Zarządzanie tożsamością i dostępem

Rozwiązania klasy IAM (Identity and Access Management) to systemy, których przeznaczeniem jest zarządzanie tożsamością i dostępem. Zawierają się one w obszarze bezpieczeństwa IT i służą – jak sama nazwa wskazuje – do zarządzania cyfrową tożsamością użytkownika, jego dostępem do danych, do systemów oraz do zasobów firmowych. Gartner określa systemy IAM jako te, które gwarantują wyłącznie właściwym osobom i w odpowiednim czasie uzyskać dostęp do zasobów. Mówiąc krótko, dostęp do danych firmowych może mieć miejsce tylko w uzasadnionych przypadkach, a uzasadnienie to może wynikać, np. z pełnionej funkcji pracownika lub w wyniku incydentalnego zdarzenia podlegającego odpowiedniej kontroli. 

Zabezpieczenia stosowane w systemach klasy IAM obejmują możliwość definiowania polityk dostępowych oraz zasad mających na celu redukcję ryzyka związanego z wykorzystaniem tożsamości jako elementu umożliwiającego nieuprawniony dostęp do zasobów organizacji. Oznacza to, że nie wystarczy znać poświadczeń (loginu i hasła) użytkownika o rozszerzonym dostępie, by skorzystać z jego uprawnień. Wymagany może być także dodatkowy składnik autoryzacji, również zarządzany przez system IAM. Dodatkową wartością wynikającą z wdrożenia systemu do zarządzania tożsamością i dostępem jest możliwość szybkiej reakcji na incydenty bezpieczeństwa, poprzez automatyczne lub ręczne odebranie uprawnień użytkownikom, którzy mogą stanowić zagrożenie.

  • Systemy klasy IAM (Identity and Access Management) wdrażane są przede wszystkim w celu uporządkowania kwestii związanych z zarządzaniem tożsamością użytkowników i ich dostępami do zasobów firmowych.
  • Jedną z podstawowych funkcji systemów IAM jest pojedynczy portal logowania (SSO) umożliwiający użytkownikom uzyskanie dostępu do wszystkich wymaganych aplikacji firmowych z jednego miejsca.
  • Rozwiązaniem wspierającym, często połączonym z systemami zarządzania tożsamością i dostępem jest dodatkowy składnik uwierzytelnienia, który znacznie podnosi bezpieczeństwo organizacji.
  • Nowoczesne systemy IAM pozwalają zautomatyzować wiele procesów obsługi tożsamości i dostępu, m.in. zakładanie kont użytkowników w aplikacjach, przypisanie licencji, wystawienie aplikacji w portalu dostępowym.
  • Strategia zarządzania tożsamością zakłada takie elementy jak pojedynczy katalog użytkowników (jedno źródło prawdy o tożsamości) oraz obsługa cyklu zatrudnienia pracownika (onboarding, offboarding, przesunięcia wewnątrz organizacji).
  • W najnowszym raporcie Magic Quadrant for Access Management, Gartner wskazał rozwiązania OKTA jako lidera obszaru.

WARTO PRZECZYTAĆ

Zarządzanie cyklem zatrudnienia użytkownika

Lifecycle Management (LCM) czyli zarządzanie cyklem zatrudnienia użytkownika to nic innego jak automatyzacja zarządzania tworzeniem, aktualizacją oraz usuwaniem użytkowników w aplikacjach docelowych. Jest to jedna z funkcji nowoczesnych systemów IAM dzięki której można w prosty sposób zapanować nad zarządzaniem użytkownikiem w organizacji. Jest to również rozwiązanie problemów „zapomnianych dostępów” kiedy to pracownik który nie pracuje dla organizacji od kilku miesięcy nadal może uzyskać dostęp do newralgicznych systemów firmy.

Dodatkowe funkcję LCM to możliwość żądania dostępu do aplikacji przez użytkowników czy tworzenie przepływów pracy w oparciu o istniejące aplikację bez potrzeby programowania. Wszystko po to,by uzyskać jak największy poziom automatyzacji procesów zarządzania tożsamością i dostępem.

Dodatkowy składnik uwierzytelnienia

Multifactor Authentication jest to rozwiązanie znacząco podnoszące bezpieczeństwo organizacji. Użytkownik w momencie logowania się do aplikacji jest proszony o potwierdzenie swojej tożsamości. To w jaki sposób użytkownik potwierdzi swoją tożsamość zależy od zastosowanego składnika dodatkowego uwierzytelnienia oraz od polityki organizacji która może dopuścić lub wymusić używanie jednego bądź wielu z nich. Dodatkowym składnikiem uwierzytelnienia może być aplikacja instalowana na telefonie komórkowym, odcisk palca, kod sms/email i wiele innych. Dodatkowy składnik uwierzytelnienia może być uruchomiony nie tylko do newralgicznych aplikacji, może również chronić sesję RDP, logowanie do systemu operacyjnego czy logowanie poprzez VPN.