IBM Security Identity Manager (ISIM)
IBM Security Identity Manager eða ISIM er öflug Identity Management lausn. ISIM er sú vara sem við hjá Innri höfum hvað mesta reynslu af. Í þessum pósti ætla ég að útskýra í stuttu máli um hvað ISIM snýst og hvernig varan getur nýst fyrirtækjum og stofnunum.
Hvað er Identity Management?
Identity Management er umsýsla með aðgangsheimildir notenda í tölvukerfum. Utanumhald um hvaða heimildir hver og einn hefur í hverju kerfi fyrir sig. Hvert kerfi fyrir sig hefur sínar leiðir til að sýsla með notendur. Identity Management kerfi eins og ISIM hins vegar yfirtekur notendaumsýslu í öllum tölvukerfum. Þannig er öll notendaumsýsla gerð miðlæg, stöðluð og sjálfvirk ef það er hægt. Með þessu fæst betri yfirsýn, einfaldara utanumhald og meira öryggi.
Af hverju ISIM
Af hverju að velja ISIM frekar en önnur Identity Management kerfi. Þar finnst mér best að benda á greiningu Gartner en IBM hefur haldið sig í leiðandi hluta í greiningu Gartner síðustu árin (Gartner’s Magic Quadrant for Identity Governance and Administration (IGA)).
Return of Investment (ROI)
Eitt af því mikilvægasta við innleiðingu tölvukerfa er ávinningurinn. Oft er fjárhagslegur ávinningur helsta ástæða fyrir innleiðingu tölvukerfa en aðrir þættir geta þó legið þar að baki. Það sem er sérstakt við ISIM hvað þetta varðar er að þrátt fyrir að ISIM sé öryggislausn þá eru viðskiptavinir Innri í flestum tilfellum að horfa fram á hratt Return of Investment. Þ.e að fjárhagslegi ávinningurinn er töluverður og hann fellst þá aðallega í færri vinnustundum sem eytt er í aðgangsstýringar, færri mistökum, betri yfirsýn og hraðari afgreiðslu mála.
Starfsferill útfærður í ISIM
Það sem ISIM gerir rosalega vel er að halda utan um starfsmenn í gegn um feril þeirra hjá fyrirtækinu. Ég ætla að tala sérstaklega um starfsmenn en ISIM getur einnig haldið utan um aðra aðila sem hafa aðgang að tölvukerfum, svo sem verktaka, viðskiptavini eða aðra. ISIM getur sem dæmi sótt upplýsingar frá öðrum kerfi, t.d. starfsmannakerfi og sjálfvirkt stofnað notanda fyrir starfsmanninn í ISIM. Í kjölfarið fer síðan fram mat á viðkomandi og ISIM getur stofnað grunn aðganga fyrir starfsmanninn ef þess er óskað. Kerfið notar upplýsingar um starfsmanninn, svo sem deild, titil, yfirmann o.fl. til þess að greina hvaða tölvukerfisaðganga notandi þarf. Þeir geta svo verið stofnaðir sjálfvirkt eða eftir viðeigandi samþykktarferil.
Síðan þegar starfsmaðurinn skiptir um hlutverk innan fyrirtækis getur ISIM sjálfvirkt aðlagað réttindi starfsmanns að nýjum starfsskyldum. Að lokum kemur að því að starfsmaður hættir. Kerfið hefur tengingu við öll tölvukerfi fyrirtækisins og nýtir það til þess að passa upp á að við starfslok þá sé lokað á aðgang starfsmanns í öllum þeim kerfum sem viðkomandi hafði aðgang að. Þannig er engin hætta á að aðgangar starfsmanns að einstökum kerfum gleymist eða yfirsjáist við starfslok.
Ferlar í ISIM
Í kerfinu eru mjög öflugir ferlar til að framkvæma ýmsar aðgerðir og framfylgja verklagi fyrirtækisins. Til að telja upp nokkra möguleika langar mig að nefna samþykktarferlar fyrir aðgangsveitingar, það er sá ferill sem fer í gang þegar ákveðinn aðgangur er veittur. Svo kallaðar Lifecycle reglur eru mjög öflugar og hægt er að keyra þær með reglubundnum hætti. Sem dæmi um slík Lifecycle reglu er að biðja ábyrgðaraðila verktaka að staðfesta á 6 mánaða fresti að viðkomandi verktaki þurfi enn aðgang að tölvukerfum. Annað dæmi um Lifecycle reglu sem mig langar að nefna gæti verið regla sem spyr yfirmann starfsmanns hvort hann þurfi enn aðgang að ákveðnu kerfi ef meira en 3 mánuðir eru frá síðustu innskráningu viðkomandi í kerfið.
Hvað ferla í kerfinu varðar þá langar mig að lokum að nefna rýni fyrir aðganga (Recertification Policies). Rýnin getur verið send sem dæmi á yfirmann starfsmanns þar sem hann er beðinn um að yfirfara alla tölvuaðganga starfsmannsins. Með þessu er tryggt að aðgangar starfsmanna séu rýndir reglulega og einhver sé ábyrgur fyrir því ef starfsmaður hefur of mikinn aðgang.
Hvernig framkvæmir ISIM aðgangsstýringar
Nú er ég búinn að tala mikið um hvað ISIM getur gert. Þannig langar mig að segja örlítið frá því hvernig hlutirnir gerast. ISIM getur tengst tölvukerfum sjálfvirkt og tekið yfir aðgangsstýringu í þau. Það er framkvæmt með svokölluðum adapters eða agents sem brúar bilið milli ISIM og þess tölvukerfis sem tengt er við ISIM. Með kerfinu fylgir fjöldinn allur af tilbúnum adapters og má þar nefna Windows AD, Office 365, SAP og Oracle DB svo eitthvað sé nefnt. Ef ekki er til adapter eða agent fyrir tölvukerfi þá er auðvelt að útfæra adapter fyrir hvaða kerfi sem er ef til staðar er góður API fyrir það kerfi.
Það er einmitt þess vegna sem ISIM gerir hlutina auðvelda en með sjálfvirkum tengingum við tölvukerfi fyrirtækisins þá getur kerfið stýrt öllum aðgöngum á auðveldan og skilvirkan hátt.
Aðgangsumsóknir o.fl.
Með ISIM kemur frábært notendaviðmót. Í því er hægt að bjóða notendum upp á meðal annars sjálfsafgreiðslu. Notandinn getur þar fundið þann aðgang sem hann þarf og sótt um hann. Umsóknin fer þá í gegn um viðeigandi samþykktarferli ef það á við. Það gæti t.d. verið eigandi þeirra gagna sem sótt er um sem samþykkir aðganginn eða yfirmaður viðkomandi starfsmanns. Þegar búið er að afla samþykkis fyrir aðgangsveitingunni þá veitir ISIM aðganginn sjálfvirkt og sendir tilkynningu á þann sem sótti um þess efnis. Með ISIM fylgir snjallsíma forrit (app) sem er sérstaklega hugsað til þess að samþykktaraðilar eigi auðvelt með að veita samþykktir. Þannig er ferilinn gerður þægilegur fyrir alla aðila.
Fyrir utan hraðari þjónustu þegar sótt er um aðganga þá langar mig að taka fyrir fleiri atriði sem snúa að ávinningi notenda. Í viðmótinu er t.d. hægt að breyta lykilorðinu sínu. Ef ISIM er stillt þannig þá er lykilorðinu breytt í öllum kerfum sem starfsmaðurinn hefur aðgang að við slíka breytingu. Þannig er ekki lengur þörf á því fyrir starfsmanninn að halda utan um fleiri en eitt lykilorð. Einnig er hægt að samtengja ISIM og Windows AD þannig að við breytingar á AD lykilorði starfsmanns þá breytir ISIM lykilorði viðkomandi í öllum öðrum kerfum samhliða.
Að lokum
Sjálfur hef ég unnið með ISIM núna í 6 ár og hef mjög góða reynslu af kerfinu. Hvet þá sem hafa áhuga á að kynna sér kerfið nánar að hafa samband. Innleiðing á slíku kerfi er einfaldari en margur myndi halda og ávinningur fæst mjög fljótt í ferlinu.
Ég vona að þessi lesning hafi verið áhugaverð og hvet þá sem vilja vita meira að hafa samband.