ניהול זהויות IDM

תחום הפעילות של פרולינק ממוקד בעולם ניהול הזהויות וההרשאות (Identity and Access Management). אחת העובדות הפחות ידועות בתחום ניהול הזהויות, היא הכמות הגדולה מאד של טכנולוגיות, סטנדרטים ויצרנים הפעילים בתחום זה. על מנת לנסות ולעשות סדר בתמונה הרחבה, כדאי תחילה לנסות ולהגדיר מה אמור לכלול פרויקט ניהול זהויות. לפניכם סקירה והגדרות של מרכיבים אפשריים שונים, כולם קשורים בעולם ניהול הזהויות. ארגון המבקש ליישם מערכת ניהול זהויות יזדקק למימוש אחד או יותר מהמרכיבים הבאים.

הקצאת וביטול הרשאות (Provisioning / De-Provisioning)

זהו כנראה המרכיב המהותי ביותר והמשותף לכל פרויקט הנושא את הכותרת "ניהול זהויות": היכולת לשלוט בהרשאות כל המשתמשים, בכל השרתים, היישומים, בסיסי הנתונים ומאגרי המידע בארגון. מנגנון כזה מבטיח כי כל ישות העובדת עם משאבי הארגון, ויהיה זה עובד החברה, ספק חיצוני, קבלן משנה, לקוח וכדומה – כולם יהיו מסוגלים לבצע את עבודתם המוגדרת, תוך יכולת לגשת למשאבי מידע מותרים. יחד עם זאת יהיו אנשים אלה חסומים מלגשת למשאבים אשר אינם נחוצים לביצוע תפקידם. מאחר והגדרת התפקיד ו/או צורכי העבודה של אנשים שונים עשויים להשתנות במהלך הזמן, חייבת להיות יכולת להתאים ולשנות באופן מהיר את מכלול ההרשאות לאותו אדם, מיד עם שינוי הגדרת התפקיד ו/או צרכי העבודה.

מיכון תהליכים

מדיניות הארגון עשויה לדרוש כי הגישה למשאבים תהיה מותנית באישורים של גורמים ממונים רלוונטיים למשאב המוקצה. מנגנון תהליכים (Workflow) בא לאפשר קיום סדר פעולות רצוי בתהליך מתן הרשאה חדשה או ביטול הרשאה קיימת. יתר על כן, מנגנון תהליכים כזה יכול לאפשר ביצוע פעולות "ידניות" כחלק מהתהליך. למשל, תהליך קליטת עובד בתפקיד "ראש צוות" עשוי לכלול הזמנת טלפון סלולרי לעובד.

כלים ל"שירות עצמי"

לא תמיד ניתן לאפיין במדויק ומראש את סל השירותים שיש להקצות לכל עובד ועובד בארגון. מנגנונים ל"שירות עצמי" מאפשרים לעובדים לבקש ביזמתם גישה אל משאבים קיימים בארגון. בקשה כזו עשויה להתמלא באופן אוטומטי עבור חלק מהמשאבים (למשל: בקשה להצטרף לרשימת תפוצת דואר בנושא מסוים), או להיות נתונה לאישור גורם ממונה (למשל: בקשת גישה למערכת דוחות למנהלים).

כלים לשירות עצמי יכולים לשמש גם לטיפול בבעיות, וכך לחסוך מעורבות של גורמי תמיכה שונים בארגון (במקרים של בעיה למשתמש), ומאידך, לקצר מהותית את זמן הטיפול בבעיית המשתמש. דוגמא נפוצה לשירות עצמי בקטגוריה זו היא מנגנון לשינוי סיסמה. משתמש ששכח את סיסמת הכניסה שלו למשאבים בארגון, יכול להשתמש בכלי מסוג זה על מנת לאחזר את סיסמתו או לקבוע לעצמו סיסמה חדשה (בדרך כלל לאחר מענה על שאלות מזהות).

סנכרון סיסמאות (Password Synchronization)

אחת הבעיות הנפוצות בעבודה עם מספר גדול של משאבים ארגוניים, היא הצורך של המשתמש בהם לבצע הזדהות ("כניסה למערכת") מול כל משאב. עובדה זו נובעת מהגדרות אבטחת המידע בכל מערכת ומערכת אליה ניגש העובד. מנגנון סנכרון סיסמאות מבטיח כי סיסמאות העובד במשאבים שונים אליהם הוא ניגש, תהיינה זהות. שירות זה חוסך מהעובד את הצורך לזכור סיסמה שונה עבור כל מערכת ומערכת. מאידך, מנגנון כזה אינו חוסך מהמשתמש את הצורך לבצע תהליך הזדהות מול כל מערכת ומערכת.

שיפור "חווית המשתמש" בהקשר זה ניתן להשגה על ידי יישום מנגנון Single Sign On.

הזדהות אחודה (Single Sign On)

זמן לא מבוטל עלול להיות מבוזבז בפעולות ה"כניסה למערכת" למשאבים השונים בארגון. יתר על כן, משתמש עשוי להיכנס ולצאת מיישומים שונים מספר פעמים במשך יום העבודה, ובכל פעם לעבור את שלב ההזדהות מחדש.

מנגנון Single Sign On מאפשר ביצוע הזדהות יחידה, בדרך כלל בתחילת יום העבודה, ולאחריה יכולת להיכנס למשאבים השונים ללא צורך בפעולת הזדהות. מאחורי הקלעים, מנגנון SSO מספק ליישומים השונים את נתוני זהות המשתמש, במקומו של המשתמש. כך, לדוגמא, משתמש יזדקק להזדהות בעת הפעלת המחשב האישי, אך לאחר מכן, ברצותו להיכנס לשירותי הדואר האלקטרוני, למערכת תיקי הלקוחות, למערכת הדוחות, וכדומה – תבוצע הכניסה למערכות אלה ללא הצגת בקשת זיהוי המשתמש.

איחוד זהויות (Identity Federation)

יצירת "הסדרי אמון" בין ארגונים שונים, במטרה לאפשר למשתמשים משותפים לגשת למשאבי ארגון אחד ללא צורך בהזדהות, בתנאי שעברו בהצלחה תהליך הזדהות מול ארגון אחר.

דוגמא לכך היא לקוח של בנק, המעונין לבדוק את מצב החשבון באתר האינטרנט של הבנק. בכניסה לאתר נדרש הלקוח לספק נתוני הזדהות. לאחר הכניסה למערכת ובדיקת מצב החשבון, הלקוח מעונין לעדכן את הכתובת אליה הוא מקבל פירוט פעולות כרטיס האשראי שלו. בלחיצה על קישור מתאים, יועבר הלקוח לאתר חברת האשראי, ישירות למסך עדכון פרטי הכתובת שלו, ומבלי צורך להזדהות מול אתר חברת האשראי. הליך זה מתאפשר על בסיס הגדרות עסקיות וטכנולוגיות מתאימות בין הבנק לחברת כרטיסי האשראי.

יישום מנגנון Federation יכול להתאים במקרים מסוימים גם ליחידות ארגוניות שונות בתוך ארגונים גדולים.

ומושגים נוספים…

קצרה היריעה מלתאר את המגוון המלא של סטנדרטים, טכנולוגיות ותהליכים המשמשים כולם בפאזל הגדול של עולם ניהול הזהויות. נזכיר את הבולטים שבהם:

  • שירותי ספרייה (Directory Services )
  • פרוטוקול LDAP
  • הרשאות מבוססות תפקידים (Role Based Access Control )
  • מנגנון הרשאות ליישומי אינטרנט (Web Based Access controls)
  • ניתוח תפקידים ארגוני (Role Engineering)
  • שפת SAML – כמרכיב ביישומי Identity Federation
  • שפת SPML – כמרכיב ביישומי Provisioning

על יצרנים, מוצרים וקצת אבולוציה

הפונקציונליות המגוונת עליה מושתת תחום ניהול הזהויות, יחד עם האתגרים הטכנולוגיים אשר לעיתים אינם פשוטים למימוש, יצרו מציאות של ריבוי יצרנים בתחום זה. לא מעט מיצרני התוכנה התמקדו ב"פתרונות נישה", תוך הצגת מומחיות ממוקדת, בדרך כלל בתחום אחד של ניהול הזהויות.

קיימות דוגמאות למוצרים של ניהול תהליכים (Workflow), מוצרים לניהול הרשאות (Provision/De-Provision), מוצרים לאיחוד זהויות (Federation) וכדומה. כידוע, בשנים האחרונות קיימת התעוררות והתגבשות בתחום ניהול הזהויות. אם בפרויקטים הותיקים יכולנו לזהות שיקולי אבטחת מידע כגורם מרכזי לכניסה לפרויקט, הרי שהגורם השכיח לכניסה לפרויקטים חדשים הוא הצורך לעמוד ברגולציות, תקנים וחוקים חדשים.

מי שעקב אחר ההתפתחויות בתחום שם לב למעין "בהלה ל- IdM" (ניהול זהויות) בשנתיים-שלוש האחרונות: חברות תוכנה גדולות החלו בתהליך של רכישות ומיזוגים, כמעין "קיצור דרך" אל תחום ניהול הזהויות והיכולת להציג פתרונות אפשריים ללקוחות. תהליכי המיזוג לא מניבים תוצאות אחידות. טכנולוגיות מסוימות, חלקן טובות ומתקדמות, "נבלעו" והלכו לאיבוד או שונו לבלי הכר; אחרות נמצאות בשלבים שונים של תהליך קליטה אל סל המוצרים הקיים של היצרן הרוכש (ניכר בכלי ניהול לא אחידים ואינטגרציה לא שלמה).

מקצת מהיצרנים פעילים בישראל. פרולינק מטמיעה פתרונות IDM של RSA ו- NetIQ.   

קרא כאן על פלטפורמת RSA לניהול ובקרת זהויות והרשאות.
קרא כאן על מערכת לניהול זהויות של NetIQ.