Podkast 22T28 IAM/IDM – Identity Access Manager / Identity Manager

WERSJA TEKSTOWA

Cześć, witam Cię w dzisiejszym odcinku mojego podkastu. Dzisiejszy temat to IAM zwany też IDM, czyli Identity Manager. O co tutaj chodzi? Chodzi przede wszystkim o automatyzację tworzenia kont administracyjnych użytkowników do poszczególnych systemów. Jak już zapewne wiesz, mówiłem o tym wcześniej, podstawową kwestią zapewnienia bezpieczeństwa w dostępie do zasobów, do infrastruktury jest identyfikacja. Żeby mieć informacje o tym, kto, gdzie ma dostęp to jest w ogóle pierwszy krok zrobienia czegokolwiek więcej w zakresie zabezpieczenia dostępu do naszych zasobów.

Ten IDM jest systemem, który ma pomóc zautomatyzować proces dodawania kont do poszczególnych systemów. Oczywiście systemem takim najbardziej popularnym z punktu widzenia implementacji i zarządzania to jest Microsoft Active Directory. Czyli to jest taki system, który wszyscy, którzy mają odpowiednio większą skalę, już taki system posiadają. Innymi takimi systemami mogą być systemy, które bezpośrednio z AD nie są spięte, czyli nie mają takich możliwości albo z powodów organizacyjnych nie zostało to wykonane. Mamy więc jakieś osobne bazy danych, informacji o użytkownikach do różnych systemów. Jeżeli mamy taki system automatyzujący IDM, to możemy wprowadzić tam procesy, które mówią, jeśli przyjmujemy nowego pracownika i on jest w roli np administratora, to dodaj konto temu użytkownikowi do AD, do jakiś lokalnych baz danych lub do innych systemów, które są wykorzystywane. W drugą stronę – w przypadku, gdy taki użytkownik odchodzi z organizacji, wtedy ten proces jest inicjowany w zakresie blokowania tych kont dostępowych.

Z punktu widzenia rozpoczęcia całego procesu zarządzania pracownikami, nie tylko administratorami, ale też zwykłymi pracownikami, którzy korzystają z komputerów jako narzędzia pracy, czyli mają jakieś swoje konta, mają mieć dostęp do jakiś systemów, nie wiem SAP-owych bądź innych. Systemy te nie koniecznie są spięte z domeną, chociaż oczywiście najlepiej jest, jeśli jest taka możliwość i jest to wdrożone, że mamy tylko jeden system, w którym trzymamy informacje o wszystkich użytkownikach. Gdy użytkownik przychodzi do organizacji lub z niej odchodzi to wystarczy, że odznaczymy to w tym jednym systemie. Jeżeli mamy taki jeden system, to taki klocek automatyzujący IDM nie jest nam potrzebny. Natomiast w większych organizacjach, najczęściej z powodów historycznych takich systemów niezintegrowanych z domeną jest dużo więcej. Więc jeśli chcemy nad tym jakkolwiek zapanować, to jedynym rozwiązaniem jest posiadanie dodatkowego komponentu, który nam te konta będzie tworzył i kasował w zależności od tego jaka sytuacja z pracownikami jest. Taki proces najczęściej jest inicjowany automatycznie. Więc jeśli mamy takiego IDM-a w formie takiej implementacji powiązanej np systemem HR-owym, to ten system HR-owy może wysłać taką informację do systemu IDM-owego lub ten system IDM-owy odpytuje co jakiś czas system HR-owy dotyczący listy użytkowników i poziomu ich dostępu. Jeśli wiemy, że jest to jakiś sprzedawca, to ma inny poziom dostępu, jeśli prezes to ma inny poziom dostępu, jeśli administrator to ma jeszcze inny profil.

Dzięki temu, możemy sobie w takich narzędziach IDM-owych, IAM-owych tworzyć pewne automatyzacje, dotyczące tego, gdzie dodajemy konta użytkowników, gdzie je kasujemy, gdzie powinniśmy wykonać akcję, która jest związana z uwzględnieniem pojawienia się i usunięcia pracownika z naszej organizacji. Mam nadzieję, że to było dla Ciebie ciekawe, dziękuję Ci za dzisiejszy odcinek i za poświęcony czas. Słyszymy się już za tydzień.