Jak správně vybrat Identity Manager? Nejprve si určete priority

Volba vhodného Identity Manageru (dále jen IdM) je pro zájemce jedním z klíčových úkonů. Každý, kdo se zajímá o bezpečnost svých zdrojů – účtů i aplikací, automatizaci procesů, delegaci oprávnění schvalování, centralizaci systémů či evidenci, chce pro sebe či firmu vybrat ten nejvhodnější IdM, který je na trhu k dostání. Různé firmy i jednotlivci potřebují a vyhledávají odlišné spektrum vlastností, a proto se pak na základě jejich preferencí liší postup a zohlednění produktu IdM – ty se totiž mezi sebou liší na základě zaměření i filozofie. 

Po kterých vlastnostech se ptát? Tak jako by se měly odlišovat výrobky, i IdM jsou rozdílné na základě vlastností a funkcí. Mezi Identity Managery lze vybírat na základě toho, pro koho jsou určené i na základě jejich procesů. Při výběru je například dobré zohlednit licenci, výkonnost i rychlost a samozřejmě i „upgradovatelnost“. 

Dodavatel je stěžejní

Ještě, než začneme zmiňovat samotné prvky, jako je licence nebo kvalitní kód, je dobré si uvědomit, že mezi zásadní věci patří výběr dodavatele. Chcete produkt ze zahraničí, anebo z Česka? Chcete takového dodavatele, který je zároveň i vendorem IdM? Přemýšlíte nad tím, zda zvolit dodavatele na klíč, či máte v plánu řešení realizovat sami?

„Pokud si vyberete kvalitní IdM produkt, který bude „vykoupen“ nedostatečně kvalitním týmem, vyhráno mít nebudete. Při výběru je dobré brát v potaz i samotný tým, který bude mít IdM na starost. V ideálním případě byste se měli poptat po implementaci Identity Manageru přímo na vaše prostředí – nechte je, ať vám ukážou, v čem konkrétně vám IDM pomůže. Nechte dodavatele, ať vám na základě vašich potřeb navrhne řešení,“ upozorňuje Lukáš Cirkva, partner a ředitel ve společnosti BCV solutions s.r.o.

Funkce v hlavní roli

Obecně v mnoha případech platilo, čím víc funkcí, tím lépe. I dnes se tímto heslem někteří uživatelé řídí. Srovnat produkty IdM mezi sebou je pro experta velmi těžké, v podstatě nemožné. Důvodem je rozsah funkcí a způsob jejich využití, o kterém rozhoduje implementační tým. 

„Dříve byly IdM rozsáhlými nástroji funkcí pro implementační tým, který měl za úkol vytvořit z produktu cestou velkých úprav řešení na míru. Tyto IdM nebylo možné v základu používat, hodně bylo třeba dodělat. Organizace musely být velké – jinak by hrozilo, že se investice do podobné implementace jednoduše nevrátí,“  uvádí Lukáš Cirkva, partner a ředitel ve společnosti BCV solutions s.r.o.

IdMka posunují mnoho funkcí od programátorů do GUI pro adminy. Aby i admin mohl co nejvíce funkcí udělat sám, například snadno připojit spravovaný systém. Nástroje IdM jsou jednodušší, intuitivnější, snadněji ovladatelné a rychleji nasaditelné. Raději méně funkcí, které jsou ovšem srozumitelné a snadno použitelné.

Pro koho je IdM určený? 

Otázka ohledně toho, kdo bude s Identity Managerem pracovat, patří mezi klíčové rozhodnutí a souvisí víceméně s bodem výše. Jak bylo zmiňované, IdM byly dříve velmi složité integrační nástroje – dnešní Identity Managery se snaží využívat standardní funkce, které zvládá ovládat samotný administrátor, a to bez využívání implementátorů. Kdo bude s Identity Managerem pracovat? Budou to uživatelé? Či má být IdM určený pro administrátory? Nebo je v plánu mít IdM jako infrastrukturní software, který pracuje na pozadí, a tedy ho budou mít díky četnosti transformací na starosti samotní programátoři? Tyto otázky je nutné si zodpovědět.

Řešené skupiny účtů

Do třech základních skupin uživatelských účtů se řadí zákazníci, zaměstnanci a dodavatelé. Pro každou skupinu se uplatňují rozdílné IdM procesy. Příkladem lze uvést proces nástupu zaměstnance, tj. vzniku pracovního úvazku. Valná většina IdM je uzpůsobena zaměstnaneckým účtům – moderní IdM mají ale také specializované funkce pro správu privilegovaných účtů PIM, které umožňují dočasné předání hesel. 

  • Identita zaměstnanců obvykle vzniká a zaniká na základě smluvního úvazku, která se obvykle provádí personálním oddělením, kde ji načtou do IDM, či provedou změnu. IdM musím umět řešit i více pracovněprávních úvazku zaměstnance v jedné organizaci.
  • Pro vznik identity u externistů (dodavatelů, studentů, zákazníků) je možné používat webové rozhraní IdM. Externisti do systémů často přistupují pomocí VPN, přičemž se obvykle využívají certifikáty. 
  • Účty aplikací či administrátorské účty – tedy ty účty patřící do skupiny technických a servisních, obvykle nesmí zaniknout po odchodu jednotlivých zaměstnanců. Není možné na ně aplikovat personální procesy, mají vlastní agendu procesů. V rámci IdM lze řešit kupříkladu agendu předávání jednotlivých hesel k aplikacím či účtům. 
  • Privilegované účty (PIM) jsou určené např. pro administrátory ve Windows. 

Role aneb RBAC, a tedy Role-Based Access Control, je funkční mechanismus IdM. Značí získání konkrétních povolení a oprávnění pro pohyb v systému. Rozlišují se role aplikační, přístupové, byznys role a role dle typu přiřazení (automatické a ručně prováděné). „Je nezbytné vzít v potaz, jaké účty má v rámci firmy smysl zřizovat a následně i spravovat. Vše je pak také otázkou času a samozřejmě i otázkou finančních prostředků,“ upozorňuje Lukáš Cirkva, partner a ředitel ve společnosti BCV solutions s.r.o.

Procesy a web GUI

Procesy v rámci Identity Managementu reprezentují sledy událostí v rámci konkrétní identity – sledují vstupy uživatelů, synchronizaci i workflow. V rámci procesů lze rozlišovat několik základních, a to personální (změny pracovního poměru, změny popisných atributů, změny v organizačním zařazení) automatické (týkající se systémové synchronizace) a ruční zásahy (žádosti o přístupy v rámci GUI, VPN a další). 

V rámci procesů je důležité se ptát po standardních personálních procesech a žádostech ohledně schvalování. Sledujte schémata jednotlivých procesů – zda odpovídají vašim nárokům a požadavkům. 

Moderní IdM by měl být a obvykle také je – srozumitelný. Vše by mělo být uživatelsky přívětivé, jednoduché a rychlé – s tím souvisí i odezva web GUI, která musí být téměř okamžitá. Je proto dobré věnovat dostatečné množství času testování webového uživatelského rozhraní. 

Licence, „upgradovatelnost“ a kvalitní kód

Volba licence je taktéž důležitým rozhodnutím. Opensource licence poskytuje uživatelům, respektive klientům, svobodu, zároveň je důležité si uvědomit, že volba opensource či closesource licence nesouvisí s aplikovatelností a kvalitou IdM. Ani jedna z nich není horší či lepší. Ptejte se proto na to, jak je vaše poptávaná licence omezená, a jaké služby nabízí dodavatel. Zároveň je však vhodné se poradit se svým právníkem. 

Upgradovatelnost svědčí o skutečnosti, jestli je IdM moderní či nikoliv. Probíhá upgrade jednou za rok? Vychází vůbec nové verze? Kolik stojí upgrade Identity Manageru?

Jak moc je kvalitní kód, je vhodné prověřit ve chvíli, kdy se bude IdM implementovat a upravovat týmem vývojářů ve vaší firmě. To, jak poznat kvalitní kód, lze na základě mnoha parametrů, jako je například: dokumentace kódu – kvalitní je známkou kvalitního programu, kvality rozhraní, upgradovatelnosti, čitelnosti a dalších. 

„Při výběru IdM se místo všemožných funkcí proto zaměřte spíše na dodavatele a řešení vašich úkolů. S výběrem nespěchejte – systémy IdM jsou určené na dlouhodobé používání a zároveň je vhodné doporučit zpracování malého testovacího projektu. Dbejte na to, které systémy IdM podporuje, jakou má IdM dokumentaci a které procesy umožňuje,“ uzavírá Lukáš Cirkva, partner a ředitel ve společnosti BCV solutions s.r.o.

O BCV solutions

BCV solutions je expert na IdM s vlastním Identity Managerem https://www.czechidm.com/. Pomáhají organizacím zlepšit správu uživatelů včetně jejich práv. Nasazují a vyrábí IdM, k produktu pravidelně přidávají další funkce a vlastnosti, které verzi rozšiřují. Jejich řešení CzechIdM spravuje organizacím přes 5 milionů účtů v České republice. BCV solutions je ryze česká společnost působící od roku 2008 (13 let). Více informací získáte na webu https://www.bcvsolutions.eu/