Form management system – Part Three

Co neudělá systém, musí udělat lidé

Ale ve skutečném životě se věci nedělají samy. Takže pokud má vše fungovat tak, jak jsme popsali, je třeba vyčlenit čas informatika a doufat, že nikdy neudělá chybu. Nebo nasadit informační systém pro správu identit (IM – Identity Management).  „Podniky se pro nasazení identity management systému rozhodují zpravidla až poté, co se stane nějaký průšvih,“ shrnuje svou zkušenost divizní ředitel v Software602 Antonín Drahovzal. „Úřady, které jsou ze zákona povinny ošetřit přístup do centrálních registrů, k tomu mívají odpovědnější přístup.“ Jak vysvětluje, teprve při nasazování IM se mnohdy najdou chyby, kterých prakticky nebylo možné si všimnout. Třeba případu, kdy tentýž uživatel má právo navrhnout nákup a zároveň tento nákup schválit.

Správně nasazený IM znamená nejen zpřehlednění, ale také faktickou automatizaci činností, které se správou oprávnění souvisejí. Třeba tak, že do podniku přijde nový zaměstnanec, je vytvořen odpovídající záznam v personálním nebo mzdovém systému, data jsou přenesena do systému pro správu identit a odtud jsou automaticky nastavena přístupová práva ve všech systémech a případně i vygenerován certifikát. Jindy je zaměstnanec přeřazen do jiného oddělení, a jakmile je změna zanesena do personálního systému, jsou automaticky zrušena dosavadní oprávnění a nastavena nová. Když je odvolán významný manažer, je oprávnění vidět na klíčové zdroje informací a zasahovat do nich zrušeno během několika minut. Když chce zaměstnanec přístup k dalšímu zdroji informací, zadá požadavek na portálu nebo do inteligentního formuláře, elektronicky podepíše, požadavek projde schvalovací cestou, a po pár hodinách dostane žadatel e-mail o tom, že oprávnění bylo přiděleno.

Úspora času a pořádek v právech

To všechno umožňuje skupina funkcí zvaná „provisioning“, která spočívá v tom, že prostřednictvím jednoho informačního systému jsou prováděny změny v jiných systémech a technických zařízeních. Běžný laik se s ní setká třeba tak, že zavolá do O2, objedná si službu, slečna v call centru zanese požadavek do svého počítače a za chvíli jsou přenastaveny příslušné prvky v telekomunikační síti, takže zákazník může využívat další služby. IM funguje obdobně.

Pokud organizace personální systém, řešení pro správu identit může jeho funkce nahradit. Novell Identity Manager poskytuje minimálně srovnatelný servis jako většina HR systémů. „Jsme zvyklí pracovat se zákazníky, kteří už mají SAP HR, Oracle, Elanor nebo jakýkoliv jiné řešení.  Nabízíme pro ně i předpřipravené konektory. Ale pokud organizace ještě nemá tuto problematiku pokrytu a uchovává jen základní data o zaměstnancích ve mzdovém systému, má příležitost řešit se správou identit i podporu HR procesů,“ říká technický specialista Novellu Zdeněk Stehlík.

Není pochyb, že nasazení IM radikálně zvyšuje informační bezpečnost. Což je ostatně logické. Čipové karty, hesla o 30 písmenech ani čtení oční duhovky nepomohou, pokud není jistota, že k cenným zdrojům informacím byl poskytnut přístup opravdu jen těm, kdo jsou k tomu určeni. Ale stejně významným přínosem je úspora času informatiků. Statistiky z USA uvádějí, že přibližně dvě třetiny požadavků na podporu souvisí se změnou, přidělením nebo zapomenutím hesla.  V organizacích, které mají Novell Identity Manager, si to uživatelé vyřizují sami.

Spokojenost na AMU

Nabízí se tedy otázka, proč jsou ještě organizace, které řeší správu uživatelských práv manuálně a proč  IM nenajdete ve firmách stejně často jako účetnictví. „Vlastně bych řekl, že nejčastější důvod je ten, že lidé nevědí o možnostech, které identity management nabízí. Nebo mají úplně zkreslené představy,“ vysvětluje Zdeněk Stehlík. Jak pokračuje, je vlastně jediná situace, kdy se podnik bez IM dlouhodobě obejde. „Pokud máte všechny programy, aplikace a softwarové komponenty od Microsoftu a víte, že ani v budoucnu nebudete chtít využívat žádný software jiného výrobce, potom můžete řešit nástroji Microsoftu i správu oprávnění. Ale to je spíše teoretická situace“. Podle Antonína Drahovzala je situace ovlivněná tím, že podniky zpravidla řeší přednostně to, co jim akutně znepříjemňuje život, takže systematická správa uživatelských práv se odsouvá na později.

Roli hraje i to, že přechod od manuálního přidělování přístupových práv (často založeném na ad hoc rozhodnutí šéfů) k systematickému přístupu vyžaduje určité náklady a určitou práci. Zdeněk Stehlík v této souvislosti připomíná, že velikost organizace není limitem. Licence se totiž platí podle počtu uživatelů a serverové funkce jsou zahrnuté v této ceně. Ale je zapotřebí vytvořit pravidla pro přidělování oprávnění a jejich rušení a je také třeba vyřešit technickou implementaci.

Výhodou jednoduchost

Právě v relativní jednoduchosti této technické implementace je obrovská konkurenční výhoda produktu Novellu, který jako jediný na světě může nabídnout práci v intuitivním grafickém rozhraní a připravená rozhraní pro prakticky každý systém, jaký vás napadne. „Mohu potvrdit, že grafické rozhraní hodně pomáhá, zvláště v prvních fázích zavádění systému,“ říká k tomu systémový administrátor AMU Jakub Ivanov, který s Novell Identity Manager pracuje. „Mohu si tam naklikat pravidla, jaká potřebuji. A jakmile systém vytvořen, připojení každé další aplikace je mnohem snazší. Nemám srovnání s jinými produkty, ale s Novellem jsem spokojen.  Umí to všechno, co jsme zatím potřebovali.  Snad by mohla být jen méně striktní návaznost na změny v datech. Třeba v situacích, kdy někdo dokončí studium a chceme mu ještě nějakou dobu ponechat přístupy. Ale i s tím jsme si nakonec dokázali poradit.“

Pokud chce někdo prozatím řešit pouze zavedení jediného přístupového hesla pro všechny aplikace (tzv. single sign on), tedy ukončit situaci, kdy se uživatel musí opakovaně logovat a zadávat při práci různá hesla, je tu jednodušší nástroj Novell Secure Login. Mimochodem, jeho nasazení neznamená jen zjednodušení pro uživatele, ale především radikální zvýšení úrovně informační bezpečnosti.  

Další informace o novellovských produktech pro správu identit najdete zde.