Identitātes vadības sistēma
Efektīvam informācijas tehnoloģiju (IT) sistēmu
lietotāju pārvaldības, identitātes, akreditācijas datu
un piekļuves tiesību k
Definīcija: identitātes
vadības sistēma (Identity Management) ir tehnoloģiju un
biznesa procesu kopums, kas racionalizē un pilnveido identitāšu
vadības procesu ciklus, veido un uztur attiecības starp tām,
kā arī biznesa sistēmām, aplikācijām un
informāciju tajās.
Citiem vārdiem,
tā ir aptverošs risinājums, kurš apvieno cilvēkus,
procesus, tehnoloģijas, sistēmu un drošības politikas,
ļaujot uzņēmumam pārvaldīt, autentificēt,
pilnvarot un pārbaudīt savus informācijas tehnoloģiju sistēmu
lietotājus. Identitātes vadības risinājums ļauj rast
atbildes tādiem jautājumiem kā:
·
Kas
tu esi par lietotāju?
·
Vai
tiešām tu esi tas, par kuru uzdodies?
·
Kādām
sistēmām un resursiem uzņēmumā tu vari
piekļūt?
·
Kā
tu piekļūsti šiem resursiem un sistēmām?
·
Kas
piešķir šīs piekļuves tiesības?
·
Kā
šīs tiesības var tikt mainītas?
·
Kā
nepieciešamības gadījumā šo pieeju var pārtraukt?
Uzņēmumu,
organizāciju un valsts iestāžu informācijas
tehnoloģiju sistēmām ir daudz un dažādi
lietotāji: darbinieki, līgumdarbinieki, konsultanti, klienti,
piegādātāji, studenti u. c. Informācija par šiem
lietotājiem un to piekļuves tiesības tiek glabātas
vairākās sistēmās, kuras atšķiras ne tikai ar
lietotāju uzskaites un glabāšanas veidiem, bet arī ar
dažādiem lietotāju piekļuves kontroles mehānismiem:
·
informācija
par darbiniekiem un līgumdarbiniekiem visbiežāk atrodas t. s.
cilvēkresursu (human resources, HR) sistēmās;
·
-līgumdarbiniekiem
ir jāveic atsevišķa uzskaite arī grāmatvedības un
algu sistēmā;
·
informācija
par konsultantiem nav reģistrēta HR sistēmā, bet, ja
šiem lietotājiem ir jānodrošina piekļuve
uzņēmuma fiziskajiem resursiem (piekļuve telpām,
kabinetiem), ir nepieciešama atsevišķa uzskaite arī
fiziskās piekļuves sistēmās;
·
informācija
par klientiem vienlaikus var atrasties vairākās datubāzēs;
·
informācija
par studentiem mācību iestādēs var atrasties
atsevišķās datubāzēs, turklāt šai
informācijai ir dinamisks raksturs katru gadu rudenī tiek veikti
jauni ieraksti un vasaras sākumā dzēsti vai arī
mainīts to saturs.
Kā
uzņēmuma drošības, administrācijas vai cits
atbildīgais dienests var iegūt vienotu pārskatu par visiem lietotājiem
un to piekļuves tiesībām? Bez centralizētas lietotāju
identitātes vadības sistēmas šis process ir
sarežģīts, laika un darbietilpīgs un nenodrošina
iespējas vienuviet apkopot informāciju . Nav pieejama notikušo
darbību audita informācija, un nav zināma šo sistēmu
un lietotāju kontroles procesu atbilstība starptautiskām
prasībām par informācijas sistēmu drošību (Sabarnes-Oxley
Act, Health Insurance Portability and Accountability Act, The European Union
Privacy Directive).
Tipisks
lietotāja dzīves cikls uzņēmumā sākas ar
pieņemšanu darbā un beidzas līdz ar darba attiecību pārtraukšanu.
Piemēram, jaunajam darbiniekam uzņēmumā ir
nepieciešams piekļūt:
·
darba
stacijai,
·
tīkla
datnēm un resursiem,
·
e-pasta
sistēmai,
·
uzņēmuma
portālam un
·
centrālajai
uzņēmuma resursu vadības un plānošanas videi, kas
darbojas uz UNIX platformas.
Lietotāja
tiesības šeit būs atkarīgas no vairākiem faktoriem -
darba stacija un tīkla datnes var būt saistītas ar darba vietas
atrašanos, piekļuve portālam, centralizētajai
uzņēmuma resursu plānošanas un vadības sistēmai -
atkarībā no amata uzņēmumā. Piekļuves
tiesības var būt atkarīgas arī no laika, kad lietotājs
strādā ar to vai citu IT sistēmu. Lai lietotājs tiktu
izveidots šādā uzņēmumā un tam tiktu
piešķirtas visas nepieciešamās tiesības lietot
uzņēmuma IT resursus, viena darbinieka profila izveidei ir nepieciešama
visu to atbildīgo personu līdzdalība, kuri pārrauga
attiecīgos IT resursus. Šo procesu pavada arī ilgais dokumentu
saskaņošanas process.
Līdzīgi
kā ar darbinieka pieņemšanu notiek darba attiecību
pārtraukšanas process. HR sistēmā tiek veikts ieraksts par
to, ka darbinieks uzņēmumā vairs nestrādā, bet kā
ir ar citām sistēmām, kurām lietotājam bija dota
pieeja? Un, ja šis lietotājs bija IT resursu pārvaldnieks ar
kopīgu profilu ar kādu citu darbinieku? Šinī
gadījumā ir jānodrošina ne tikai droša lietotāja
profila izdzēšana, bet arī saistīto profilu paroļu
maiņa. Turklāt visām darbībām ir jābūt
dokumentētām audita nolūkos.
Centralizēts
IT sistēmu lietotāju vadības risinājums:
·
ļauj
vienkāršot un racionalizēt šo procesu neatkarīgi no
sistēmu un aplikāciju skaita un veida,
·
nodrošina
drošu un aizsargātu lietotāju piekļuvi sistēmām
un resursiem,
·
veido
izmaksu efektīvu un visām starptautiski pieņemtām IT
sistēmu un lietotāju datu drošības un audita
prasībām atbilstošu risinājumu, kurš darbojas ne tikai
vienā uzņēmumā, bet, ar federācijas
iespējām, arī ārpus tām.
Sun Microsytems
Identity Management Suite ir viens no risinājumiem, kas
ļauj rast atbildes uz visiem šī raksta sākumā
minētajiem jautājumiem. Sun Identity Management Suite ir divas
galvenās sastāvdaļas Access Manager, kura uzdevums ir
nodrošināt lietotāja piekļuves kontroli
autentificēšanu un pilnvarošanu, kā arī single
sign-on (SSO) dažādām uzņēmuma IT
sistēmām un to resursiem.
Otrs komponents ir Identity
Manager (IdM). IdM uzdevums ir :
·
nodrošināt
uzņēmuma IT sistēmu lietotāju profilu (t. sk. paroļu)
vadību un sinhronizāciju starp vairākiem resursiem;
·
piedāvāt
lietotājam pašapkalpošanās servisu iespēju
centralizēti mainīt un papildināt sava profila informāciju,
paroles, kā arī aplūkot pieejamo resursu sarakstu ar
iespējām iegūt pieeju nepieciešamajiem resursiem;
·
veidot
un izpildīt darbaplūsmas (workflows) un lietotāju
kontroles drošības politiku;
·
nodrošināt
atskaišu un audita informācijas veidošanu par notikumiem
sistēmā;
·
sekot
līdzi sistēmas atbilstībai drošības standartiem un
prasībām.
Identity Management
Suite
ir Sun Microsystems produkts, kas veidots uz vispārpieņemtu un
atvērtu standartu bāzes Java, JDBC, JNDI, SSL, SSH, SOAP,
LDAP, SPML un WfMC TC1003 Workflow Reference Model u. c. Sun
Identity Management risinājums neprasa izmaiņas IT
sistēmās:
·
produkts
ir veidots kā bezadapteru risinājums, kuram nav nepieciešamas
papildu aģentu instalācijas uz vadāmajām sistēmām;
·
IdM nav
nepieciešams, lai lietotāju paroles un profili tiktu glabāti
centralizēti IdM datu bāzē.
Šāds
identitātes vadības risinājums līdz minimumam samazina
izmaiņas un izmaksas, kas nepieciešamas lietotāju
datubāzēs un sistēmās. Lietotie standarti un
arhitektūra produktu, tā darbaplūsmu vadības sistēmu
ļauj integrēt citās uzņēmuma darba procesu
vadības un cilvēkresursu uzskaites sistēmās. Sun
Identity Management Suite licencēšanas politika, kā vairumam
Sun programmproduktu, ir fiksēta maksa gadā par katru
uzņēmuma darbinieku neatkarīgi no lietotāju skaita
datubāzēs un sistēmās. Informācijai par Sun
Microsystems - www.sun.com un www.sun.com/identity
Mareks MALNAČS
mareks@tools.lv
Definīcija: identitātes vadības sistēma (Identity Management) ir tehnoloģiju un biznesa procesu kopums, kas racionalizē un pilnveido identitāšu vadības procesu ciklus, veido un uztur attiecības starp tām, kā arī biznesa sistēmām, aplikācijām un informāciju tajās.
Citiem vārdiem, tā ir aptverošs risinājums, kurš apvieno cilvēkus, procesus, tehnoloģijas, sistēmu un drošības politikas, ļaujot uzņēmumam pārvaldīt, autentificēt, pilnvarot un pārbaudīt savus informācijas tehnoloģiju sistēmu lietotājus. Identitātes vadības risinājums ļauj rast atbildes tādiem jautājumiem kā:
· Kas tu esi par lietotāju?
· Vai tiešām tu esi tas, par kuru uzdodies?
· Kādām sistēmām un resursiem uzņēmumā tu vari piekļūt?
· Kā tu piekļūsti šiem resursiem un sistēmām?
· Kas piešķir šīs piekļuves tiesības?
· Kā šīs tiesības var tikt mainītas?
· Kā nepieciešamības gadījumā šo pieeju var pārtraukt?
Uzņēmumu, organizāciju un valsts iestāžu informācijas tehnoloģiju sistēmām ir daudz un dažādi lietotāji: darbinieki, līgumdarbinieki, konsultanti, klienti, piegādātāji, studenti u. c. Informācija par šiem lietotājiem un to piekļuves tiesības tiek glabātas vairākās sistēmās, kuras atšķiras ne tikai ar lietotāju uzskaites un glabāšanas veidiem, bet arī ar dažādiem lietotāju piekļuves kontroles mehānismiem:
· informācija par darbiniekiem un līgumdarbiniekiem visbiežāk atrodas t. s. cilvēkresursu (human resources, HR) sistēmās;
· -līgumdarbiniekiem ir jāveic atsevišķa uzskaite arī grāmatvedības un algu sistēmā;
· informācija par konsultantiem nav reģistrēta HR sistēmā, bet, ja šiem lietotājiem ir jānodrošina piekļuve uzņēmuma fiziskajiem resursiem (piekļuve telpām, kabinetiem), ir nepieciešama atsevišķa uzskaite arī fiziskās piekļuves sistēmās;
· informācija par klientiem vienlaikus var atrasties vairākās datubāzēs;
· informācija par studentiem mācību iestādēs var atrasties atsevišķās datubāzēs, turklāt šai informācijai ir dinamisks raksturs katru gadu rudenī tiek veikti jauni ieraksti un vasaras sākumā dzēsti vai arī mainīts to saturs.
Kā uzņēmuma drošības, administrācijas vai cits atbildīgais dienests var iegūt vienotu pārskatu par visiem lietotājiem un to piekļuves tiesībām? Bez centralizētas lietotāju identitātes vadības sistēmas šis process ir sarežģīts, laika un darbietilpīgs un nenodrošina iespējas vienuviet apkopot informāciju . Nav pieejama notikušo darbību audita informācija, un nav zināma šo sistēmu un lietotāju kontroles procesu atbilstība starptautiskām prasībām par informācijas sistēmu drošību (Sabarnes-Oxley Act, Health Insurance Portability and Accountability Act, The European Union Privacy Directive).
Tipisks lietotāja dzīves cikls uzņēmumā sākas ar pieņemšanu darbā un beidzas līdz ar darba attiecību pārtraukšanu. Piemēram, jaunajam darbiniekam uzņēmumā ir nepieciešams piekļūt:
· darba stacijai,
· tīkla datnēm un resursiem,
· e-pasta sistēmai,
· uzņēmuma portālam un
· centrālajai uzņēmuma resursu vadības un plānošanas videi, kas darbojas uz UNIX platformas.
Lietotāja tiesības šeit būs atkarīgas no vairākiem faktoriem - darba stacija un tīkla datnes var būt saistītas ar darba vietas atrašanos, piekļuve portālam, centralizētajai uzņēmuma resursu plānošanas un vadības sistēmai - atkarībā no amata uzņēmumā. Piekļuves tiesības var būt atkarīgas arī no laika, kad lietotājs strādā ar to vai citu IT sistēmu. Lai lietotājs tiktu izveidots šādā uzņēmumā un tam tiktu piešķirtas visas nepieciešamās tiesības lietot uzņēmuma IT resursus, viena darbinieka profila izveidei ir nepieciešama visu to atbildīgo personu līdzdalība, kuri pārrauga attiecīgos IT resursus. Šo procesu pavada arī ilgais dokumentu saskaņošanas process.
Līdzīgi kā ar darbinieka pieņemšanu notiek darba attiecību pārtraukšanas process. HR sistēmā tiek veikts ieraksts par to, ka darbinieks uzņēmumā vairs nestrādā, bet kā ir ar citām sistēmām, kurām lietotājam bija dota pieeja? Un, ja šis lietotājs bija IT resursu pārvaldnieks ar kopīgu profilu ar kādu citu darbinieku? Šinī gadījumā ir jānodrošina ne tikai droša lietotāja profila izdzēšana, bet arī saistīto profilu paroļu maiņa. Turklāt visām darbībām ir jābūt dokumentētām audita nolūkos.
Centralizēts IT sistēmu lietotāju vadības risinājums:
· ļauj vienkāršot un racionalizēt šo procesu neatkarīgi no sistēmu un aplikāciju skaita un veida,
· nodrošina drošu un aizsargātu lietotāju piekļuvi sistēmām un resursiem,
· veido izmaksu efektīvu un visām starptautiski pieņemtām IT sistēmu un lietotāju datu drošības un audita prasībām atbilstošu risinājumu, kurš darbojas ne tikai vienā uzņēmumā, bet, ar federācijas iespējām, arī ārpus tām.
Sun Microsytems Identity Management Suite ir viens no risinājumiem, kas ļauj rast atbildes uz visiem šī raksta sākumā minētajiem jautājumiem. Sun Identity Management Suite ir divas galvenās sastāvdaļas Access Manager, kura uzdevums ir nodrošināt lietotāja piekļuves kontroli autentificēšanu un pilnvarošanu, kā arī single sign-on (SSO) dažādām uzņēmuma IT sistēmām un to resursiem.
Otrs komponents ir Identity Manager (IdM). IdM uzdevums ir :
· nodrošināt uzņēmuma IT sistēmu lietotāju profilu (t. sk. paroļu) vadību un sinhronizāciju starp vairākiem resursiem;
· piedāvāt lietotājam pašapkalpošanās servisu iespēju centralizēti mainīt un papildināt sava profila informāciju, paroles, kā arī aplūkot pieejamo resursu sarakstu ar iespējām iegūt pieeju nepieciešamajiem resursiem;
· veidot un izpildīt darbaplūsmas (workflows) un lietotāju kontroles drošības politiku;
· nodrošināt atskaišu un audita informācijas veidošanu par notikumiem sistēmā;
· sekot līdzi sistēmas atbilstībai drošības standartiem un prasībām.
Identity Management Suite ir Sun Microsystems produkts, kas veidots uz vispārpieņemtu un atvērtu standartu bāzes Java, JDBC, JNDI, SSL, SSH, SOAP, LDAP, SPML un WfMC TC1003 Workflow Reference Model u. c. Sun Identity Management risinājums neprasa izmaiņas IT sistēmās:
· produkts ir veidots kā bezadapteru risinājums, kuram nav nepieciešamas papildu aģentu instalācijas uz vadāmajām sistēmām;
· IdM nav nepieciešams, lai lietotāju paroles un profili tiktu glabāti centralizēti IdM datu bāzē.
Šāds identitātes vadības risinājums līdz minimumam samazina izmaiņas un izmaksas, kas nepieciešamas lietotāju datubāzēs un sistēmās. Lietotie standarti un arhitektūra produktu, tā darbaplūsmu vadības sistēmu ļauj integrēt citās uzņēmuma darba procesu vadības un cilvēkresursu uzskaites sistēmās. Sun Identity Management Suite licencēšanas politika, kā vairumam Sun programmproduktu, ir fiksēta maksa gadā par katru uzņēmuma darbinieku neatkarīgi no lietotāju skaita datubāzēs un sistēmās. Informācijai par Sun Microsystems - www.sun.com un www.sun.com/identity
Mareks MALNAČS
mareks@tools.lv