Lietotāji vai zinām, kas pie mums strādā?
Lietotāji vai mēs zinām kas pie mums strādā
Mūsdienu biznesa vide
radikāli atšķiras no tās, kāda tā bija pirms desmit
gadiem. Tolaik tikai daži biznesa virzieni, piemēram,
tirdzniecība, darbojās, tieši kontaktējot ar klientiem,
mūsdienās gandrīz visi vai tas ir izmantojot veikalu,
tīmekļa portālu, vai atverot uzņēmuma informatīvās
sistēmas klientiem un partneriem. Ir skaidrs, ka laiks kad uzņēmuma
informatīvās sistēmas bija pieejams tikai tā darbiniekiem,
ir pagājis.
Ņemot vērā
pieaugošo sistēmu lietotāju skaitu, pieaug arī izmaksas
lietotāju pārvaldīšanai un riski. Risku pieaugums ir
saistīts ar informāciju, kas nepieciešama lietotājiem:
uzņēmuma patstāvīgajiem un pagaidu darbiniekiem, biznesa
partneriem, klientiem. Dodot pieeju uzņēmuma informatīvajām
sistēmām, ir nepieciešams precīzi identificēt
lietotāju un precīzi nodalīt pieeju pie aplikācijām un
informācijas.
Lietotāju
identitātes pārvaldība (identity management) sniedzas
daudz tālāk par paroļu pārvaldību, bet
dažādu ražotāju izpratne par to ir
atšķirīga. Arī piedāvāto produktu iespējas
ir atšķirīgas.
Ikdienā uzņēmuma
darbinieks var lietot vairākas aplikācijas, kuras var darboties dažādās
operacionālajās sistēmās. Katrai no tām parasti ir
savi lietotāju profili. Parasti tos pārvalda manuāli, arī
pārmaiņas tiek veiktas manuāli. Lietotājs, iespējams,
veic vairākas lomas, piemēram, ir darbinieks, biznesa vienības vadītājs,
darbojas kādā komisijā, sadarbojas ar ārējiem
klientiem, un katrai lomai ir citas aplikācijas un informatīvie
resursi. Katrā aplikācijā un informatīvajā
resursā lietotājam ir jāpiešķir pieeja
informācijai, kura viņam ir nepieciešama, vienlaikus nodalot
pārējo informāciju.
Parasti katrai
aplikācijai ir sava lietotāju vadība, savi lietotāju
vārdi, paroles, pieejas tiesību definēšana. Papildus tam
informācija par lietotāju var atrasties dažādos avotos
gan personāla vadības aplikācijās, gan dažādu
aplikāciju reģistros. Pareizinot lietotāju un viņu
izmantoto aplikāciju skaitu, varam nonākt pie daudziem
tūkstošiem dažādu lietotāju kontu. Kā rāda
analītiķu pētījumi, aptuveni 60 procenti lietotāju
kontu ir ar neprecīzām pieejas tiesībām, to skaitā
daļa kontu ir tādiem lietotājiem, kuriem šīs pieejas
tiesības vairs nav nepieciešamas vai kuri vairs nestrādā
uzņēmumā. Šādi lietotāju konti
informatīvajās sistēmas pakļauj uzņēmumu
nevajadzīgiem riskiem, atļaujot neautorizētu piekļuvi pie
uzņēmuma informācijas.
Neprecīza
lietotāju kontu informācija ir izskaidrojama ar uzņēmumu
informatīvo sistēmu dažādību un vienotas
administrācijas vides neesamību. Dažādām
aplikācijām ir dažādi īpašnieki, administratori,
drošības politika. Ņemot vērā informācijas
sadrumstalotību, ir gandrīz neiespējami efektīvi
pārvaldīt lietotāju informāciju, izmantojot manuālus
procesus un metodes.
Lielās
organizācijās gandrīz vienmēr kādas aplikācijas
administrators būs mācībās, komandējumā, slims,
atvaļinājumā vai citu iemeslu dēļ nespēs
operatīvi veikt izmaiņas lietotāju reģistrā,
nerunājot par gadījumiem kad tiek atbrīvoti daudzi desmiti vai
simti darbinieku un ir nepieciešams vienlaikus veikt izmaiņas
tūkstošos lietotāju kontos.
Lietotāju
identitātes un pieejas kontroles pārvaldībai ir jānotiek
centralizēti un integrēti, tas ir nepieciešams
organizācijas vienotuma dēļ. Integrācija ir atslēga
efektīvai lietotāju identitātes un pieejas kontroles
vadībai. Bez tās uzņēmums pakļauj sevi nopietniem
riskiem. Piemēram, tiek atbrīvots darbinieks, personāla vadības
sistēmā tiek veiktas izmaiņas. Ja identitātes
pārvaldība uzņēmumā netiek veikta efektīvi, var
gadīties, ka izmaiņas lietotāja kontos netiek veiktas visās
sistēmās un lietotājam paliek pieeja dažām no tām.
Nav grūti iedomāties, kādas problēmas var radīt
informācijas noplūde, ja bijušais darbinieks strādā
pie konkurentiem un var piekļūt iepriekšējā
uzņēmuma projektu reģistriem, cenām vai citai jutīgai
informācijai. Pareizinot problēmas varbūtību ar personāla
pārmaiņu skaitu gada laikā, nonākam pie milzīga
drošības un biznesa riska.
Ņemot vērā
dažādo ražotāju dažādās identitātes
vadības definīcijas, ir nepieciešams apskatīt, ko
identitātes vadībai vajadzētu darīt.
- Izveidot un
vadīt lietotāja identitāti visā tā dzīves
ciklā. Sākas ar lietotāja identitātes izveidi, pieejas
tiesību definēšanu un nepieciešamo darba plūsmu
identitātes un pieejas tiesību izveidošanai
aplikācijās. Identitāte tiks modificēta, lai
atspoguļotu izmaiņas, piemēram, departamenta maiņu,
darba pienākumu maiņu utt. Dzīves cikla beigās
identitāti likvidē.
- Pieejas tiesību
definīcijai tiek lietotas politikas. Pieejas politikas lieto, lai
aprakstītu dažādu lomu pieejas tiesības un būtu
konsekventa un automatizēta lietotāju identitātes
atjaunināšana, mainot lomu un atrašanās vietu
organizācijas struktūrā.
- Nosaka
lietotājiem pieejamās tiesības informatīvajos resursos
- vai lietotājs drīkst tikai skatīt datus, vai arī tos
labot un pievienot.
- Atbalsta procesus
pieejas tiesību apstiprināšanai, lietotāju
informācijas izveidi un apkalpošanu informatīvajos
resursos, regulatoru atbilstību atskaišu sagatavošanai,
kā arī citiem identitātes vadības procesiem. To
ievērošana ir ļoti nozīmīgs faktors
identitāšu vadības procesā, jo pieejas tiesību
piešķiršanai jānotiek ar vadītāja
autorizāciju. Lietotāju informācijas izveides procesā
ir notikumu plūsma un noteiktas darbības, kuras
jāievēro, lai korekti izveidoto pieejas tiesības.
- Nodrošina
pieejas kontroli uzņēmuma sistēmām. Izmantojot
lietotāju identitātes informāciju un kombinējot to ar
definētajām politikām, nodrošina lietotāju
pieejas kontroli konsekventā un aptverošā veidā.
Pieejas tiesības tiek nodrošinātas, balstoties uz
politikām, un ir bāzētas uz identitātes specifiskiem
atribūtiem, piemēram, nodaļa, amats, atrašanās
vieta utt.
- Nodrošina šo
funkciju veikšanu integrētā, automatizētā
režīmā. Uz politikām bāzēta identitātes
kontrole ļauj pārvaldīt identitātes
automatizētā režīmā, izmantojot definētos
pieejas noteikumus.
- Integrē ar
identitāšu reģistriem (directories)un citiem datu
avotiem. Nav efektīvi dublēt informācijas apjomu identitāšu
reģistros, tādēļ optimālāk ir
piekļūt tai tad, kad tas ir nepieciešams.
- Identitāšu
reģistru konsolidācija un integrācija. Tiek izmantota informācija
datu reģistros, tādējādi samazinot informācijas
dublēšanu.
Identitātes
pārvaldība ir daudz vairāk par paroļu
pārvaldīšanu vai autorizēšanās procedūras
vienkāršošanu. Tā ir identitātes un pieejas kontroles
dzīves cikla vadība no izveidošanas līdz brīdim, kad
tiek slēgti izveidotie konti. Tāpat tai vajadzētu integrēties
ar personāla vadības sistēmām, sekojot pārmaiņām
darbinieka statusā. Izmantojot šādu aptverošu
skatījumu uz identitātes kontroli, ir iespējams samazināt
uzņēmuma riskus, jo visas darbības ir automatizētas un
notiek, izmantojot definētās procedūras.
Identitātes
pārvaldības risinājumi
IBM Tivoli Identity
Manager 4.6 (TIM)
IBM produkts ir atzīts par
tirgus līderi gan Gartner, gan Meta, kā arī Frost&Sullivan
pētījumos par lietotāju kontu pārvaldīšanu. Priekšrocības
ir TIM spēja integrēties ar visdažādākajām
aplikācijām, integrētās darba plūsmas iespējas
lietotāju kontu pārvaldībai, automatizēta neautorizēto
lietotāju kontu atpazīšana un dažādās korekcijas
iespējas, plašais atskaišu klāsts. Mīnusi
lietotāja interfeisa sarežģītība, tiesa,
nākošajā produkta versijā, kura iznāks 2006. gada
janvārī, tas ir pārstrādāts, padarot to
intuitīvāku un vienkāršāku lietošanā.
Novell Identity Manager 2
Frost&Sullivan tirgus
pētījumā Novell ieņem sesto vietu pēc tirgus
daļas. Priekšrocība ir teicams lietotāja interfeiss,
spēja integrēties ar dažādām platformām un
aplikācijām. Mīnuss nepieciešamība pēc eDirectory
(Novell lietotāju reģistra serveris), kas ievieš jaunu
lietotāju reģistru avotu. Turklāt ir neskaidrības ar Novell
produktu nākotni, jo, ņemot vērā peļņas kritumu (2005.
gada martā peļņa bija par 90 procentiem mazāka nekā iepriekšējā
gada martā), daudzi akcionāri ir pieprasījuši pārdot
daļu kompānijas, atstājot tikai ar Linux saistīto
biznesu.
Microsoft Identity
Integration Server 2003 EE
Frost&Sullivan tirgus
pētījumā Microsoft ieņem devīto vietu pēc
tirgus daļas. Priekšrocība ir teicama veiktspēja Microsoft
produktu vidē, zema cena. Mīnuss nepieciešamība pēc
partneru risinājumiem, lai strādātu ar Linux, kā
arī neautorizētu lietotāju kontu automatizētai korekcijai,
tādējādi sarežģījot ieviešanu un
pārvaldību. 2005. gada martā divus partnerus nopirka BMC
un Oracle, tādējādi padarot Microsoft
piedāvājuma nākotni neskaidrāku.
Sun Java System Identity
Manager 5.5
IDC tirgus pētījumos SUN
ieņem septīto vietu pēc tirgus daļas. Priekšrocība
ir iespēja strādāt, izmantojot tikai aģentus, bet vienlaikus
tas ir arī produkta mīnuss, jo, mainot platformu un aplikāciju
versijas, ir jāmaina arī aģenti. Pie mīnusiem var
pieskaitīt arī orientāciju uz lieliem uzņēmumiem un
dažādo funkcionalitāti dažādu platformu un
aplikāciju aģentiem.
Uldis UPENIEKS,
IBM programmatūras
pārdošanas vadītājs Latvijā
Mūsdienu biznesa vide radikāli atšķiras no tās, kāda tā bija pirms desmit gadiem. Tolaik tikai daži biznesa virzieni, piemēram, tirdzniecība, darbojās, tieši kontaktējot ar klientiem, mūsdienās gandrīz visi vai tas ir izmantojot veikalu, tīmekļa portālu, vai atverot uzņēmuma informatīvās sistēmas klientiem un partneriem. Ir skaidrs, ka laiks kad uzņēmuma informatīvās sistēmas bija pieejams tikai tā darbiniekiem, ir pagājis.
Ņemot vērā pieaugošo sistēmu lietotāju skaitu, pieaug arī izmaksas lietotāju pārvaldīšanai un riski. Risku pieaugums ir saistīts ar informāciju, kas nepieciešama lietotājiem: uzņēmuma patstāvīgajiem un pagaidu darbiniekiem, biznesa partneriem, klientiem. Dodot pieeju uzņēmuma informatīvajām sistēmām, ir nepieciešams precīzi identificēt lietotāju un precīzi nodalīt pieeju pie aplikācijām un informācijas.
Lietotāju identitātes pārvaldība (identity management) sniedzas daudz tālāk par paroļu pārvaldību, bet dažādu ražotāju izpratne par to ir atšķirīga. Arī piedāvāto produktu iespējas ir atšķirīgas.
Ikdienā uzņēmuma darbinieks var lietot vairākas aplikācijas, kuras var darboties dažādās operacionālajās sistēmās. Katrai no tām parasti ir savi lietotāju profili. Parasti tos pārvalda manuāli, arī pārmaiņas tiek veiktas manuāli. Lietotājs, iespējams, veic vairākas lomas, piemēram, ir darbinieks, biznesa vienības vadītājs, darbojas kādā komisijā, sadarbojas ar ārējiem klientiem, un katrai lomai ir citas aplikācijas un informatīvie resursi. Katrā aplikācijā un informatīvajā resursā lietotājam ir jāpiešķir pieeja informācijai, kura viņam ir nepieciešama, vienlaikus nodalot pārējo informāciju.
Parasti katrai aplikācijai ir sava lietotāju vadība, savi lietotāju vārdi, paroles, pieejas tiesību definēšana. Papildus tam informācija par lietotāju var atrasties dažādos avotos gan personāla vadības aplikācijās, gan dažādu aplikāciju reģistros. Pareizinot lietotāju un viņu izmantoto aplikāciju skaitu, varam nonākt pie daudziem tūkstošiem dažādu lietotāju kontu. Kā rāda analītiķu pētījumi, aptuveni 60 procenti lietotāju kontu ir ar neprecīzām pieejas tiesībām, to skaitā daļa kontu ir tādiem lietotājiem, kuriem šīs pieejas tiesības vairs nav nepieciešamas vai kuri vairs nestrādā uzņēmumā. Šādi lietotāju konti informatīvajās sistēmas pakļauj uzņēmumu nevajadzīgiem riskiem, atļaujot neautorizētu piekļuvi pie uzņēmuma informācijas.
Neprecīza lietotāju kontu informācija ir izskaidrojama ar uzņēmumu informatīvo sistēmu dažādību un vienotas administrācijas vides neesamību. Dažādām aplikācijām ir dažādi īpašnieki, administratori, drošības politika. Ņemot vērā informācijas sadrumstalotību, ir gandrīz neiespējami efektīvi pārvaldīt lietotāju informāciju, izmantojot manuālus procesus un metodes.
Lielās organizācijās gandrīz vienmēr kādas aplikācijas administrators būs mācībās, komandējumā, slims, atvaļinājumā vai citu iemeslu dēļ nespēs operatīvi veikt izmaiņas lietotāju reģistrā, nerunājot par gadījumiem kad tiek atbrīvoti daudzi desmiti vai simti darbinieku un ir nepieciešams vienlaikus veikt izmaiņas tūkstošos lietotāju kontos.
Lietotāju identitātes un pieejas kontroles pārvaldībai ir jānotiek centralizēti un integrēti, tas ir nepieciešams organizācijas vienotuma dēļ. Integrācija ir atslēga efektīvai lietotāju identitātes un pieejas kontroles vadībai. Bez tās uzņēmums pakļauj sevi nopietniem riskiem. Piemēram, tiek atbrīvots darbinieks, personāla vadības sistēmā tiek veiktas izmaiņas. Ja identitātes pārvaldība uzņēmumā netiek veikta efektīvi, var gadīties, ka izmaiņas lietotāja kontos netiek veiktas visās sistēmās un lietotājam paliek pieeja dažām no tām. Nav grūti iedomāties, kādas problēmas var radīt informācijas noplūde, ja bijušais darbinieks strādā pie konkurentiem un var piekļūt iepriekšējā uzņēmuma projektu reģistriem, cenām vai citai jutīgai informācijai. Pareizinot problēmas varbūtību ar personāla pārmaiņu skaitu gada laikā, nonākam pie milzīga drošības un biznesa riska.
Ņemot vērā dažādo ražotāju dažādās identitātes vadības definīcijas, ir nepieciešams apskatīt, ko identitātes vadībai vajadzētu darīt.
- Izveidot un vadīt lietotāja identitāti visā tā dzīves ciklā. Sākas ar lietotāja identitātes izveidi, pieejas tiesību definēšanu un nepieciešamo darba plūsmu identitātes un pieejas tiesību izveidošanai aplikācijās. Identitāte tiks modificēta, lai atspoguļotu izmaiņas, piemēram, departamenta maiņu, darba pienākumu maiņu utt. Dzīves cikla beigās identitāti likvidē.
- Pieejas tiesību definīcijai tiek lietotas politikas. Pieejas politikas lieto, lai aprakstītu dažādu lomu pieejas tiesības un būtu konsekventa un automatizēta lietotāju identitātes atjaunināšana, mainot lomu un atrašanās vietu organizācijas struktūrā.
- Nosaka lietotājiem pieejamās tiesības informatīvajos resursos - vai lietotājs drīkst tikai skatīt datus, vai arī tos labot un pievienot.
- Atbalsta procesus pieejas tiesību apstiprināšanai, lietotāju informācijas izveidi un apkalpošanu informatīvajos resursos, regulatoru atbilstību atskaišu sagatavošanai, kā arī citiem identitātes vadības procesiem. To ievērošana ir ļoti nozīmīgs faktors identitāšu vadības procesā, jo pieejas tiesību piešķiršanai jānotiek ar vadītāja autorizāciju. Lietotāju informācijas izveides procesā ir notikumu plūsma un noteiktas darbības, kuras jāievēro, lai korekti izveidoto pieejas tiesības.
- Nodrošina pieejas kontroli uzņēmuma sistēmām. Izmantojot lietotāju identitātes informāciju un kombinējot to ar definētajām politikām, nodrošina lietotāju pieejas kontroli konsekventā un aptverošā veidā. Pieejas tiesības tiek nodrošinātas, balstoties uz politikām, un ir bāzētas uz identitātes specifiskiem atribūtiem, piemēram, nodaļa, amats, atrašanās vieta utt.
- Nodrošina šo funkciju veikšanu integrētā, automatizētā režīmā. Uz politikām bāzēta identitātes kontrole ļauj pārvaldīt identitātes automatizētā režīmā, izmantojot definētos pieejas noteikumus.
- Integrē ar identitāšu reģistriem (directories)un citiem datu avotiem. Nav efektīvi dublēt informācijas apjomu identitāšu reģistros, tādēļ optimālāk ir piekļūt tai tad, kad tas ir nepieciešams.
- Identitāšu reģistru konsolidācija un integrācija. Tiek izmantota informācija datu reģistros, tādējādi samazinot informācijas dublēšanu.
Identitātes pārvaldība ir daudz vairāk par paroļu pārvaldīšanu vai autorizēšanās procedūras vienkāršošanu. Tā ir identitātes un pieejas kontroles dzīves cikla vadība no izveidošanas līdz brīdim, kad tiek slēgti izveidotie konti. Tāpat tai vajadzētu integrēties ar personāla vadības sistēmām, sekojot pārmaiņām darbinieka statusā. Izmantojot šādu aptverošu skatījumu uz identitātes kontroli, ir iespējams samazināt uzņēmuma riskus, jo visas darbības ir automatizētas un notiek, izmantojot definētās procedūras.
Identitātes pārvaldības risinājumi
IBM Tivoli Identity Manager 4.6 (TIM)
IBM produkts ir atzīts par tirgus līderi gan Gartner, gan Meta, kā arī Frost&Sullivan pētījumos par lietotāju kontu pārvaldīšanu. Priekšrocības ir TIM spēja integrēties ar visdažādākajām aplikācijām, integrētās darba plūsmas iespējas lietotāju kontu pārvaldībai, automatizēta neautorizēto lietotāju kontu atpazīšana un dažādās korekcijas iespējas, plašais atskaišu klāsts. Mīnusi lietotāja interfeisa sarežģītība, tiesa, nākošajā produkta versijā, kura iznāks 2006. gada janvārī, tas ir pārstrādāts, padarot to intuitīvāku un vienkāršāku lietošanā.
Novell Identity Manager 2
Frost&Sullivan tirgus pētījumā Novell ieņem sesto vietu pēc tirgus daļas. Priekšrocība ir teicams lietotāja interfeiss, spēja integrēties ar dažādām platformām un aplikācijām. Mīnuss nepieciešamība pēc eDirectory (Novell lietotāju reģistra serveris), kas ievieš jaunu lietotāju reģistru avotu. Turklāt ir neskaidrības ar Novell produktu nākotni, jo, ņemot vērā peļņas kritumu (2005. gada martā peļņa bija par 90 procentiem mazāka nekā iepriekšējā gada martā), daudzi akcionāri ir pieprasījuši pārdot daļu kompānijas, atstājot tikai ar Linux saistīto biznesu.
Microsoft Identity Integration Server 2003 EE
Frost&Sullivan tirgus pētījumā Microsoft ieņem devīto vietu pēc tirgus daļas. Priekšrocība ir teicama veiktspēja Microsoft produktu vidē, zema cena. Mīnuss nepieciešamība pēc partneru risinājumiem, lai strādātu ar Linux, kā arī neautorizētu lietotāju kontu automatizētai korekcijai, tādējādi sarežģījot ieviešanu un pārvaldību. 2005. gada martā divus partnerus nopirka BMC un Oracle, tādējādi padarot Microsoft piedāvājuma nākotni neskaidrāku.
Sun Java System Identity Manager 5.5
IDC tirgus pētījumos SUN ieņem septīto vietu pēc tirgus daļas. Priekšrocība ir iespēja strādāt, izmantojot tikai aģentus, bet vienlaikus tas ir arī produkta mīnuss, jo, mainot platformu un aplikāciju versijas, ir jāmaina arī aģenti. Pie mīnusiem var pieskaitīt arī orientāciju uz lieliem uzņēmumiem un dažādo funkcionalitāti dažādu platformu un aplikāciju aģentiem.
Uldis UPENIEKS,
IBM programmatūras pārdošanas vadītājs Latvijā