Dnes je již standardním bezpečnostním modelem RBAC (Role Based Access Control), tedy přidělování oprávnění na základě rolí. Uživatelé nezískávají oprávnění přímo, ale skrze role. Tento přístup usnadňuje obvyklé akce jako přidání uživatele nebo změnu organizačního zařazení.

Pokud je v organizaci použit nástroj pro Identity Management (tedy správu identit a oprávnění), je v něm možné definovat role, se vzrůstajícím počtem oprávnění a rolí je však výhodnější použít pro navrhování a optimalizaci rolí specializovaný nástroj, jakým je například GovernanceMinder od CA Technologies.

CA GovernanceMinder

CA GovernanceMinder (dříve Role & Compliance Minder) může v integraci s IdM sloužit jako analytický nástroj pro vytváření a úpravy rolí oddělené od jejich reálného přidělování do aplikací. Přitom veškeré práce probíhají nad reálnými daty. Ta se dostávají do GovernanceMinder různými způsoby -  importem z Identity Managementu, přímým načtením z koncových systémů nebo například formou CSV importu. GovernanceMinder umožňuje spravovat celý životní cyklus role – od vytvoření a úprav, přes certifikaci, po export do IdM či výstupní sestavy. Exportovat lze pouze role, které jsou schválené neboli certifikované. Podstatnou výhodou je, že je možné mimo produkční verzi role držet i další připravované nebo historické verze. Takto lze vytvořit i novou verzi role, která již má reálné uživatele, přičemž nová verze role se do produkce opět dostane až po schválení.

Vytváření a editace rolí v GovernanceMinder místo přímo v IdM je lepší z hlediska bezpečnosti, protože nehrozí, že by uživatelé mohli získat nesprávná oprávnění skrze roli, která ještě nebyla určena k přidělování.

V GovernanceMinder lze definovat i pravidla pro přidělování rolí. Např. že každý uživatel, který splňuje nějakou podmínku (např. danou hodnotu nějakého atributu), má mít danou roli. Existuje několik typů pravidel, mimo jiné i pro definování Segregation of Duties (z určité množiny rolí může mít uživatel nejvýše jednu).

GovernanceMinder se skládá ze dvou hlavních částí – webového rozhraní (portálu) a starší klientské aplikace (Client Tools, dříve DNA neboli Discovery and Audit).

Společnost CA Technologies se snaží produkt GovernanceMinder úžeji integrovat s CA IdentityManager. Dále pozorujeme trend ve větším zapojení do business intelligence procesů a ETL, což dokazuje, že nově je v rámci licence dodávána i aplikace SAP Business Objects a nástroj Pentaho.

Důležitou součástí GovernanceMinder jsou nástroje pro podporu navrhování rolí. V následující techničtěji zaměřené části si nejprve ukážeme, jak se dá v GovernanceMinder pracovat s rolemi, a posléze se blíže podíváme na proces navrhování rolí.

Konfigurace – základní pojem

Klíčovým pojmem v GovernanceMinder je konfigurace. Konfigurace je množina uživatelů, business rolí, aplikačních rolí a vazeb mezi nimi.

Aplikační role neboli resource představuje konkrétní oprávnění do určitého systému (oprávněním se myslí např. skupina v Active Directory nebo role v SAP).

Business role v sobě obsahuje vazby na aplikační role a také další atributy.

Uživatel může mít vazbu na aplikační roli buďto přímo anebo skrze business roli. Vazby skrze business roli jsou preferované, neboť umožňují lépe kontrolovat a nastavovat oprávnění uživatele. Základní výhodou business rolí je jejich nízký počet (řádově menší než aplikačních rolí) a jejich vyšší srozumitelnost pro nonIT personál.

V Client Tools je konfigurace zobrazovaná jako trojice panelů - uživatelé, business role, aplikační role (resources, oprávnění). Pomocí základního příkazu Ctrl+L (LINK) lze snadno zobrazit vazby jedné entity na ostatní a přitom je barevně odlišeno, jestli jsou vazby přímo nebo skrze jinou entitu. Pokud si např. takto zobrazíme všechny vazby daného uživatele na ostatní entity, vidíme přímé vazby na oprávnění nebo business role fialově, vazby skrze jinou entitu (oprávnění skrze business roli, business roli skrze jinou business roli) zeleně a entity přidělené oběma způsoby červeně.

Client Tool

Pomocí Client Tools lze snadno zjistit např. tyto typy informací (některé z nich jsou pomocí nástrojů IdM hůře zjistitelné):

 • kteří uživatelé mají určité oprávnění
 • jakým způsobem má uživatel oprávnění přidělené (napřímo nebo skrze roli)
 • skrze které všechny business role je dané oprávnění přidělitelné

Vizuální přehlednost zobrazení konfigurace v Client Tools je značným kladem nástroje GovernanceMinder.

Definování rolí

Business role mohou být obecně dvou typů:

 • Procesní  - jsou vázány na určitý proces – např. schvalovatel, metodik…
 • Organizační – jsou vázány na organizační jednotku, typicky role jako Zaměstnanec, Nadřízený, pracovník Odboru financí atd.

Cílem definování business rolí je omezit oprávnění přidělená uživatelům napřímo. Rozlišují se dva hlavní přístupy k definování rolí: seshora dolů (top-down) a zezdola nahoru (bottom-up).

Definice rolí seshora dolů znamená, že na základě popisu business procesů a bezpečnostních pravidel stanovíme, jaká oprávnění by uživatelé měli mít. Výchozím bodem jsou tedy množiny uživatelů, kteří by měli mít na základě určitého business procesu stejná oprávnění. Na základě těchto oprávnění se definuje role.

Při definici rolí zezdola nahoru identifikujeme množinu oprávnění, která by měla být přidělována dohromady. Tato oprávnění se definují jako role. Výchozím bodem jsou tedy oprávnění, která mají uživatelé již přidělena.

Role mining

Pojem role mining se používá pro automatizovaný proces návrhu rolí na základě analýzy vazeb uživatel – oprávnění. Někdy se pojem role mining používá ve významu bottom-up role mining, neboli automatizovaný proces návrhu rolí zezdola nahoru.

GovernanceMinder nabízí řadu strategií pro objevování a navrhování kandidátů na role. Pro toto navrhování rolí se používá pojem Discovery a provádí se v Client Tools. Výsledkem strategií jsou návrhy rolí. Navržené role je třeba dále prověřit, vybrat si z nich a případně je upravit podle potřeb firmy. Je nutné brát v potaz, že oprávnění, která mají někteří uživatelé společná, spolu nemusí souviset, ale přesto mohou být vyhodnocena jako společný pattern. Od role miningu tedy nečekejte žádnou kouzelnou krabičku, která vám automaticky vytvoří business role, spíše dostanete pomocníka, který proces usnadní.

Jednotlivé strategie jsou různě konfigurovatelné. Mezi základní parametry nastavitelné u většiny strategií patří minimální počty uživatelů, resourců a navržených kandidátů rolí. Doporučuje se nezadávat maximální počet nalezených kandidátů větší než 3. Parametry jako minimum nově pokrytých vazeb, minimum nezahrnutých uživatelů a minimum nezahrnutých oprávnění (obojí lze zadávat v absolutních hodnotách nebo v procentech) slouží k upřesnění požadavků na navrhované role.

V některých navrhovacích strategiích je možno zvolit, jestli při vyhledávání preferovat role s hodně uživateli nebo s hodně oprávněními nebo preferovat pokrytí hodně vazeb uživatel-oprávnění. Existují totiž dva extrémy:

 1. Buď se hledají role, které budou obsahovat hodně oprávnění. V tom případě bude mít roli málo uživatelů. 
 2. Nebo se hledají role, které bude mít hodně uživatelů. V tom případě bude mít role málo oprávnění. Doporučuje se držet se zlatého středu a obě polohy vyvažovat.

Příklady strategií navrhování rolí

Nejjednodušší (a zároveň nejméně konfigurovatelné) strategie jsou „Basic Roles“ a „Iterated Search“. Krom výše zmíněných parametrů neumožňují nastavit žádné jiné. 

Pomocí strategie „Obvious Roles Discovery“ lze hledat kandidáty na role pro uživatele s přesně stejnými oprávněními nebo pro oprávnění s přesně stejnými uživateli.

Strategie „Characteristic Roles“ umožňuje zohlednit hodnoty atributu uživatele nebo oprávnění a tak např. navrhovat role charakteristické pro uživatele, kteří mají danou hodnotu určitého atributu.

„User-Hierarchy Based Roles“ slouží pro vytváření rolí kolem organizačních celků. Ty se zadávají výčtem atributů uživatele, na rozdíl od charakteristických rolí se nezadává požadovaná hodnota a lze vybrat více atributů než jeden. Podobná je strategie „Rule-Based Roles“ pro nalezení rolí, které budou přidělovány pravidly, proto je vyžadována shoda hodnot všech atributů. „Structured Search“ navíc reflektuje hierarchii zadaných atributů.

Strategie „Modeled-After Roles by Users“ navrhuje role podle explicitně vybrané skupiny uživatelů, což slouží pro vytváření role na základě nějaké společné vlastnosti vybraných uživatelů. Obdobně pro oprávnění je strategie „Modeled-After Roles by Resources“. 

„Propose Almost Matching Users“ je zajímavou strategií, jak nalézt uživatele, kteří mají skoro ta samá oprávnění, tj. mají aspoň zadané procento či počet shodujících se oprávnění. Tato strategie je vhodná pro zjištění, jaká oprávnění k roli přidat, aby ji mělo více uživatel. Obdobně volba „Propose Almost Matching Resources“ umožňuje refaktorovat již navrženou roli a přidat do ní další oprávnění, která jsou společná většině uživatelů v roli.

Proč použít pro audit a navrhování rolí CA GovernanceMinder

Analýza rolí přináší tyto výhody:

 • Optimalizace přiřazení oprávnění uživatelům prostřednictvím rolí
 • Optimální přiřazení oprávnění pomocí rolí
 • Nalezení uživatelů, kteří mají neoprávněně přístup
 • Nalezení a eliminace nadbytečných rolí nebo oprávnění
 • Návrh rolí dle organizační struktury či dalších atributů identit
 • Eliminace bezpečnostních děr
 • Řízení životního cyklu role, schvalování a verzování rolí
 • Možnost hloubkové analýzy oprávnění SAP

Autor: Alice Pitková