Řízení přístupu (Access Management) a řízení oprávnění v průběhu životního cyklu identit v organizaci (Identity Management) spolu s jednotným přihlášením (Single Sign On) do různých systémů pomáhají automatizovat správu a podstatným způsobem zvyšují bezpečnost ICT organizace. Všechny tyto funkce může zajišťovat buď jeden software, nebo kombinace několika systémů.

Současné informační systémy bývají už tak rozsáhlé, že se vždy na něco zapomene. To vede buď k omezování v práci (nedostatečná oprávnění k přístupu), nebo k ohrožení bezpečnosti. Druhým hlavním důvodem spolehlivého řízení přístupu a oprávnění je i to, že jedno jméno a heslo už nestačí, a aby se lidé dostali do nějakých systémů, snaží se tu spoustu jmen a hesel obcházet.

Další důvody pak vyplývají z předchozích dvou. Řízení přístupu a oprávnění identit a jednotné přihlášení do systémů zjednodušují práci zaměstnancům i administrátorům podnikových ICT prostředí, automatizují a zrychlují některé procesy a pomáhají i při přípravách na audity či jiné kontroly.

Autentizace a autorizace

Základem řízení přístupu a oprávnění je autentizace a autorizace. Autentizace přichází jako první, jde o proces určující skutečnou identitu uživatele. Pro ilustraci − když například zasunete platební kartu do bankomatu nebo firemní přístupovou kartu přiložíte k nějaké čtečce.

Autorizace přichází ve druhém kroku, v němž jde o ověření přístupových oprávnění uživatele vstupujícího do informačního systému. Uživatel proklamuje svoji identitu tím, že zadá PIN − toto říkám já a deklaruji, že jsem přístupovou kartu zasunul či přiložil ke čtečce právě já. Autorizace tedy představuje dokončení operace, že jde skutečně o mě. Potvrzením od systému (bankomatu) je, že je to pravda a mám přístup k výběru peněz. Uživatel tedy přichází k technologii a ta se ptá, zda je to skutečně on − autentizuje ho. Následně zadá PIN a tím svůj přístup ke svému kontu autorizuje.

Vícefaktorová autorizace a jednotné přihlášení

Vícefaktorová autorizace znamená, že uživatel při přihlašování něco zná a něco má. Například zná PIN či uživatelské heslo a má mobilní telefon, na který mu systém pošle autorizační SMS k dalšímu ověření totožnosti. Jde o jednorázové heslo, které je platné pouze pro jedno přihlášení nebo pro nějakou transakci. Jednorázová hesla se snaží vyhnout problémům spojeným se standardními statickými hesly, jako je například odposlechnutí hesla a jeho zneužití.

Aby toto vše fungovalo napříč informačními systémy, nasazuje se technologie jednotného přihlášení (Single Sign On), která umožní IT oddělení nezbláznit se ze správy spousty jmen a hesel. Jednotné přihlášení se postará o to, aby uživatel nemusel říkat jednotlivým systémům, že jde právě o něj. Aby se zkrátka přihlásil ze svého počítače jednou a měl přístup například ke službě síťového disku, firemnímu portálovému úložišti, e-mailu, k podnikovému informačnímu systému ERP, CRM a dalším zdrojům.

Průmyslové standardy

Za průmyslové standardy se dnes považují ty, které jsou už léta užívané − autorizační služba LDAP (Lightweight Directory Access Protocol), která přišla z dřívějšího světa operačních systémů Unix, dále Active Directory od Microsoftu a Radius, který je jedním z prvních autorizačních protokolů vůbec. Tyto technologie navíc nemusí stát samostatně a mohou být navzájem propojené. Na ně pak může být navěšený celý balík dalších řešení. Jednak totiž jde o protokoly, jednak mohou mít vlastní servery. Například pomocí služby Active Directory v operačním systému Windows se uživatel může přihlásit do systému a tato služba jej autentizuje a autorizuje. Tak se stane ale jen v případě, že použije služební počítač, který je prostřednictvím Active Directory plně zařazen do podnikového prostředí, takzvané domény. Všechny systémy v organizaci, pokud jsou zařazeny do její domény a podporují jednotné přihlášení, jsou se službou integrovány a díky tomu ihned poznají, že jde právě o konkrétního uživatele.

Bude-li se však chtít přihlásit do podnikového systému ze soukromého počítače z domova, buď to nepůjde vůbec, nebo bude muset vypisovat přihlašovací údaje (jméno a heslo) pro každý systém zvlášť, počínaje virtuální privátní sítí.

Jednotné přihlášení v praxi

Příkladem může být Google Single Sign On nebo podobná služba Facebooku. Je-li nějaká služba navázána na Google nebo Facebook, lze se do ní přihlásit jménem a heslem účtu od Googlu nebo Facebooku. Služba řízení oprávnění v tomto případě jednotlivým navázaným službám říká, že daný uživatel má požadovaná přístupová práva mít.

Za příklad nasazení řízení oprávnění identit a jednotného přihlášení v organizaci můžeme vzít personální oddělení, které nakládá s identitami pracovníků a jejich přístupů k ICT. Jelikož k řízení přístupů bývá ještě integrovaný personální systém, software automaticky přidělí pracovníkům HR práva ke zdrojům, která mají mít k dispozici. Finanční účetní například dostane přístup k adresáři e-mailů zaměstnanců. Stejně tak jsou přidělována práva dalším zaměstnancům organizace.

V případě nasazení jednotného přihlášení je rovněž výhodou, že když pracovník z organizace odchází, nemusí u něj IT oddělení kontrolovat a mazat více přihlašovacích údajů (hesel, jmen) do každého systému, ale vše se řeší pouze jednou a na jednom místě. V případě využití jednotného přihlášení si totiž systémy autorizaci předávají samy mezi sebou.

Článek byl publikován v komerční příloze Hospodářských novin ICT revue.

Související