V minulosti byly zájmem správy identit především backendové funkce, výrobci se předbíhali s podporou dalších a dalších koncových systémů, zvyšovala se robustnost workflow, rostl reporting a míra customizovatelnosti nástrojů. Dnes pozorujeme trend jiný, zaměřený hlavně na frontend a snahu o přiblížení identity managementu lidem z businessu, tedy pracovníkům mimo IT oddělení.

Co je identity management?

Identity management je aplikace určená pro centrální správu uživatelských účtů v organizaci, popřípadě i mimo organizaci u partnerů nebo v cloudu. Základními benefity jsou zvýšení bezpečnosti díky vynucení pravidel, auditování změn účtů a automatizace procesů spjatých s životním cyklem identit. V principu je IdM vhodné pro organizace, které mají více uživatelských účtů, koncových systémů nebo podléhají regulacím (zejména legislativním požadavkům). V praxi jsme se setkali s řešeními nasazenými v nejrůznějších oborech – v energetice, bankách, středně velkých firmách, ve státní správě, na univerzitách atd.

Nezbytnou součástí řízení identit je i správa rolí a oprávnění. Zvláště ve větších organizacích je někdy vhodné využít i specializovaného analytického nástroje zvaného role management, který slouží pro modelování business rolí, skládajících se z více drobných oprávnění. To pak umožňuje poskládat model rolí z menšího počtu entit a učinit jej flexibilní vůči organizačním změnám, protože role je primárně určena pro organizační uzel či proces, který je dle potřeb vyplňován uživateli.

Příklad z praxe

Pojďme si na příkladu ukázat přínosy IdM nástrojů. Velký zákazník z finančního sektoru si na IdM pochvaluje nejvíce to, že noví zaměstnanci nemusí začátek své kariéry trávit neproduktivním čekáním na IT oddělení, až jim vytvoří potřebné přístupy, ale vše mají dopředu připraveno díky centrální správě identit. Část přístupů a oprávnění je možné automatizovat dle organizační struktury či procesů, o zbytek se zažádá v prostředí IdM. Výhodou žádosti přímo v IdM je, že neexistuje prodleva mezi schválenou žádostí a vlastní exekucí (tzv. provisioning účtu). Kdo má zkušenost z organizace, kde funguje klasický helpdesk či servicedesk, ví, o čem mluvíme. Žádost se nějakou dobu schvaluje (to je stejné i v IdM) a pak se zase čeká, až správce přístupy přidělí. V IdM je druhá část popsaného procesu okamžitá.

Standardy a protokoly

Podívejme se na některé internetové standardy a protokoly související s IdM a autentizací.  Vzpomeňme nejprve standard SPML, který měl snahu sjednotit základní rozhraní enterprise aplikací pro správu účtů. V praxi jsme se ale s uplatněním SPML příliš nesetkali, používá se spíše jako protokol pro komunikaci mezi komponentami samotných IdM. Zato snahy o standardizaci rozhraní pro řízení účtů a oprávnění v cloudu mají vyšší naději na úspěch než na enterprise úrovni, kde je heterogenita systémů přeci jen vyšší. Svou roli hraje i to, že moderní webové aplikace často vznikají na zelené louce a mají tak možnost implementovat standardní rozhraní již od návrhu. V oblasti internetového provisioningu se slibně rozvíjí například protokol SCIM (System for Cross-domain Identity Management) založený na REST API. Zatím je to docela mladý standard, ale počet implementací i funkcí stále roste. Na standardu spolupracují firmy Google, Salesforce.com, Ping Identity, Cisco, Sailpoint, CA a další.

Neměli bychom zapomenout ani na to, že se prosazují internetové standardy nezávislé na klasickém pojetí distribuovaného identity managementu. Mluvíme o standardech OpenID a OAuth, které si již našly cestu k mnoha poskytovatelům SaaS – zvláště do sociálních sítí, kde je logicky obrovská základna vhodného materiálu, uživatelů. Zmíněné standardy nemají vlastně s IdM přímo nic moc společného, jde primárně o mechanismy autentizace či autorizace, ale jednoduché požadavky na řízení účtů splnit mohou.

Pokud využijeme veřejného nebo i vlastního poskytovatele OpenID/OAuth identity, můžeme se pak touto identitou bezpečně autentizovat i do jiných napojených služeb. Uživatelé si typicky mohou u poskytovatele identity sami definovat míru sdílení dat s ostatními službami (e-mail, kontakty, role). Cílová služba pak může na základě přihlášení uživatele a doptání údajů třeba přes OAuth, získat dostatek informací k založení svého vlastního účtu. Jde však o specifické uplatnění se silnou závislostí na dostupnosti centrálního prvku, kde vzniká riziko „Single point of failure“.

Trendy

V dnešní době se nákup IT služeb stále více odehrává mimo klasické hranice IT infrastruktury organizace. Několik příkladů: Marketingové oddělení spustí extranetový portál pro zákazníky, management společnosti začne používat mobilní platformu pro reporting výkonnosti podniku a výroba nakoupí cloudovou službu pro rezervaci zdrojů. Ve všech případech je to ale nakonec práce a zodpovědnost IT oddělení aby zajistilo, že nové služby splní firemní politiku a nezanesou bezpečnostní riziko. Jedním z nezbytných důsledků tohoto vývoje je, že business musí přijmout více odpovědnosti za udržení bezpečnosti v aplikacích, které sám iniciuje. Ve světě identity managementu jsou to procesy certifikace/atestace přiřazených účtů a rolí, definování pravidel Segregation of Duties a u větších organizací může jít o modelování a schvalování business rolí. Tyto požadavky jsou navíc stále přísněji vynucovány regulačními normami či auditory. Výrobci IdM těmto požadavkům jdou vstříc – nejsou výjimkou řešení IdM s připraveným API pro integraci s mobilními platformami. Odbourávání tlustých klientů, modernizace a přívětivost dříve strohých grafických rozhraní jsou samozřejmostí. Manažer tak může rychle ze svého osobního smartphone (BYOD) schválit přidělení rolí zaměstnanci nebo si zobrazit report s přístupy dodavatelů k aplikacím.

Kromě většího zaměření na frontend je zjevná snaha výrobců rozšiřovat klasické IdM o funkce v oblasti analýzy rolí (role management) či analýzy využití přidělených oprávnění v aplikacích. Někteří výrobci již přijali trend a tyto nástroje přímo slučují s aplikacemi IdM, jiní je stále vyvíjejí a licencují jako oddělené produkty. Jde o logické spojení analýzy a exekuce v oblasti identit a jejich oprávnění. V budoucnu se možná dočkáme i dalšího sjednocování s produkty access managementu a SSO.

Jak bude vypadat identity management za pár let

Jak jsme již zmínili v úvodu článku, soudobým hybatelem vývoje IdM jsou cloudové služby ve formátu SaaS. Situaci lze trochu přirovnat ke stavu v enterprise IT před 5-7 lety – velký počet aplikací, ve kterých probíhá neefektivní správa uživatelů, jejich oprávnění a hesel. Je zde však patrný i určitý rozdíl – internetové služby jsou, co se technologií týče, více uniformní než typický „on premise“ software. To umožňuje rychlý vývoj konektorů pro klasické enterprise IdM a tak dnes společnosti, které disponují vlastním IdM nemají problém své účty spravovat i v externím prostředí. To asi není nijak překvapivá informace. Představme si ale společnost bez vlastního IdM a s aplikacemi masivně outsourcovanými v cloudu, jak a čím řídit účty? Když pomineme variantu řídit své cloudové aplikace z „on premise“ IdM, což je v dnešní době stále jasná první volba (zvláště v ČR), existují i další možnosti.

Revoluční myšlenkou je účty a oprávnění v cloudových službách řídit výhradně z veřejného cloudového IdM nástroje. Konzervativnější bezpečáci jistě zbystří nad vysokou koncentrací citlivých dat a pravomocí uložených u externího provozovatele. Společně s poměrně malou rozšířeností cloudových služeb v našich končinách, je otázka bezpečnosti asi největším blokem pro širší zavádění samotných IdM aplikací formou SaaS.

Přikláníme se k názoru, že bezpečnostní aplikace půjdou masivně do cloudu jako jedny z posledních. Dokážeme si představit společnosti, které by již dnes využili čistě cloudové IdM pro správu svých cloudových aplikací. Zkrátka proto, že taková společnost žádné interní systémy nemá nebo mít nechce. Poptávce po IdM v čisté variantě SaaS již dnes umí vyhovět první společnosti, které nabízejí konektory až k desítkám nejpoužívanějších webových aplikací. Jmenujme například firmu Ping Identity nebo Symplified jako zástupce oboru. Ani klasičtí výrobci IdM nezůstávají pozadu a nabízejí vedle „on premise“ IdM i cloudové IdM (většinou s omezenou funkcionalitou) hostované ve vlastním cloudu daného výrobce nebo jeho partnerů.

Závěr

Identity management se dnes soustředí hlavně na integraci příbuzných bezpečnostních a analytických produktů do jediného rozhraní, které je přístupné jak v klasickém webovém prohlížeči, tak i v mobilním zařízení. Výrobci tím sledují cestu většího zapojení zaměstnanců mimo IT do procesů identity managementu, protože stále více podnikového software je pořizováno jako služba mimo hranice IT oddělení. V oblasti cloudu se IdM dotahuje na velký boom aplikací SaaS, přičemž klasické pojetí distribuce účtů soupeří s centralizovanými poskytovateli identit využívající standardy OpenID a OAuth. AMI Praha je jednou ze společností, která je schopná svým zákazníkům pomoci s výběrem a nasazením IdM řešení. Nechme se překvapit, zda se v blízké budoucnosti podaří výrazněji se prosadit některému z IdM nástrojů poskytovaných formou SaaS. To by byla v oboru skutečná revoluce.

Autor: Martin Lízner