Što je upravljanje identitetima i pristupom (IAM)?
Saznajte što je upravljanje identitetom i pristupom (IAM) i kako štiti podatke i resurse tvrtke ili ustanove.
Što je IAM i koja mu je funkcija
Bez obzira na to gdje zaposlenici rade, moraju pristupati resursima svoje tvrtke ili ustanove kao što su aplikacije, datoteke i podaci. Uobičajeni način rada bio je da velika većina radnika radi na lokaciji, gdje se resursi tvrtke čuvaju iza vatrozida. Kada su na lokaciji i prijavljeni, zaposlenici mogu pristupati svemu što im je potrebno.
Sada je, međutim, hibridni rad uobičajen, a zaposlenicima je potreban siguran pristup resursima tvrtke neovisno o tome rade li na lokaciji ili na daljinu. Tu na scenu stupa upravljanje identitetima i pristupom (IAM). IT odjel tvrtke ili ustanove mora kontrolirati čemu korisnici mogu i ne mogu pristupati da bi povjerljivi podaci i funkcije ostali ograničeni samo na osobe i stvari koje njima moraju rukovati.
IAM omogućuje siguran pristup resursima tvrtke kao što su e-pošta, baze podataka, podaci i aplikacije potvrđenim entitetima, idealno uz minimalne smetnje. Cilj je upravljati pristupom tako da pravi ljudi mogu raditi svoj posao, a pogrešnim osobama, kao što su hakeri, onemogućen je pristup.
Potreba za sigurnim pristupom šira je od zaposlenika koji rade na uređajima tvrtke. Obuhvaća i izvođače radova, dobavljače, poslovne partnere i osobe koje rade na osobnim uređajima. IAM brine da svaka osoba koja treba imati pristup ima odgovarajuću razinu pristupa u pravo vrijeme na pravom računalu. Zbog toga je i uloga koju IAM igra u računalnoj sigurnosti tvrtke ili ustanove ključni dio modernog IT-a.
Uz IAM sustav tvrtka ili ustanova može brzo i točno potvrditi identitet osobe te ima li potrebne dozvole za korištenje zatraženog resursa tijekom svakog pokušaja pristupa.
Kako IAM funkcionira
Dodjela sigurnog pristupa resursima tvrtke ili ustanove podijeljena je na dva dijela: upravljanje identitetima i upravljanje pristupom.
Upravljanje identitetima provjerava pokušaj prijave u odnosu na bazu podataka za upravljanje identitetima, koja je ažurna evidencija svih osoba koje bi trebale imati pristup. Te se informacije moraju stalno ažurirati kada se osobe pridruže tvrtki ili ustanovi ili je napuste, kada se njihove uloge ili projekti promijene ili kada se poveća opseg tvrtke ili ustanove.
Primjeri vrsta podataka pohranjenih u bazi podataka za upravljanje identitetima obuhvaćaju imena zaposlenika, nazive radnih mjesta, upravitelje, izravno podređene osobe, brojeve mobilnih telefona i osobne adrese e-pošte. Povezivanje nečijih podataka za prijavu kao što su korisničko ime i lozinka s njihovim identitetom u bazi podataka zove se provjera autentičnosti.
Zbog dodatne sigurnosti mnoge tvrtke ili ustanove zahtijevaju od korisnika da potvrde svoje identitete pomoću značajke višestruke provjere autentičnosti (MFA). Poznata i kao dvosmjerna ilidvostruka provjera autentičnosti (2FA), višestruka provjera autentičnosti sigurnija je od korištenja samo korisničkog imena i lozinke. U postupak prijave dodaje se korak u kojem korisnik mora potvrditi svoj identitet još jednim načinom provjere valjanosti. Ti načini provjere mogu obuhvaćati brojeve mobilnih telefona i osobne adrese e-pošte. IAM sustav obično šalje jednokratni kod na alternativni način provjere valjanosti, koji korisnik mora unijeti na portal za prijavu u postavljenom vremenskom razdoblju.
Upravljanje pristupom druga je polovica IAM-a. Kada IAM sustav provjeri da se osoba ili sadržaj koji pokušava pristupiti resursu podudara s identitetom, upravljanje pristupom prati kojim resursima osoba ili osoba ima dozvolu za pristup. Većina tvrtki ili ustanova dodjeljuje različite razine pristupa resursima i podacima, a te su razine određene čimbenicima kao što su naziv radnog mjesta, duljina staža, sigurnosna razina i projekt.
Dodjela točne razine pristupa nakon provjere autentičnosti identiteta korisnika naziva se autorizacija. Cilj je IAM sustava osigurati da provjera autentičnosti i autorizacija funkcioniraju ispravno i sigurno pri svakom pokušaju pristupa.
Važnost IAM-a za tvrtke i ustanove
IAM je važan dio računalne sigurnosti jer pomaže IT odjelu tvrtke ili ustanove da postigne odgovarajuću ravnotežu između onemogućivanja pristupa važnim podacima i resursima većini korisnika te omogućivanja pristupa nekima od njih. IAM omogućuje postavljanje kontrola koje omogućuju siguran pristup zaposlenicima i uređajima uz istovremeno otežavanje ili onemogućivanje pristupa vanjskim korisnicima.
IAM je važan i zato što računalni zločinci svakodnevno unaprjeđuju svoje metode. Sofisticirani napadi kao poruke e-pošte za krađu identiteta jedan su od najčešćih izvora hakiranja i neovlaštenog pristupa podataka te ciljaju korisnike s postojećim pristupom. Bez IAM-a teško je upravljati time tko i što ima pristup sustavima tvrtke ili ustanove. Kršenja sigurnosti i napadi mogu se neometano provoditi jer ne samo da je teško vidjeti tko ima pristup, već je teško i onemogućiti pristup ugroženom korisniku.
Iako savršena zaštita nažalost ne postoji, IAM rješenja odličan su način sprječavanja i minimiziranja učinka napada. Umjesto ograničavanja pristupa svima u slučaju kršenja sigurnosti, mnogi IAM sustavi koriste umjetnu inteligenciju te mogu otkriti i zaustaviti napade prije nego što postanu veći problemi.
Prednosti IAM sustava
Pravi IAM sustav tvrtki ili ustanovi donosi više prednosti.
Odgovarajući pristup za odgovarajuće osobe
Uz mogućnost stvaranja i provođenja centraliziranih pravila i ovlasti pristupa, uz IAM sustav lakše se korisnicima omogućuje pristup resursima koji su im potrebni, a da im se pritom ne omogućuje pristup povjerljivim informacijama koje im nisu potrebne. To se naziva kontrola pristupa utemeljena na ulogama (RBAC). RBAC je skalabilan način ograničavanja pristupa samo osobama kojima je potreban taj pristup za obavljanje uloge. Uloge se mogu dodijeliti na temelju fiksnog skupa dozvola ili prilagođenih postavki.
Neometana produktivnost
Sigurnost je važna, ali su važni i produktivnost i korisnički doživljaj. Koliko god da je primamljivo implementirati složeni sigurnosni sustav radi sprječavanja kršenja sigurnosti, stvaranje većeg broja prepreka za produktivnost, kao što su višestruke prijave i lozinke frustrirajuće je korisničko iskustvo. IAM alati kao što su jedinstvena prijava (SSO) i objedinjeni korisnički profili omogućuju vam dodjelu sigurnog pristupa zaposlenicima na više kanala kao što su lokalni resursi, podaci u oblaku i aplikacije trećih strana bez više prijava.
Zaštita od neovlaštenog pristupa podacima
Iako nijedan sigurnosni sustav nije nepogrešiv, korištenje IAM tehnologije znatno smanjuje rizik od neovlaštenog pristupa podacima. IAM alati kao što su MFA, provjera autentičnosti bez lozinki i SSO korisnicima omogućuju potvrdu identiteta bez korisničkog imena i lozinke, koje je moguće zaboraviti, podijeliti ili hakirati. Proširivanjem mogućnosti prijave korisnika pomoću IAM rješenja smanjuje se taj rizik dodavanjem dodatne razine sigurnosti u postupak prijave koji se ne može jednostavno hakirati ni podijeliti.
Šifriranje podataka
Jedan od razloga zbog kojeg je IAM tako učinkovit u poboljšanju sigurnosti tvrtke ili ustanove jest to što mnogi IAM sustavi nude alate za šifriranje. Oni štite povjerljive podatke kada se prenose u tvrtku ili ustanovu ili iz nje, a značajke kao što su uvjetni pristup IT administratorima omogućuju postavljanje uvjeta kao što su uređaj, mjesto ili informacije o riziku u stvarnom vremenu kao uvjete za pristup. To znači da su podaci sigurni čak i u slučaju kršenja sigurnosti jer se podaci mogu dešifrirati samo u potvrđenim uvjetima.
Ušteda vremena za IT
Automatizacijom zadataka IT odjela, kao što je pomaganje korisnicima pri ponovnom postavljanju lozinki, otključavanje računa i nadzor zapisnika pristupa radi utvrđivanja anomalija, IAM sustavi mogu IT odjelima uštedjeti vrijeme i trud. Time se IT odjel oslobađa i može se fokusirati na druge važne zadatke, kao što je implementacija strategije "svi su nepouzdani" u ostatku tvrtke ili ustanove. IAM je ključan za model "svi su nepouzdani", sigurnosni okvir utemeljen na načelima eksplicitne provjere, korištenja pristupa uz najnižu razinu ovlasti i pretpostavljanju kršenja sigurnosti.
Poboljšana suradnja i učinkovitost
Neometana suradnja između zaposlenika, dobavljača i izvođača radova ključna je za držanje koraka s modernim načinom poslovanja. IAM omogućuje tu suradnju tako da provjerava je li suradnja sigurna, ali i brza i jednostavna. IT administratori mogu stvarati i automatizirane tijekove rada utemeljene na ulogama da bi ubrzali procese dozvola za prijenos uloga i nove zaposlenike, što štedi vrijeme tijekom uvođenja u posao.
IAM i propisi o usklađenosti
Bez IAM sustava tvrtka ili ustanova mora ručno pratiti svaki entitet koji ima pristup sustavima te kako i kada koristi taj pristup. To ručne revizije čini dugotrajnim procesom koja zahtijeva veliku količinu rada. IAM sustavi automatiziraju taj postupak te omogućuju bržu i mnogo jednostavniju reviziju i izvješćivanje. IAM sustavi tvrtkama i ustanovama omogućuju da tijekom revizija pokažu da se pristupom povjerljivim podacima pravilno upravlja, što je obavezan dio mnogih ugovora i zakona.
Revizije su samo jedan dio zadovoljenja određenih regulatornih propisa. Mnogi propisi, zakoni i ugovori zahtijevaju upravljanje pristupom podacima i upravljanje zaštitom privatnosti, a IAM sustavi upravo u tome pomažu.
IAM rješenja omogućuju provjeru identiteta i upravljanje njima, otkrivanje sumnjivih aktivnosti i prijavljivanje incidenata, a sve je to nužno za zadovoljenje propisa usklađenosti kao što su upoznavanje klijenta, praćenje transakcija radi izvješćivanja o sumnjivim aktivnostima i pravilo o crvenim zastavicama. Postoje i standardi za zaštitu podataka kao što su Opća uredba o zaštiti podataka (OUZP) u Europi, Zakon o prenosivosti i odgovornosti zdravstvenog osiguranja (HIPAA) i Zakon Sarbanes-Oxley u Sjedinjenim Američkim Državama koji propisuju stroge sigurnosne standarde. Odgovarajući IAM sustav olakšava zadovoljavanje tih uvjeta.
IAM tehnologije i alati
IAM rješenja integriraju se s raznim tehnologijama i alatima za omogućivanje sigurne provjere autentičnosti i autorizacije na razini cijele tvrtke:
- Jezik za označavanje sigurnosnih tvrdnji (engl. Security Assertion Markup Language, SAML) – SAML jest ono što omogućuje SSO. Nakon uspješne provjere autentičnosti korisnika SAML ostale aplikacije obavještava da je korisnik potvrđeni entitet. SAML je važan jer funkcionira u različitim operacijskim sustavima i na različitim uređajima, što omogućuje sigurno pristupanje u raznim kontekstima.
- OpenID Connect (OIDC) – OIDC u 0Auth 2.0, okvir za autorizaciju, dodaje aspekt identiteta. Šalje tokene koji sadrže informacije o korisniku između davatelja identiteta i davatelja usluge. Ti se tokeni mogu šifrirati i sadrže podatke o korisniku kao što su ime, adresa e-pošte, rođendan ili fotografija. Servisi i aplikacije jednostavno mogu koristiti tokene, zbog čega je OIDC koristan za provjeru autentičnosti mobilnih igara, društvenih mreža i korisnika aplikacija.
- Sustav za upravljanje identitetima na više domena (engl. System for Cross-Domain Identity Management, SCIM) – SCIM tvrtkama i ustanovama pojednostavnjuje upravljanje identitetima korisnika na standardizirani način koji funkcionira u više aplikacija i rješenja (davatelja usluga).
Davatelji usluga imaju različite zahtjeve za podatke o identitetu korisnika, a SCIM omogućuje stvaranje identiteta za korisnika u alatu IAM koji se integrira s davateljem usluga tako da korisnik ima pristup bez stvaranja zasebnog računa.
Implementacija IAM-a
IAM sustavi utječu na svaki odjel i na svakog korisnika. Zbog toga je detaljno planiranje prije implementacije ključno za uspješnu implementaciju IAM rješenja. Preporučuje se početi izračunom broja korisnika kojima će biti potreban pristup i sastavljanje popisa rješenja, uređaja, aplikacija i servisa koje tvrtka ili ustanova koristi. Ti su popisi korisni prilikom usporedbe IAM rješenja da bi se zajamčila kompatibilnost s postojećim IT sustavom tvrtke ili ustanove.
Zatim je važno mapirati različite uloge i situacije koje će IAM sustav morati regulirati. Taj će okvir postati arhitektura IAM sustava i temelj dokumentacije za IAM.
Još jedan aspekt implementacije IAM-a koji treba uzeti u obzir jest dugoročni plan razvoja rješenja. Kako se tvrtka ili ustanova širi, ono što tvrtka ili ustanova treba iz IAM sustava počet će se mijenjati. Planiranje tog razvoja unaprijed osigurat će da se IAM rješenje uskladi s poslovnim ciljevima i da je postavljeno za dugoročni uspjeh.
IAM rješenja
Povećanjem potrebe za sigurnim pristupom resursima na svim platformama i uređajima važnost IAM-a postaje jasnija i važnija. Tvrtkama i ustanovama potreban je učinkovit način upravljanja identitetima i dozvolama na razini cijele tvrtke koji olakšavaju suradnju i povećavaju produktivnost.
Implementacija IAM rješenja koje se uklapa u postojeći IT ekosustav i koristi tehnologiju kao što je umjetna inteligencija da bi IT administratori mogli nadzirati pristup i upravljati njime u cijeloj tvrtki ili ustanovi jedan je od najboljih načina za poboljšanje sigurnosnog stanja tvrtke ili ustanove. Da biste saznali kako vam Microsoft može pomoći zaštititi pristup bilo kojoj aplikaciji ili resursu, zaštititi i potvrditi svaki identitet, omogućiti samo potreban pristup i pojednostavniti postupak prijave, istražite Microsoft Entra i druga rješenja Microsoft Security.
Saznajte više o rješenju Microsoft Security
Microsoft Entra
Zaštitite identitete i resurse pomoću linije rješenja za pristup identitetima i mreži u više oblaka
Azure Active Directory
Zaštitite identitete i podatke uz pojednostavnjivanje pristupa. Azure AD postaje Microsoft Entra ID
Microsoft Entra ID Governance
Štitite, nadzirite i provjeravajte pristup ključnim resursima.
Microsoft Entra External ID
Omogućite svojim klijentima i partnerima siguran pristup bilo kojoj aplikaciji.
Najčešća pitanja
-
Upravljanje identitetima odnosi se na upravljanje atributima koji pojednostavnjuju provjeru identiteta korisnika. Atributi se pohranjuju u bazu podataka za upravljanje identitetima. Primjeri atributa obuhvaćaju ime, naziv radnog mjesta, dodijeljeno područje rada, upravitelja, izravna izvješća i način provjere pomoću koje sustav može potvrditi identitet. Ti načini provjere mogu obuhvaćati brojeve mobilnih telefona i osobne adrese e-pošte.
Upravljanje pristupom određuje čemu ima pristup nakon potvrde identiteta. Te kontrole pristupa mogu se temeljiti na ulozi, sigurnosnoj razini, obrazovnoj razini ili prilagođenim postavkama.
-
Upravljanje identitetima i pristupom namijenjeno je provjeri mogu li samo odgovarajuće osobe pristupati podacima i resursima tvrtke ili ustanove. To je praksa računalne sigurnosti koja IT administratorima omogućuje ograničavanje pristupa resursima neke tvrtke ili ustanove tako da pristup imaju samo osobe kojima je on potreban.
-
Sustav za upravljanje identitetima baza je podataka u kojoj se pohranjuju identifikacijski podaci o osobama i uređajima koji su potrebni za pristup podacima i resursima neke tvrtke ili ustanove. Baza podataka pohranjuje atribute kao što su korisnička imena, adrese e-pošte, telefonski brojevi, upravitelji, izravna izvješća, dodijeljeno radno mjesto, razina obrazovanja i sigurnosna razina. Ti se atributi koriste za provjeru identiteta korisnika. Sustav za upravljanje identitetima mora se stalno ažurirati kada osobe dolaze i odlaze iz tvrtke, mijenjaju uloge i započinju ili završavaju projekte.
-
Softver za upravljanje identitetima i pristupom nudi alate koji tvrtkama ili ustanovama pojednostavnjuju provjeru identiteta osoba i uređaja koji se pokušavaju prijaviti, a potvrđenim korisnicima omogućuje pristup odgovarajućim resursima. To je centralizirani način provjere identifikacijskih podataka, upravljanja pristupom i označavanja povreda sigurnosti.
-
IAM je ključna komponenta računalstva u oblaku jer korisnička imena i lozinke nisu više dovoljno jaki da bi se tvrtke i ustanove zaštitile od povreda sigurnosti. Lozinke je moguće hakirati, podijeliti s drugima ili zaboraviti, a mnoge su tvrtke i ustanove tako velike da nije moguće ručno upravljati pokušajima pristupa i nadzirati ih. Sustav IAM olakšava ažuriranje atributa identiteta, dodjelu i ograničavanje pristupa prema ulozi, kao i označavanje anomalija i kršenja sigurnosti.
Pratite Microsoft