Active Directory ako centrálna overovacia autorita pre riadenie prístupu

Čím opakovane trávia veľa času pracovníci interného IT? Ide o večný IT kolotoč - založenie užívateľských účtov pri nástupe zamestnanca, udržovanie údajov v aktuálnej podobe, rušenie účtov pri odchode. A všetky zmeny pracovnej pozície premietnuť do všetkých nadväzných systémov a aplikácií. Vyšší podiel aplikácií overujúcich užívateľa voči Active Directory teda znamená menší počet operácií správcov aj menej prihlasovacích údajov k zapamätaniu pre užívateľa. Preto dáva zmysel integrovať prihlasovacie údaje do jedného miesta a využiť Active Directory ako centrálnu overovaciu autoritu. V prípade výskytu bezpečnostného incidentu potom napríklad stačí len zakázať účet užívateľa v Active Directory.

Prínosy AD ako centrálnej overovacej autority

  • Sústredenie užívateľských účtov na jednom mieste a zníženie množstva duplicitných informácií, ktoré sú o užívateľoch evidované v rôznych systémoch
  • Zjednodušenie procesu zakladania/zmien/rušení užívateľov
  • Vykonávanie správy užívateľov na princípe rolí
  • Možnosť auditu užívateľských aktivít
  • Sledovanie prístupov externých pracovníkov – jedno miesto pre riadenie, správu, kontrolu

Riadenie prístupu k IT službám

S Active Directory je ľahké mať pod kontrolou vlastné práva a prístupy užívateľov – avšak AD toho vie ďaleko viac! Správnym štruktúrovaním organizačných jednotiek a vytvorením stratégie skupín, je možné zjednodušiť a automatizovať prideľovanie prístupov k aplikáciám a zdrojom všeobecne.

Odporúčame stratégiu AGGDLP

Strategie AGGDLP

A - accounts (účty), G - globálna skupina, DL - doménová lokálna skupina, P - permission (oprávnenia). Princíp modelu spočíva v umiestnení užívateľských účtov do globálnych skupín, globálne skupiny sú umiestnené podľa potreby buď do ďalších globálnych skupín, alebo do lokálnych doménových skupín a doménovým skupinám sú priradené oprávnenia pre prístup ku zdrojom.

  • Stratégia podporuje princíp rolí – pri zmene pracovnej pozície stačí zmeniť členstvo užívateľa v príslušných skupinách
  • Zaisťuje kontrolu nad využívaním zdrojov – prehľad, ku ktorým aplikáciám a na akej úrovni má užívateľ aktuálne prístup
  • Umožňuje premietnuť organizačnú štruktúru firmy do IT procesov

Systém pre riadenie užívateľských identít

Založenie, zmenu či rušenie užívateľského účtu vykonáva najčastejšie vaše IT oddelenie. Ako získava potrebné údaje o užívateľovi? Na základe e-mailovej, alebo telefonickej požiadavky? Pracovník IT údaje sám hľadá? Prevádzkujete niekoľko aplikácií, ktoré nie sú naviazané na Active Directory? Nastavuje IT oddelenie oprávnenia užívateľov v jednotlivých aplikáciách a systémoch ručne, alebo pomocou skriptov? Zmeny vykonávané v prístupových oprávneniach užívateľov nie sú centrálne evidované (ako z pohľadu aktuálneho stavu, tak histórie)? Pokiaľ ste si na niektorú z otázok odpovedali „ÁNO“, potom je užitočné, aby ste uvažovali o riešení pre Identity Management (IDM), systéme pre riadenie a automatizáciu celého životného cyklu identít – odporúčame ho. (IDM), systéme pre riadenie a automatizáciu celého životného cyklu identít – odporúčame ho.

Využitie Active Directory: