Jednym z największych wyzwań związanych z bezpieczeństwem IT, jest właściwy proces zarządzania kontami oraz uprawnieniami (dostępami). Zgodnie z najlepszymi praktykami, należy przestrzegać zasady tzw. niezbędnego minimum (least privileges), co oznacza, że konta powinny być aktywne w czasie gdy istnieje potrzeba ich wykorzystywania, a poziom uprawnień użytkownika powinien wynikać z rzeczywistych wykonywanych funkcji.
Wymusza to funkcjonowanie poniższych procesów:

• tworzenie/zmiany/usuwanie kont,
• zarządzanie wnioskowaniem/nadawaniem uprawnień,
• zarządzanie hasłami (wymuszanie cyklicznych zmian, dystrybucja haseł dla nowych kont itp).

W wielu organizacjach, proces ten jest wykonywany bez użycia dedykowanych narzędzi do automatyzacji, co może prowadzić do:

• posiadania nadmiernych uprawnień przez użytkowników,
• istnienia w systemach kont, które nie powinny funkcjonować (np.: po ustaniu stosunku pracy lub po zmianie obowiązków pracownika),
• braku rozliczalności uprawnień (np.: jakie uprawnienia posiada użytkownik, albo którzy użytkownicy posiadają konkretne uprawnienia/dostępy).

Znakomita większość firm i organizacji w dalszym ciągu korzysta z ręcznych metod zarządzania dostępem do zasobów systemu informatycznego. Założenie konta dla nowego pracownika, modyfikacja uprawnień, zablokowanie konta lub jego usunięcie to wciąż proces wymagający aktywności wielu osób i narzędzi. Generuje to zatem z jednej strony zwiększony koszt zasobów ludzkich (w zespołach IT/Security), a z drugiej strony, nie gwarantuje właściwego poziomu zarządzania bezpieczeństwem (w procesie realizowanym ręcznie mogą pojawić się pomyłki, opóźnienia itp).

Tymczasem do dyspozycji mamy sprawdzone i bardzo skuteczne rozwiązania, zwane Systemami Zarządzania Tożsamością (IDM) oraz dodatkowe systemy wspomagające, które pozwalają na automatyzację całego procesu zarządzania uprawnieniami użytkownika w systemie informatycznym.


Aby całościowo zaadresować problematykę zarządzania tożsamością, należy zaadresować wszystkie kluczowe obszary tego procesu:

• zarządzanie kontami oraz hasłami, a także uprawnieniami, automatyczna propagacja w systemach funkcjonujących w organizacji,
• zarządzanie procesem wnioskowania/akceptacji uprawnień,
• raportowanie, proces recertyfikacji (ponownej weryfikacji zasadności nadanych uprawnień w cyklicznych odstępach czasu),
• zarządzanie kontami w przypadkach, gdzie baza tożsamości znajduje się poza organizacją (np.: podczas współpracy z podwykonawcami lub w wyniku fuzji),
• zarządzanie hasłami, w tym hasłami do kont uprzywilejowanych.

Rozwiązania oferowane przez APIUS spełniają wszystkie w/w cechy i są oparte na czterech podstawowych elementach:

1. NetIQ Identity Manager – kompleksowy system klasy IDM, służący do zarządzania kontami oraz uprawnieniami adresujący trzy kluczowe obszary:

• obsługę pełnego cyklu życia kont i uprawnień, oferując przy tym pełną automatyzacje,
• obsługę procesu wnioskowania/akceptacji nadawania uprawnień w modelu RBAC (opartym na rolach),
• raportowanie, pełną rozliczalność przydzielonych uprawnień.

2. NetIQ SecureLogin – system umożliwiający realizację procesu pojedynczego logowania (SSO) we wszystkich systemach w organizacji.

3. PingIdentity PingFederate – system klasy FIM, umożliwiający stworzenie federacji zarządzania tożsamością (np.: w przypadku rozproszenia bazy tożsamości pomiędzy dwa podmioty).

4. Liebermam RED – system klasy PIM, pozwalający na zarządzanie kontami/dostępami uprzywilejowanymi.

Nasze portfolio rozwiązań pozwala na efektywny i kompleksowy nadzór nad cyfrowymi tożsamościami w całym cyklu ich życia, w szczególności oferując:

• automatyzację procesu tworzenia/modyfikacji/usuwania kont w systemach informatycznych,
• zarządzanie przydzielonymi uprawnieniami/dostępami użytkowników,
• możliwość efektywnego zarządzania hasłami, zarówno dla zwykłych użytkowników jak i uprzywilejowanych,
• zarządzanie procesem wnioskowania o dostępy (obieg dokumentów, akceptacje),
• kontrolę dostępu do kont uprzywilejowanych (administratorzy, konta usług, konta zaszyte w aplikacjach),
• możliwość realizacji procesu tzw. pojedynczego logowania (SSO),
• tworzenie tzw. federacji systemów zarządzania tożsamości – np.: w przypadku fuzji dwóch firm lub współpracy z zewnętrznymi podmiotami (bez konieczności powielania kont w systemach obu podmiotów).

Oczywiście, wybór konkretnych narzędzi będzie zależał od konkretnych procesów realizowanych w danej organizacji.