Gara Péter, senior technikai tanácsadó
Identity Management rendszerek
I. Bevezetés
• • • • • •
Tipikus vállalati/intézményi környezetek Jogosultság-kezeléssel kapcsolatos igények Tipikus jogosultság-igénylési folyamatok Jogosultságok beállítása és elvétele A manuális jogosultság-kezelés problémái A jogosultságok kiosztásának ellenőrzése
Tipikus informatikai környezetek • Közép- és nagyvállalatok valamint intézmények informatikai rendszerei képezik jelen vizsgálódás tárgyát. • Az informatikai rendszerek (erőforrások) száma néhány tucattól több százig terjedhet. • Különböző rendszerek menedzselése eltérő tudást igényelhet, egy-egy rendszert más-más operátor/rendszergazda kezelhet. • A munkavállalók illetve külsősök különböző rendszerekhez, különböző jogosultságokat kaphatnak. Az eltérő rendszerekben eltérő felhasználói nevekkel rendelkezhetnek. • Miképp függesztődik fel egy munkavállaló összes jogosultsága, ha felmond cégénél?
Jogosultság-kezelési igények
• Új hozzáférés egy informatikai rendszerhez • Jogosultságok módosítása meglévő hozzáférés esetén • Jogosultságok visszavonása • Hozzáférés törlése
Jogosultság-kezelési folyamatok
• • • •
A jogosultság igénylésének menete Jóváhagyási procedúrák A tényleges beállítások megtétele Visszajelzések
Papír vs. számítógép •
A papíralapú jogosultság-kezelés ismérvei – Minden egyes informatikai rendszerhez saját igénylő formanyomtatvány kialakítása szükséges. – Tudni kell, kik a jóváhagyók, kihez kell továbbítani az igénylést, hol lehet utánajárni, hogyan áll a folyamat. Mi történik akkor, ha egy jóváhagyó szabadságra megy? – Nehézkes az utólagos ellenőrzés. Hogyan lehet gyorsan megmondani, kinek milyen jogosultságokat igényeltek a különböző rendszerekben?
•
Az elektronikus jogosultság-menedzsment ismérvei – A formanyomtatványok alapján elektronikus űrlapok kialakítására lesz szükség. – Az a jó, ha a rendszer képes automatikusan meghatározni a jóváhagyókat és továbbítani feléjük az igényeket. – A rendszer képes a jóváhagyási feladatok automatikus delegálására, szükség esetén eszkalációra. – Ha a rendszer nyilvántartja, hogy a folyamat milyen fázisban tart, kielégítheti az igénylők kérdezéseit. – Megfelelő tárolás esetén könnyen lekérdezhetőek a felhasználók jogosultságai.
Manuális vs. automatikus • A jóváhagyási folyamat általában igényel manuális beavatkozást (aláírás vagy gombnyomás). Szoftverrel támogatva megoldható, hogy több egyenértékű jóváhagyó legyen, és elég egyiküknek „bólintania” az érvényességhez. • Munkakör à szerepkörök à jogosultságok lebontás alapján az új munkavállaló automatikusan kaphatja meg szükséges jogosultságait. • A beállítások elvégzése lehet manuális (a HelpDesk munkatárs elvégzi a szükséges módosításokat), és lehet automatikus (az IdM hajtja végre az integrált rendszerben). • Egy vállalatnál/intézménynél cél lehet az összes rendszer online (automatikus) integrálása, de van értelme a jogosultságkezelés szempontjából kevésbé változó rendszerek esetében az offline integrációnak.
Ellenőrzések • Az IdM rendszer nem akadályozza meg, hogy a rendszergazdák az integrált rendszerekben szabadon módosíthassák a jogosultságokat. • Az IdM auditálásra alkalmas lehet, ha úgy készítik fel. Például lekérdezhetővé tehető, hogy egy felhasználónak ténylegesen milyen jogosultságai vannak beállítva illetve az IdM mely beállításokról tud. • Az auditor komponens lehetővé teszi a jogosultságütközések kimutatását.
II. Egy konkrét termék bemutatása • • • •
Folyamatok leképezése Elektronikus űrlapok Értesítések Riportok
Munkafolyamat (workflow)
A munkafolyamat részei • Variable (változó): a munkafolyamathoz kötődő értékek tárolására változók szolgálnak, • Activity: a munkafolyamat egyik főpontja (például: az igénylés, a vezető általi jóváhagyás vagy a beállítások elvégzése), • Action: egy Activity-hez tartozó, „elemi” művelet (például: vezetői jóváhagyás: 1. adat transzformáció, 2. felettes vezető értesítése, 3. a jóváhagyás művelete) • Transition (átmenet): átmenet egyik Activity-ből egy másikba (lehet feltételhez kötött vagy feltétel nélküli, kialakíthat párhuzamosan futó szálakat, vagy ragaszkodhat a soros végrehajtáshoz).
Activity
Action • Egy Action típusa négy különböző értéket vehet fel – Script: XPress nyelven vagy JavaScript-ben megírt szkriptkód. – Application: az IdM részeként, a főbb funkciókhoz megírt alkalmazás. – Subprocess: a subprocess egy munkafolyamat, amelyet tetszőleges munkafolyamatból meg lehet hívni. – Manual: kézi beavatkozást lehetővé tevő Action. Az elektronikus űrlapokat ilyen Action-höz lehet hozzárendelni.
Script
Application+Subprocess
Űrlap
Értesítések • Elektronikus levelek küldhetőek az érintett feleknek – E-mail a jóváhagyóknak a jóváhagyási feladatról – E-mail az IT-nek az offline beállításokról – E-mail a felettesnek és a felhasználónak a folyamat eredményéről
• Sablonok készíthetőek
E-mail sablon
Riportok
III. Egy IdM projekt felépítése • Felmérés: meglévő folyamatok egyeztetése, változtatási igények összegyűjtése à követelmény-specifikáció • Tervezés: koncepció kialakítása à koncepcióterv, rendszerterv elkészítése • Fejlesztés: erőforrás adapterek fejlesztése; munkafolyamatok kialakítása, űrlapok elkészítése (XPress szkriptek megírása) • Tesztelés: az elvárt működés ellenőrzése tesztrendszerben • Implementáció: az éles rendszeri környezet kialakítása • Végső tesztelés: tesztelés az éles rendszerben • Oktatás: a felhasználók képzése • Bevezetés: a rendszer éles üzembe helyezése, a használat során kiderülő garanciális hibák javítása
Eredmény
• Hatékony (egyszerre több helyen kezelhetik az igényt, delegálás stb.) • Nyomon követhető (naplózott események) • Átlátható (jól szabályozott folyamatok) • Kényelmes (gombnyomásra működő) rendszer.
Gara Péter, senior technikai tanácsadó
Köszönöm figyelmüket!
