Active Directory jako centrální ověřovací autorita pro řízení přístupu

Čím opakovaně tráví hodně času pracovníci interního IT? Jde o věčný IT kolotoč - založení uživatelských účtů při nástupu zaměstnance, udržování údajů v aktuální podobě, rušení účtů při odchodu. A všechny změny pracovní pozice promítnout do všech návazných systémů a aplikací. Vyšší podíl aplikací ověřujících uživatele vůči Active Directory tedy znamená menší počet operací správců i menší přihlašovacích údajů k zapamatování pro uživatele. Proto dává smysl integrovat přihlašovací údaje do jednoho místa a využít Active Directory jako centrální ověřovací autoritu. V případě výskytu bezpečnostního incidentu pak například stačí jen zakázat účet uživatele v Active Directory.

Přínosy AD jako centrální ověřovací autority

  • Soustředění uživatelských účtů na jednom místě a snížení množství duplicitních informací, které jsou o uživatelích evidovány v různých systémech
  • Zjednodušení procesu zakládání/změn/rušení uživatelů
  • Provádění správy uživatelů na principu rolí
  • Možnost auditu uživatelských aktivit
  • Sledování přístupů externích pracovníků – jedno místo pro řízení, správu, kontrolu

Řízení přístupu k IT službám

S Active Directory je snadné mít pod kontrolou vlastní práva a přístupy uživatelů – avšak AD toho umí daleko více! Správným strukturováním organizačních jednotek a vytvořením strategie skupin, lze zjednodušit a automatizovat přidělování přístupů k aplikacím a zdrojům obecně.

Doporučujeme strategii AGGDLP

Strategie AGGDLP

A - accounts (účty), G - globální skupina, DL - doménová lokální skupina, P - permission (oprávnění). Princip modelu spočívá v umístění uživatelských účtů do globálních skupin, globální skupiny jsou umístěny dle potřeby buď do dalších globálních skupin, nebo do lokálních doménových skupin a doménovým skupinám jsou přiřazena oprávnění pro přístup ke zdrojům.

  • Strategie podporuje princip rolí – při změně pracovní pozice stačí změnit členství uživatele v příslušných skupinách
  • Zajišťuje kontrolu nad využíváním zdrojů – přehled, ke kterým aplikacím a na jaké úrovni má uživatel aktuálně přístup
  • Umožňuje promítnout organizační strukturu firmy do IT procesů

Systém pro řízení uživatelských identit

Založení, změnu či rušení uživatelského účtu provádí nejčastěji vaše IT oddělení. Jak získává potřebné údaje o uživateli? Na základě e-mailového nebo telefonického požadavku? Pracovník IT údaje sám dohledává? Provozujete několik aplikací, které nejsou navázány na Active Directory? Nastavuje IT oddělení oprávnění uživatele v jednotlivých aplikacích a systémech ručně nebo pomocí skriptů? Změny prováděné v přístupových oprávněních uživatelů nejsou centrálně evidovány (jak z pohledu aktuálního stavu, tak historie)? Pokud jste si na některou z otázek odpověděli „ANO“, pak je užitečné, abyste uvažovali o řešení pro Identity Management (IDM), systému pro řízení a automatizaci celého životního cyklu identit - doporučujeme.

Využití Active Directory: