Jeden człowiek, tysiąc haseł

Jeden człowiek, tysiąc haseł

Systemy zarządzania tożsamością ułatwiają dostęp do sieci

Weźmy pod uwagę prosty przypadek – użytkownik systemu zapomniał, jakie ma hasło, aby skorzystać z internetowej usługi. Nie może odebrać wiadomości lub dokonać przelewu w banku, nie może skorzystać z komunikatora Gadu-Gadu albo ze Skype’a. Takich systemów do różnych czynności jest dziś wiele. Np. dział przedsiębiorstwa dostaw energii odpowiedzialny za kontakty z klientem, popularnie zwany Biurem Obsługi Klienta (BOK), każdego z pracowników do tych kontaktów wyposażył oprócz telefonu np. w skrzynkę poczty elektronicznej, tzw. e-mail, komunikator typu Gadu-Gadu, Skype lub specjalizowaną aplikację, do której dane klienci wprowadzają za pomocą formularzy na stronie www przedsiębiorstwa.
Do systemów obsługiwanych przez pracownika BOK często dochodzą jeszcze inne systemy specjalizowane, takie jak system zarządzania relacjami z klientem (ang. CRM – Customer Relationship Management), planowania zasobów (ang. ERP – Enterprise Resource Planning) itd. Lista wykorzystywanych systemów jest znacznie dłuższa, jednak już te wymienione przyprawiają o zawrót głowy. Do każdego z nich potrzebna jest osobna nazwa użytkownika i hasło, za pomocą których system identyfikuje użytkownika. Zdarzają się sytuacje, w których wszystkie systemy podłączone są do jednego repozytorium użytkowników i w każdym systemie używamy tej samej nazwy użytkownika i tego samego hasła. Wtedy problemy z zapamiętaniem tych danych raczej nie występują. Rzeczywistość nie wygląda tak optymistycznie i do każdego z systemów wspomniany pracownik BOK posiada inną nazwę i inne hasło. Taka sytuacja stwarza problemy z zapamiętaniem haseł, jak również generuje duże koszty.
Zaczynamy więc dostrzegać problem skomplikowania naszych systemów i ogrom w sumie niepotrzebnej pracy, jaka musi być wykonywana przez administratorów systemów IT. Dla każdego użytkownika hasło jest ustalane z wykorzystaniem narzędzi danego systemu przez administratora. Zakładając, że każdy system jest administrowany przez inną osobę, zmianą haseł czy odblokowaniem użytkowników w wymienionych wcześniej systemach zajmuje się aż pięć osób.

Wszystko na jednym pulpicie

Z pomocą w takiej sytuacji przychodzą systemy zarządzania tożsamością (ang. IDM – Identity Management), których podstawowym zadaniem jest zintegrowane zarządzanie prawami dostępu do systemów IT. Oczywiście systemy IDM realizują o wiele więcej zadań niż zarządzanie prawami dostępu użytkowników. Do ich podstawowych funkcji należy również wykonywanie audytów, raportów, pojedynczego logowania itd. Do najczęściej wykorzystywanych należy zaliczyć zarządzanie prawami dostępu, które pozwala na obsługę kont użytkowników wielu systemów z wykorzystaniem jednej konsoli administracyjnej. Istnieje również możliwość integracji danych o użytkownikach z kilku systemów do jednego dużego repozytorium, jednak takie podejście wymaga zmian w systemach powiązanych. W wersji „nieinwazyjnej” oprogramowanie IDM zarządza tylko kontami użytkowników w podłączonych systemach. Wykonywanie audytów i raportów o lukach i odstępstwach w systemie zarządzania użytkownikami jest wykorzystywane przy wykrywaniu nieprawidłowości związanych z nieuprawnionym dodawaniem użytkowników.

Zaloguj się tylko raz

W idealnym przypadku konta nowo zatrudnionego pracownika mogą być zakładane automatycznie z wykorzystaniem systemu obsługi kadr. Wprowadzenie przez obsługę kadr informacji o zatrudnieniu nowego pracownika może być automatycznie przekładane na utworzenie nowych kont użytkowników w zarządzanych systemach w zależności od np. funkcji, którą osoba zatrudniona będzie pełniła w organizacji.
Przedstawione funkcje wspomagają pracę administratorów systemów IT i redukują koszty zarządzania nimi, ale co z użytkownikiem? Przecież nadal musi on pamiętać wszystkie nazwy użytkowników i hasła tak jak do tej pory, jeśli nie zostało stworzone centralne repozytorium użytkowników. Tutaj z pomocą przychodzi mechanizm zwany pojedynczym logowaniem (ang. SSO – Single Sign-On). Działanie tego mechanizmu polega na przekazywaniu do pozostałych wykorzystywanych przez użytkownika systemów informacji o tym, że jesteśmy już zalogowani z określonymi danymi. W takiej sytuacji wspomniany pracownik BOK podaje nazwę użytkownika i hasło tylko raz podczas autoryzacji w pierwszym wykorzystywanym systemie.

Zapomniałeś hasła?

Gdy mamy tylko jedną nazwę użytkownika i jedno hasło, problem jego zapamiętania pozostaje nadal aktualny. Tutaj z pomocą przychodzi moduł IDM odpowiedzialny za tworzenie nowego hasła lub uzyskiwanie starego za pomocą odpowiedzi wcześniej zdefiniowanych przez użytkownika na nietypowe pytania. Przykładem może być zakładanie bezpłatnych kont e-mail na serwerach www. Podczas takiego procesu mamy możliwość wyboru pytania, np. „Jakie jest twoje ulubione zwierzę?”, i naszej odpowiedzi. W przypadku kiedy zapomnimy hasła, możemy uzyskać nowe, podając odpowiedź na zdefiniowane pytanie oraz nazwę użytkownika. Tak samo realizowane jest to w przypadku systemu IDM, który udostępnia przez www aplikację do ustawiania nowych haseł dla użytkowników. Takie podejście redukuje konieczność wykonywania telefonów do administratorów, a co za tym idzie oszczędza czas i pieniądze.
ABG SA jako lider w produkcji oprogramowania i wdrażaniu rozwiązań produktów gotowych, w tym systemów Identity Management, ma duże doświadczenie w rozwiązaniach integracji użytkowników oraz zarządzaniu tożsamością. Wdrożenie przez ABG IDM w połączeniu z systemami dziedzinowymi pozwala użytkownikom tych systemów na optymalizację kosztów utrzymania wdrożonych rozwiązań informatycznych. Oferowane systemy zarządzania tożsamością przeznaczone są dla dużych organizacji, opierających swoje działanie na wykorzystywaniu co najmniej kilku systemów IT przez kilkudziesięciu użytkowników.

Mirosław Bartecki
Główny Architekt Pion Technologii i Standardów ABG SA

Wydanie: 12/2009

Kategorie: Nauka

Napisz komentarz

Odpowiedz na treść artykułu lub innych komentarzy