Благодаря зрелости рынка современных решений проблем с реализацией возникнуть не должно.
Объединенная в сеть экономика эпохи глобализации требует дани: предприятия должны быстро и надежно обмениваться информацией в реальном времени, при этом они вынуждены бороться с сокращением бюджетов, повышением рисков и усложнением системных ландшафтов. Партнеры, банки, поставщики — все должны быть включены в процессы реального времени. Известные уже долгие годы технологии достигают в этих условиях пределов своих возможностей, и выйти на новый, более высокий уровень можно лишь путем последовательного использования современных технических подходов.
БЕЗОПАСНОСТЬ В БЫСТРОМЕНЯЮЩЕМСЯ МИРЕ
Управление федеративной идентификацией (Identity Federation Management, IFM) становится базовой технологией для введения ориентированных на услуги архитектур и эффективных надежных процессов (см. Рисунок 1), поскольку оно позволяет эффективно управлять идентификацией сотрудников, клиентов и поставщиков.
Рисунок 1. Неэкономично: традиционные концепции распределения прав доступа. |
Отдельными «мегатенденциями» и движущими факторами в области IFM являются сегодня федеративная идентификация («передача» выбранных признаков аутентифицированного пользователя от одной системы другой для устранения многочисленных процессов регистрации), ширящийся отказ от систем аутентификации на базе пароля, отражение фишинговых атак (см. статью Й. Вилле «Нет прощения 007» в мартовском номере «Журнала сетевых решений/LAN»), введение унифицированного управления угрозами (Unified Threat Management, UTM) и необходимость надежного управления доступом с КПК, клиентов Blackberry и прочих мобильных клиентов.
Кроме того, современным предприятиям приходится претерпевать стремительные процессы преобразований, прежде всего во время расширения или слияния. Они вынуждены постоянно вводить новые технологии с последующим предоставлением их сотрудникам, деловым партнерам и клиентам. Результат — необозримое множество цифровых личностей и растущая стоимость управления. Поскольку администраторы должны соблюдать все более строгие предписания, касающиеся конфиденциальности и защиты данных, им приходиться заниматься новыми и новыми проектами доступа и контроля (см. статью Й. Вилле «Быть внутри не в моде» в мартовском номере «Журнала сетевых решений/LAN» за этот год). Крайне насущной при растущих требованиях становится потребность эффективного обращения с ограниченными ресурсами.
В этой ситуации IFM помогает структурировать доступ к системам и управлению пользователями.
ТЕХНИКА ОТХОДИТ НА ЗАДНИЙ ПЛАН
Рисунок 2. Экономично: распределение прав доступа на основе ролей. |
Планирование и управление IFM относятся к организационно-политическим мероприятиям (см. Рисунок. 2). Оперативное управление не может делегировать стратегический инструмент отделу ИТ. В идеальном случае директор по информационным технологиям или директор предприятия должен сам позаботиться об управлении аутентификацией, прочно связав его со стратегией предприятия. Следует помнить о том, что соблюдение правовых предписаний и правил играет важную роль при введении управления идентификацией. Руководство компании или предприятия должно следить за тем, чтобы соблюдались правовые нормы таких законов и директив, как KontraG, Basel II, Sarbanes Oxley Acts (SOX), BDSG/LDSG, HGB.
Лишь после окончательного принятия концепции надлежащей структуры IFM выбирается и внедряется подходящее программное обеспечение. Вот эта часть и попадает в область ответственности инспекции ИТ, организации ИТ и технического отдела ИТ.
IFM — ЗАДАЧА УПРАВЛЕНИЯ
Управление идентификацией пользователей и правами доступа к комплексным бизнес-средам превращается во все более сложную задачу. Ключевым фактором является уже упомянутый широчайший круг пользователей корпоративных сетей и приложений, в результате заказчики, поставщики и деловые партнеры становятся составной частью организации.
В первую очередь при проведении деловых транзакций большое значение придается взаимосогласованным доверительным отношениям, а значит, требуется профессиональное управление идентификацией. При наличии общедоступного сайта Web на нем, помимо прочего, должны быть предусмотрены механизмы для противодействия нежелательным попыткам доступа со стороны хакеров или обиженных сотрудников. Но этого недостаточно: такие объекты, как регистрационные записи, номера контрактов и транзакций, также попадают в область ответственности управления идентификацией (см. Рисунки 3 и 4).
IFM НОСИТ СТРАТЕГИЧЕСКИЙ ХАРАКТЕР
Чтобы проекты IFM могли быть успешно реализованы, нужен стратегический подход: отделу ИТ, если он занимается внедрением, следует по собственной инициативе привлечь к работе высшее руководство.
При выборе программного обеспечения необходимо учесть, что деловые процессы предприятия не надо доверять решениям, которые «неплохо бы иметь», дешевым продуктам, а также тем производителям, кто попал в сложное экономическое положение. Предложения компаний, которые с их помощью стараются обезопасить свою основную сферу деятельности, необходимо особенно тщательно проверять на соответствие стандартам и открытость. И, прежде всего, нельзя выбирать решение управления идентификацией лишь потому, что его производитель или поставщик уже занимался на предприятии какими-то другими проектами.
На первый взгляд многие решения для IFM поддерживают огромное число различных приложений и платформ в сфере управления жизненным циклом пользователя и автоматизированного обеспечения. Однако такие решения управления идентификацией часто отвечают лишь за простые процессы, к примеру за создание, модификацию и удаление пользовательских записей, в то время как решения управления доступом ограничиваются отражением вирусов и «червей», пренебрегая основополагающей связью между пользовательской записью и доступом. Без интегрированного решения нагрузка предприятия со временем увеличивается, потому что для интеграции и совместного использования информации приходится обращаться к самым разным продуктам.
Особого внимания заслуживает также совместимость ПО с открытыми стандартами. В организацию Liberty Alliance, к примеру, входят более 70 предприятий для ускорения распространения открытых решений IFM и Web. Цель Liberty Alliance — создание глобальной «экосистемы» решений идентификации. В его недрах возник язык разметки для систем обеспечения безопасности (Security Assertion Markup Language, SAML), который среди прочего обеспечивает обмен идентификационными данными между службами Web. Microsoft — и без того уже тяжеловес на сцене IFM — поддерживает спецификации IBM, собранные под сокращением WS Federation (Microsoft вышла из Liberty Alliance).
Полноценное решение IFM должно обеспечивать эффективность деловых процессов и интегрировать все процессы в строгий расширяемый поток операций. Идеальное решение IFM должно отвечать всем потребностям предприятия и не мешать его работе. Решающим фактором для успешной интеграции в существующие деловые процессы являются исчерпывающая поддержка приложений и платформ, автоматизация потока операций, раздача прав, а также сопряжение старых систем с новыми распределенными средами и услугами на базе Web.
ЭЛЕКТРОННОЕ ПРАВИТЕЛЬСТВО И ЗДРАВООХРАНЕНИЕ
Особым вниманием управление идентификацией пользуется в области электронного правительства. Здесь IFM стало лучшим средством для ускорения коммунального управления, оптимизации внутренних процессов, улучшения коммуникации между органами управления. Подход IFM позволяет, например, коммунальному управлению сохранить «суверенитет данных» несмотря на высокий уровень открытости и взаимодействия с различными структурами. Таким образом гарантируются коммунальное самоуправление и оперативный обмен данными.
В Бельгии, в частности, уже через три года 8 млн человек получат цифровую карту в качестве надежного средства идентификации, аутентификации и подписи (исполнитель проекта — Sun). В Брауншвайге Siemens предлагает решение, благодаря которому тысячи школьников смогут безопасно пользоваться персональными компьютерами.
В Стокгольме используются продукты СА, с помощью которых более миллиона горожан смогут пользоваться электронными услугами. Однако объединить главные и второстепенные порталы в государствах, федеральных землях и общинах удастся лишь на базе открытой и нейтральной концепции IFM.
Не менее нуждается в IFM и здравоохранение. Здесь ценовой прессинг планируется сдерживать с помощью так называемых единовременных выплат по страховому случаю, а для оптимизации цепочки создания стоимости были выбраны электронное дело пациента и медицинская карта. Одновременно клиники должны оптимизировать свои потоки операций и уменьшить затраты на ИТ. Особенно серьезные проблемы возникают в связи с наличием множества целевых систем и требований к безопасности.
Достаточно большим клиникам — на 800-1000 больничных коек — внедрение IFM позволит экономить до нескольких сотен тысяч долларов в год.
ЗАКЛЮЧЕНИЕ
Преимущества, которые предприятие получит от внедрения IFM (см. Рисунок 5), очевидны, однако это дело — далеко не простое: пользователи должны применять автоматизированные и надежные решения, однако сама реализация в большинстве случаев происходит в рамках экономических и структурных изменений, которые, со своей стороны, обуславливают повышение эффективности административных функций, более строгое соблюдение правовых норм и снижение стоимости управления пользователями и правами доступа. При выборе стратегического решения IFM следует помнить о защите инвестиций и не пренебрегать помощью независимых консультантов.
Вернер Шоненкорб - управляющий партнер консалтинговой компании Identitey Management Consalting.
? AWi Verlag