Jak správně vybrat Identity Manager? Nejprve si určete priority

Po kterých vlastnostech se ptát? Tak jako by se měly odlišovat výrobky, i IdM jsou rozdílné na základě vlastností a funkcí. Mezi Identity Managery lze vybírat na základě toho, pro koho jsou určené i na základě jejich procesů. Při výběru je například dobré zohlednit licenci, výkonnost i rychlost a samozřejmě i „upgradovatelnost“.

Ještě, než začneme zmiňovat samotné prvky, jako je licence nebo kvalitní kód, je dobré si uvědomit, že mezi zásadní věci patří výběr dodavatele. Chcete produkt ze zahraničí, anebo z Česka? Chcete takového dodavatele, který je zároveň i vendorem IdM? Přemýšlíte nad tím, zda zvolit dodavatele na klíč, či máte v plánu řešení realizovat sami?

„Pokud si vyberete kvalitní IdM produkt, který bude obsluhován nedostatečně kvalitním týmem, vyhráno mít nebudete. Při výběru je dobré brát v potaz i samotný tým, který bude mít IdM na starost. V ideálním případě byste se měli poptat po implementaci přímo na vaše prostředí – nechte je, ať vám ukážou, v čem konkrétně vám IdM pomůže. Nechte dodavatele, ať vám na základě vašich potřeb navrhne řešení,“ upozorňuje Lukáš Cirkva, partner a ředitel společnosti BCV solutions.

Obecně v mnoha případech platilo, čím víc funkcí, tím lépe. I dnes se tímto heslem někteří uživatelé řídí. Srovnat produkty IdM mezi sebou je pro experta velmi těžké, v podstatě nemožné. Důvodem je právě rozsah funkcí a způsob jejich využití, o kterém rozhoduje implementační tým.

„Dříve byly IdM rozsáhlými nástroji funkcí pro implementační tým, který měl za úkol vytvořit z produktu cestou velkých úprav řešení na míru. Tyto IdM nebylo možné v základu používat, hodně bylo třeba dodělat. Organizace musely být velké – jinak by hrozilo, že se investice do podobné implementace jednoduše nevrátí,“  uvádí Lukáš Cirkva.

IdM posunují mnoho funkcí od programátorů k administrátorům. Aby i oni mohli co nejvíce funkcí udělat sami, například snadno připojit spravovaný systém. Nástroje IdM jsou jednodušší, intuitivnější, snadněji ovladatelné a rychleji nasaditelné. Raději méně funkcí, které jsou ovšem srozumitelné a snadno použitelné.

Otázka ohledně toho, kdo bude s Identity Managerem pracovat, patří mezi klíčová rozhodnutí a souvisí víceméně s předchozím aspektem. Jak již bylo zmíněno, IdM byly dříve velmi složité integrační nástroje – dnešní IdM se snaží využívat standardní funkce, které zvládá ovládat samotný administrátor, a to bez využívání implementátorů. Kdo bude s vaším IdM pracovat? Budou to uživatelé? Či má být IdM určený pro administrátory? Nebo je v plánu mít IdM jako infrastrukturní software, který pracuje na pozadí, a tedy ho budou mít díky četnosti transformací na starosti samotní programátoři? Tyto otázky je nutné si zodpovědět.

Existují tři základní skupiny uživatelských účtů, to jsou zákazníci, zaměstnanci a dodavatelé. Pro každou skupinu se uplatňují rozdílné IdM procesy. Valná většina IdM je uzpůsobena zaměstnaneckým účtům – moderní IdM mají ale také specializované funkce pro správu privilegovaných účtů PIM, které umožňují dočasné předání hesel.

Identita zaměstnanců obvykle vzniká a zaniká na základě smluvního úvazku, která se obvykle provádí personálním oddělením, kde ji načtou do IdM, či provedou změnu. IdM musí umět řešit i více pracovněprávních úvazku jednoho zaměstnance v jedné organizaci.

Pro vznik identity u externistů (dodavatelů, studentů, zákazníků) je možné používat webové rozhraní IdM. Externisti do systémů často přistupují pomocí VPN, přičemž se obvykle využívají certifikáty.

Účty aplikací či administrátorské účty – tedy ty účty patřící do skupiny technických a servisních, obvykle nesmí po odchodu jednotlivých zaměstnanců zaniknout. Není možné na ně aplikovat personální procesy, mají vlastní agendu procesů. V rámci IdM lze řešit kupříkladu agendu předávání jednotlivých hesel k aplikacím či účtům.

Privilegované účty (PIM) jsou určené například pro administrátory ve Windows. A pak jsou tu role aneb RBAC, tedy Role-Based Access Control. To je funkční mechanismus IdM. Značí získání konkrétních povolení a oprávnění pro pohyb v systému. Rozlišují se role aplikační, přístupové, byznys role a role dle typu přiřazení, automatické a ručně prováděné. „Je nezbytné vzít v potaz, jaké účty má v rámci firmy smysl zřizovat a následně i spravovat. Vše je pak také otázkou času a samozřejmě i otázkou finančních prostředků,“ upozorňuje Lukáš Cirkva, partner a ředitel ve společnosti BCV solutions s.r.o.

Procesy v rámci IdM reprezentují sledy událostí v rámci konkrétní identity – sledují vstupy uživatelů, synchronizaci i workflow. V rámci procesů lze rozlišovat několik základních, a to personální (změny pracovního poměru, změny popisných atributů, změny v organizačním zařazení), automatické (týkající se systémové synchronizace) i ruční zásahy (žádosti o přístupy v rámci GUI, VPN a další).

V rámci procesů je důležité se ptát po standardních personálních procesech a žádostech ohledně schvalování. Sledujte schémata jednotlivých procesů – zda odpovídají vašim nárokům a požadavkům.

Moderní IdM by měl být a obvykle také je – srozumitelný. Vše by mělo být uživatelsky přívětivé, jednoduché a rychlé – s tím souvisí i odezva web GUI, která musí být téměř okamžitá. Je proto dobré věnovat dostatečné množství času testování webového uživatelského rozhraní.

Volba licence je taktéž důležitým rozhodnutím. Opensource licence poskytuje uživatelům, respektive klientům, svobodu, zároveň je důležité si uvědomit, že volba opensource či closesource licence nesouvisí s aplikovatelností a kvalitou IdM. Ani jedna z nich není horší či lepší. Ptejte se proto na to, jak je vaše poptávaná licence omezená, a jaké služby nabízí dodavatel. Zároveň je však vhodné se poradit se svým právníkem.

Upgradovatelnost svědčí o skutečnosti, jestli je IdM moderní či nikoliv. Probíhá upgrade jednou za rok? Vychází vůbec nové verze? Kolik stojí upgrade Identity Manageru?

Jak moc je kvalitní kód, je vhodné prověřit ve chvíli, kdy se bude IdM implementovat a upravovat týmem vývojářů ve vaší firmě. To, jak poznat kvalitní kód, lze na základě mnoha parametrů, jako je například: dokumentace kódu – kvalitní je známkou kvalitního programu, kvality rozhraní, upgradovatelnosti, čitelnosti a dalších.

„Při výběru IdM se místo všemožných funkcí proto zaměřte spíše na dodavatele a řešení vašich úkolů. S výběrem nespěchejte – systémy IdM jsou určené na dlouhodobé používání a zároveň je vhodné doporučit zpracování malého testovacího projektu. Dbejte na to, které systémy IdM podporuje, jakou má IdM dokumentaci a které procesy umožňuje,“ uzavírá Lukáš Cirkva.