieć, co technicznie oznacza w jego systemie opis biznesowy: „ten człowiek ustala ramówkę telewizyjną”.
Czyli mamy proces mapowania w postaci łączenia nazw i opisów zrozumiałych dla użytkowników biznesowych z nazwami technicznymi, tak aby administrator systemu dziedzinowego wiedział, o jakie uprawnienia wnioskuje użytkownik?
JS: Otóż to. Ustalamy, jak powinny się nazywać poszczególne role na wnioskach i jaki jest ich odpowiednik w systemach dziedzinowych. Następnie konfigurujemy taki wniosek, który zawiera wszystkie te informacje (nazwa biznesowa, techniczna, szerokość uprawnień) i kierujemy do administratora systemu dziedzinowego celem realizacji.
Administrator systemu dziedzinowego ręcznie realizuje wniosek w swoim systemie?
JS: To zależy. To również jest jeden z elementów, który ustalamy przy konfiguracji. Wszystko zależy od stopnia skomplikowania tego procesu w kontekście konkretnego systemu dziedzinowego. Możemy ustalić, że ten wniosek zrealizujemy automatycznie poprzez zarządzanie grupami w Active Directory, jeśli będzie taka możliwość. A może system jest na tyle skomplikowany lub połączenie się z nim jest na tyle utrudnione, że zasadnym będzie pozostawić to w opcji manualnej.
Czy to oznacza, że po wdrożeniu systemu do zarządzania tożsamościami i dostępami użytkownicy muszą ponownie prosić o dostępy do systemów dziedzinowych, w których już raz otrzymali uprawnienia, zanim wdrożono IAM?
JS: Absolutnie nie! Bierzemy zrzut aktualnie nadanych uprawnień użytkownikom w systemie dziedzinowym i przekładamy je na wypracowany przez nas model w ramach działań podjętych w pierwszej fazie wdrożenia, a następnie ściągamy wszystko do systemu IAM.
Wszystko po to, aby nie wymuszać na użytkownikach wnioskowania o dostępy, które już posiadają w systemach dziedzinowych. Użytkownicy widzą w zaimplementowanym systemie IAM aktualny stan swoich uprawnień w poszczególnych programach dziedzinowych i w razie czego mogą je zmodyfikować, tak aby od nowa tego nie robić. Poprawnie wdrożony system IAM powinien odzwierciedlać rzeczywiste uprawnienia użytkowników w systemach.
Tworzymy centralne repozytorium o tożsamościach, bardzo często przy tej okazji realizujemy nadawanie dostępów do głównego systemu autoryzującego użytkowników w firmie, a następnie kolejno implementujemy poszczególne systemy, które w organizacji są kluczowe, w których jest dużo zmian i automatyzacji.
Jakich jeszcze korzyści może spodziewać się organizacja z wdrożenia IAM / IdM?
JS: Zauważalnie maleją koszty operacyjne, bo wszystko jest uporządkowane, zdefiniowane i realizowane w trybie automatycznym. Administrator nie musi się zastanawiać, jakie uprawnienia powinien nadać, a czas realizacji jest krótszy. Pod kątem bezpieczeństwa organizacji kontrola nad tym procesem jest lepsza.
Jest jeszcze jedna ważna korzyść z posiadania systemu IAM – mamy dzięki niemu centralne repozytorium tożsamości i dlatego w przyszłości możemy korzystać z jego zasobów, integrując nowe systemy, które tych danych potrzebują.
Jest wiele systemów wykorzystujących strukturę organizacyjną, na przykład w celu realizacji rozliczeń billingów pracowników. Taki system potrzebuje informacji o numerach telefonów użytkowników i kosztach, jakie wygenerowali, a jeśli koszty te zostaną przekroczone, system będzie wymagał ich zatwierdzenia przez osobę upoważnioną (menedżera, przełożonego, dyrektora finansowego itp.) W tej sytuacji dysponowanie centralnym repozytorium tożsamości ułatwia wdrożenie kolejnego systemu dziedzinowego.
Podsumujmy zatem nasze działania w pierwszej fazie wdrażania IAM / IdM:
JS: Ujmując całość w punktach, możemy zdefiniować cały proces i jego atrybuty w następujący sposób:
- Sprawdzamy, jak nazywają się uprawnienia w systemach dziedzinowych
- Ustalamy, jakie są między nimi zależności
- Wyznaczamy, kto akceptuje te uprawnienia
- Precyzujemy, kto je realizuje
- Określamy, czy jest to realizacja manualna, czy automatyczna
- Przystępujemy do implementacji kolejnych systemów dziedzinowych
Dziękujemy za rozmowę
Jeśli interesuje Cię wdrożenie systemu do zarządzania tożsamościami i dostępem, chcesz wiedzieć, jak ten proces będzie przebiegał w Twojej organizacji i ile będzie kosztował, skontaktuj się bezpośrednio poprzez ten formularz.
Artykuł został opublikowany pierwotnie na stronie Uniteam.pl — producenta oprogramowania PASK.