Gara Péter, senior technikai tanácsadó Identity Management rendszerek
I. Bevezetés Tipikus vállalati/intézményi környezetek Jogosultság-kezeléssel kapcsolatos igények Tipikus jogosultság-igénylési folyamatok Jogosultságok beállítása és elvétele A manuális jogosultság-kezelés problémái A jogosultságok kiosztásának ellenőrzése
Tipikus informatikai környezetek Közép-és nagyvállalatok valamint intézmények informatikai rendszerei képezik jelen vizsgálódás tárgyát. Az informatikai rendszerek (erőforrások) száma néhány tucattól több százig terjedhet. Különböző rendszerek menedzselése eltérő tudást igényelhet, egy-egy rendszert más-más operátor/rendszergazda kezelhet. A munkavállalók illetve külsősök különböző rendszerekhez, különböző jogosultságokat kaphatnak. Az eltérő rendszerekben eltérő felhasználói nevekkel rendelkezhetnek. Miképp függesztődik fel egy munkavállaló összes jogosultsága, ha felmond cégénél?
Jogosultság-kezelési igények Új hozzáférés egy informatikai rendszerhez Jogosultságok módosítása meglévő hozzáférés esetén Jogosultságok visszavonása Hozzáférés törlése
Jogosultság-kezelési folyamatok A jogosultság igénylésének menete Jóváhagyási procedúrák A tényleges beállítások megtétele Visszajelzések
Papír vs. számítógép A papíralapújogosultság-kezelés ismérvei Minden egyes informatikai rendszerhez saját igénylő formanyomtatvány kialakítása szükséges. Tudni kell, kik a jóváhagyók, kihez kell továbbítani az igénylést, hol lehet utánajárni, hogyan áll a folyamat. Mi történik akkor, ha egy jóváhagyó szabadságra megy? Nehézkes az utólagos ellenőrzés. Hogyan lehet gyorsan megmondani, kinek milyen jogosultságokat igényeltek a különböző rendszerekben? Az elektronikus jogosultság-menedzsment ismérvei A formanyomtatványok alapján elektronikus űrlapok kialakítására lesz szükség. Az a jó, ha a rendszer képes automatikusan meghatározni a jóváhagyókat és továbbítani feléjük az igényeket. A rendszer képes a jóváhagyási feladatok automatikus delegálására, szükség esetén eszkalációra. Ha a rendszer nyilvántartja, hogy a folyamat milyen fázisban tart, kielégítheti az igénylők kérdezéseit. Megfelelő tárolás esetén könnyen lekérdezhetőek a felhasználók jogosultságai.
Manuális vs. automatikus A jóváhagyási folyamat általában igényel manuális beavatkozást (aláírás vagy gombnyomás). Szoftverrel támogatva megoldható, hogy több egyenértékű jóváhagyó legyen, és elég egyiküknek bólintania az érvényességhez. Munkakör szerepkörök jogosultságok lebontás alapján az új munkavállaló automatikusan kaphatja meg szükséges jogosultságait. A beállítások elvégzése lehet manuális (a HelpDesk munkatárs elvégzi a szükséges módosításokat), és lehet automatikus (az IdM hajtja végre az integrált rendszerben). Egy vállalatnál/intézménynél cél lehet az összes rendszer online (automatikus) integrálása, de van értelme a jogosultságkezelés szempontjából kevésbéváltozó rendszerek esetében az offline integrációnak.
Ellenőrzések Az IdM rendszer nem akadályozza meg, hogy a rendszergazdák az integrált rendszerekben szabadon módosíthassák a jogosultságokat. Az IdM auditálásra alkalmas lehet, ha úgy készítik fel. Például lekérdezhetővétehető, hogy egy felhasználónak ténylegesen milyen jogosultságai vannak beállítva illetve az IdM mely beállításokról tud. Az auditor komponens lehetővéteszi a jogosultságütközések kimutatását.
II. Egy konkrét termék bemutatása Folyamatok leképezése Elektronikus űrlapok Értesítések Riportok
Munkafolyamat (workflow)
A munkafolyamat részei Variable (változó): a munkafolyamathoz kötődő értékek tárolására változók szolgálnak, Activity: a munkafolyamat egyik főpontja (például: az igénylés, a vezető általi jóváhagyás vagy a beállítások elvégzése), Action: egy Activity-hez tartozó, elemi művelet (például: vezetői jóváhagyás: 1. adat transzformáció, 2. felettes vezető értesítése, 3. a jóváhagyás művelete) Transition (átmenet): átmenet egyik Activity-ből egy másikba (lehet feltételhez kötött vagy feltétel nélküli, kialakíthat párhuzamosan futó szálakat, vagy ragaszkodhat a soros végrehajtáshoz).
Activity
Action Egy Action típusa négy különböző értéket vehet fel Script: XPress nyelven vagy JavaScript-ben megírt szkriptkód. Application: az IdM részeként, a főbb funkciókhoz megírt alkalmazás. Subprocess: a subprocess egy munkafolyamat, amelyet tetszőleges munkafolyamatból meg lehet hívni. Manual: kézi beavatkozást lehetővétevő Action. Az elektronikus űrlapokat ilyen Action-höz lehet hozzárendelni.
Script
Application+Subprocess
Űrlap
Értesítések Elektronikus levelek küldhetőek az érintett feleknek E-mail a jóváhagyóknak a jóváhagyási feladatról E-mail az IT-nek az offline beállításokról E-mail a felettesnek és a felhasználónak a folyamat eredményéről Sablonok készíthetőek
E-mail sablon
Riportok
III. Egy IdM projekt felépítése Felmérés: meglévő folyamatok egyeztetése, változtatási igények összegyűjtése követelmény-specifikáció Tervezés: koncepció kialakítása rendszerterv elkészítése koncepcióterv, Fejlesztés: erőforrás adapterek fejlesztése; munkafolyamatok kialakítása, űrlapok elkészítése (XPress szkriptek megírása) Tesztelés: az elvárt működés ellenőrzése tesztrendszerben Implementáció: az éles rendszeri környezet kialakítása Végső tesztelés: tesztelés az éles rendszerben Oktatás: a felhasználók képzése Bevezetés: a rendszer éles üzembe helyezése, a használat során kiderülő garanciális hibák javítása
Eredmény Hatékony (egyszerre több helyen kezelhetik az igényt, delegálás stb.) Nyomon követhető (naplózott események) Átlátható (jól szabályozott folyamatok) Kényelmes (gombnyomásra működő) rendszer.
Gara Péter, senior technikai tanácsadó Köszönöm figyelmüket!