Infoware, 8-9/2009, Radoslav Hudec - Pri návrhu riešenia Identity & Access Management (IAM) u zákazníka som narazil na vážny problém. Bolo ním postavenie koncepcie rolí používateľov riadených produktom identity management (IDM), ich optimalizácia a progresívne prideľovanie. Určite každý architekt riešení IDM sa s tým stretáva pri návrhu a zákazník, ktorý nasadzuje riešenie IDM, sa snaží pochopiť, prečo správne definovanie rolí v riešeniach identity má kľúčový význam pre jeho projekt. Ak teda nasadenie IDM je strategickým rozhodnutím firmy, správa rolí a koncepcia ich tvorby amanažmentu je strategickým rozhodnutím architektov a administrátorov riešenia identity.

Čo sú roly používateľov IS v riešení IDM
Vo všeobecnosti možno povedať, že ide o biznis pohľad na kumulované práva používateľa informačných systémov spoločnosti. Roly v riešení identity zastrešujú viacero nastavení a práv, ktoré sú držiteľovi roly automatizovane prideľované identity managerom tak, že vytvárajú medzi entitou rola v riešení identity a kapabilita na koncovom systéme vzťah 1 to N. Tento model zabezpečuje ďalej optimalizáciu správy používateľov, ako aj optimalizáciu procesov žiadania o pridelenie prístupových práv prostredníctvom riešenia identity.

Stratégia zavádzania rolí
V návrhu riešenia identity je tvorba návrhu rolí súčasťou analytického dokumentu, ktorý vzniká pred nasadením riešenia identity a ďalej sa optimalizuje v časti User management projektu. Z koncepčného hľadiska pri zavádzaní konceptu rolí treba klásť veľa otázok. Pýtať sa správcov koncových systémov, akým spôsobom je zabezpečená správa používateľov, pýtať sa pracovníkov HR, ako nadväzuje pracovná pozícia na práva v IS, pýtať sa manažmentu, ako si predstavuje schvaľovací model žiadania o prístupové práva a podobne. Správca informačného systému prideľuje práva používateľovi v dvoch základných koncepciách: per User alebo per Group. Zväčša je koncepčne správny druhý prípad a rovnako, ako správcovia koncových systémov kumulovali tieto práva, roly IDM túto funkciu vykonávajú naprieč viacerými koncovými systémami. Najjednoduchší spôsob je vytvoriť taký počet rolí, aký je počet skupín v koncových systémoch. Rýchle a azda aj rozumné. Ale z pohľadu správcu systému IDM a jeho používateľov ide o cestu do pekla IDM. Používanie takýchto rolí sa stáva neprehľadným a ťažkopádnym.

Ako postupovať pri zavádzaní rolí
Model IAM maturity, ako spôsob prehodnotenia vyspelosti aktuálneho a želaného stavu riešenia IAM, automatizovanú správu rolí zaraďuje ako znak štandardizovaného stavu obchodného procesu. Súčasné riešenia identity priamo ponúkajú vytváranie hierarchických modelov rolí či biznis rolí.

Existuje veľa teoretických postupov, ktoré radia, ako prepojiť používateľské práva a priraďované roly. Model Role Based Access (RBAC), t. j. prístup používateľa na základe pridelených rolí, je známy už veľmi dlho. Koncepčne sa ako správny postup osvedčila tvorba stavových tabuliek prístupov do koncových systémov, pričom na základe jej analýzy možno vytvoriť kumulované biznis roly. Tie možno ešte ďalej optimalizovať a vytvárať tlak na definovanie a optimalizáciu biznis modelov spoločnosti. Problémom však stále zostane ich modulácia v čase, keďže aj informačné systémy spoločnosti sa menia, analýza rolí zostáva trvalým procesom.

Prvotný zoznam rolí sa rozširuje, dopĺňa a mení, pričom táto úloha zväčša zostáva na pleciach administrátorov IDM. Vynára sa otázka, ako a či vôbec tento proces možno vykonávať štandardizovanými prostriedkami tak, aby ponúkal komfortné rozhranie, analytickú presnosť a podporu od dodávateľa... (pokračovanie si môžete prečítať v pdf verzii článku)

Tagy: iam, idm, identity, identity management, rola, role management, single sign on, sso