Upravljanje identitetom

Identitet u fizičkom okruženju možemo predstaviti kao ogroman oblak u kojem se nalazi sve što možete reći o sebi. Kako elemente identiteta možete upotrebiti? U hotelu vam, u zamenu za pasoš, daju karticu za ulazak u sobu. Isto je i u sferi informacionih sistema, samo su načini manifestovanja vašeg identiteta i njegova upotrebna vrednost digitalni.

Neke delove cyber identiteta kreirate planski i redovno ažurirate; profil na Facebook-u, Gmail adresu za poštu, nalog na omiljenom forumu... Neke delove identiteta pravite jednokratno, na primer, samo da biste preuzeli program koji nije dostupan direktno. Iako ćete tada verovatno ostaviti „prilagođene“ podatke i e-mail adresu namenjenu takvim potrebama, na nekom nivou i nalozi koje koristite i oni koje ste zaboravili deo su vašeg identiteta. Takav digitalni identitet je haotičan i teško je upravljati njime.

Takvu situaciju ne želimo unutar jedne organizacije. Iako je struktura velike organizacije slična Internetu – u Srbiji bi tipičan primer toga bila državna preduzeća i druge organizacije sa razvijenim informacionim sistemom – njome se, ipak, može upravljati.

Zašto upravljati identitetom?

Velike organizacije već imaju informacione sisteme, ali su oni izuzetno složeni. To znači da ne postoji nijedan računar na kojem radi aplikacija koja nije bitna za poslovanje. U svakom većem preduzeću postoji više servera koji mogu da budu, a često i jesu, na različitom hardveru, pod različitim operativnim sistemima. Na svakom od njih se vrti neka aplikacija, a u složenim (npr. finansijskim) organizacijama može se naći desetak i više aplikacija koje zaposleni koriste. I partneri kompanije treba da pristupaju nekim resursima, a svako ima svoje potrebe i svoj nivo pristupa koji treba da bude definisan prema resursima kompanije.

Postaje teško definisati koji nivo pristupa treba da ima korisnik. Da li uopšte treba da ima pristup nekoj aplikaciji, i ako treba, do kog nivoa? Šta sme da uradi kada jednom pristupi određenom resursu? Treba voditi računa i o radnicima koji odlaze iz firme; vratiće ključeve od službenog auta, mobilni telefon i računar, ali ko će da isključi njihove naloge? To je korak koji se previše često preskače, a izuzetno je opasan iz bezbednosnog aspekta. Bivši zaposleni može preko Interneta da čita podatke, a može i da menja sadržaj. Nije samo urbana legenda da nezadovoljan bivši zaposleni, sa visokim nivoom pristupa, ukrade ili obriše ključne podatke.

Kada nova osoba dolazi u firmu, ona i ne zna šta joj sve treba da bi radila uspešno. O tome brinu administratori koji kreiraju naloge za pristup svim sistemima, određuju nivoe pristupa, a potom nedeljama naloge podešavaju dok novi radnik ne dobije sve što mu je neophodno. Taj proces troši vreme; uvek treba kontaktirati s nadređenim i administratorom, dok svima ne dosadi stalno traženje novih naloga i ovlašćenja pa zaposleni dobije pristup i onome što mu ne treba a da niko nema evidenciju o tome.

Možda u malim firmama to nije preveliki problem, ali u preduzećima sa više hiljada zaposlenih situacija se drastično menja. Fluktuacija osoblja je veća, pa se uludo utrošeno vreme meri nedeljama, a radi se o poslovima koji moraju biti automatizovani i kontrolisani.

Informacije na jednom mestu

Organizacije žele da imaju na jednom mestu sve informacije o aplikacijama i tome ko ima koji nivo pristupa, kao i ko je taj nivo odobrio. Pored toga, neophodno im je da imaju mehanizam praćenja načina na koji korisnici upotrebljavaju ovlašćenja za pristup aplikacijama u informacionom sistemu. Te želje zadovoljavaju programi za upravljanje identitetom (identity management).

Kada se jednom instalira takvo softversko rešenje, za svaku poziciju u firmi se definiše kojim delovima informacionog sistema može i treba da ima pristup. Tako se kreira organizovan kompanijski identitet. Novi zaposleni dolazi na poziciju za koju su već definisana pravila, pa se novoj osobi samo dodeli postojeći identitet. Kompanijski identitet pripada kompaniji, a korisnik ga samo zauzima dok radi na toj poziciji. Taj identitet se jednom kreira i strogo je definisan, a dodeljena mu je određena grupa resursa i određene funkcionalnosti.

Kada zaposleni menja poziciju unutar kompanije, dodeljuje mu se već postojeći identitet za novu poziciju, a stari ostaje spreman za novog zaposlenog.

Životni ciklus identiteta

Svaki kompanijski identitet prolazi kroz četiri faze. Prva je provisioning – proces otvaranja naloga na sistemima koje zaposleni treba da koristi. To bi trebalo da se radi onda kada su definisana radna mesta, a ne onda kada se pojavi novi zaposleni. U prvoj fazi je neophodno definisati i jasne linije koje će se pratiti za svaku poziciju u firmi i napredovanje zaposlenih, a sve treba automatizovati kako bi se što manje trošilo vreme na kasnije izmene.

Dodeljivanje uloga (role management) je deo ove faze, a taj segment rešenja služi za grupisanje naloga kojima zaposleni sa određenom ulogom treba da ima pristup. Tako se može definisati uloga sistem administatora, koja se može dodeljivati različitim identitetima prema potrebama funkcionisanja celog sistema.

U drugoj fazi, zaposleni koristi dodeljeni korporativni identitet. Na ovom nivou se menjaju lozinke i dozvole za pristup pojedinim resursima, a prema promenama radnih procedura u kompaniji i prema definisanim bezbednosnim pravilima. U ovu fazu spada i automatizovano obaveštavanje o zaboravljenoj lozinki, kao i sve ostalo što se sa digitalnim identitetom dešava tokom rada zaposlenog.

Treća faza podrazumeva praćenje rada kreiranih identiteta, menjanje njihovih podešavanja i eventualno kreiranje dodatnih za potrebe efikasnog rada. U četvrtoj fazi se kompanijski identiteti gase. Radi se o procesu koji ne treba raditi ručno, jer mogu ostati opasni „repovi“, već ga treba prepustiti specijalizovanom softveru i automatizovanim procedurama koje će se pobrinuti da informacioni sistem ostane bezbedan.

Rezultat kontrole i evidencije rada svih zaposlenih jeste transparentnost funkcionisanja sistema. Ako nešto krene po zlu, možete dobiti izveštaj ko je odgovoran, što u kompaniji koja ima desetine hiljada zaposlenih i ogroman sistem koji je teško fizički predstaviti unosi sigurnost u poslovanje.

Upotreba identiteta

Aplikacijama u kompaniji moguće je pristupati na razne načine, a jedan od njih je kroz portal. To je personalizovana Web stranica čiji je sadržaj, pristup Web aplikaciji, vezan za identitet korisnika. Jednom autentifikovani korisnik može slobodno da koristi resurse koji su mu namenjeni, bez potrebe da ponovo unosi lozinku za svaku aplikaciju. Autentifikaciju i autorizaciju omogućava single sign on komponenta. Sve ostale aplikacije neće tražiti nov unos korisničkog imena i lozinke, iako korisnik ima na njima naloge koji ne moraju da imaju iste podatke kao one koje koje korisnik unosi za pristup samom portalu. Kada korisnik uđe u aplikaciju za koju ima dozvolu, sistem za upravljanje identitetom zna kolika su njegova ovlašćenja i dozvole, odnosno nivo funkcionalnosti korišćenja neke aplikacije.

Istovremeno se manje vremena troši na unos login podataka, a manja je i šansa da će neko krasti te podatke. Sistem čuva minimalan broj atributa koji su mu potrebni da prepozna korisnika, a ne sve podatke o korisnicima koji postoje u bazi. Zato postojeći sistemi neće ni na koji način biti ugroženi time što će se u sistem dodati rešenje za upravljanje identitetom. Softver se instalira na poseban server, a postojeći serveri se ne diraju jer rešenje za upravljanje identitetom ima module koji mogu da komuniciraju sa svim kompanijskim resursima, i tako postaje spona između korisnika i resursa.

Sa rešenjem za upravljanje identitetom, uspostavljanje identiteta se radi samo jednom – na početku. Da bi se kreirao kompletan sistem, potrebno je angažovati ljude iz svakog odeljenja, iz svakog sektora i sve sistem administratore. Menadžment kompanije definiše procese, a procedura implementacije traje od 6 do 12 meseci, i to u etapama. Ovaj proces traje toliko pošto se radi o projektima koji obuhvataju veliki broj ljudi.

Bitno je da se radi o rešenju jednog vendora, jer je problematično raditi sa različitim vendorima ovako velike poduhvate. Oni dugo traju i teško se implementiraju, a traže se end-to-end rešenja. Umesto ranijih Point Product licenci sve je veća potreba za Suite Product licencama, a kompanija Saga, u saradnji sa Sun Microsystems-om, nudi taj tip licence i svoju ekspertizu u implementaciji rešenja za upravljanje kompanijskim identitetima koje je već implementirano kod nas u jednoj kompaniji sa preko deset hiljada zaposlenih.

Korisne adrese:

SAGA
http://www.saga.rs

© 1995-2024 PC Press. Sva prava zadržana.