Tożsamość użytkownika kluczem do uprawnień

W języku informatyki tożsamość to więcej, niż odpowiednie poświadczenia. Problem ze sprecyzowaniem pojęcia tożsamości użytkownika polega na tym, że często jest ono definiowane przez pryzmat podstawowych scenariuszy wykorzystania.

Mówiąc o tożsamości wiele osób myśli w dość przewidywanych kierunkach, jak jej identyfikacja czy kradzież. Z kolei dla wielu działów IT pojęcie to wiąże się z poświadczeniami, logowaniem czy IAM (Identity and Access Management czyli zarządzaniem tożsamością i dostępem). Choć wszystkie te pojęcia zawierają w sobie aspekty tożsamości, tak ta, sama w sobie jest oznacza coś więcej. Warto ją postrzegać jako klucz do uzyskania uprawnień, który wykracza poza scenariusze związane z dostępem i wiąże proces identyfikacji z użytkowaniem jako takim.

Więcej niż poświadczenia

Hasło nie powinno stanowić jedynej metody do weryfikacji tożsamości. Nie może również służyć jako jedyna podstawa przydzielania dostępu do wrażliwych informacji. Tożsamość i właściwa identyfikacja ma zasadnicze znaczenie dla określenia danego użytkownika w strukturze firmy, bazując na jego roli w organizacji, czy też indywidualnych i systemowych składowych.

Coraz częściej identyfikacja obejmuje procesy, usługi i boty, działające niezależnie lub w naszym imieniu, a tożsamość może być zintegrowana z określonymi zbiorami danych. „Wielu z nas posługuje się co najmniej kilkoma elektronicznymi tożsamościami prywatnie i zawodowo, które są ze sobą powiązane, lecz z punktu widzenia technologii w pełni  rozdzielone. To oznacza, że problemy z weryfikacją, walidacją i interoperacyjnością tożsamości stają się bardziej złożone, gdy rozpatrujemy je pod kątem zarządzania w ramach wielu ról czy projektów. Zmiana postrzegania tożsamości użytkownika stanowi klucz do dostępu, nadawanego na bazie kontekstu, czy do korzystania z określonych aplikacji i danych. Tak dynamicznie nadawane uprawnienia do aplikacji, danych i usług pozwalają na dostęp w określonym celu.” – mówi Sebastian Kisiel, inżynier systemowy z Citrix Systems Poland.  

Dostęp to nie tylko logowanie

Często uzyskanie dostępu do zasobów jest zbyt skupione wokół procesu logowania, który w ten sposób weryfikuje tożsamość w przypadku większości firmowych sieci. Trzeba wiedzieć, że dostęp jest budowany w oparciu o role użytkowników czy projekty, nad którymi ci pracują, a te potrzebują silnych narzędzi identyfikacji. Realnym wyzwaniem są zatem sytuacje, w których tożsamość użytkownika jest zarządzana przez niezależne źródła (u dostawców aplikacji czy usług chmurowych). Stąd też zarządzanie tożsamością użytkownika powinno zawierać takie narzędzia i systemy jak np. IAM (Identity and Access Management czyli system zarządzania tożsamością i dostępem) czy CASB (Cloud Access Security Brokers czyli brokery ochrony dostępu do chmury).

Przykłady zastosowań:

1. Określanie uprawnień do projektu: pomaga odpowiedzieć na kluczowe pytania i określić kto jest uprawniony do pracy nad danym projektem oraz w jaki sposób można alokować lub relokować zasoby ludzkie w organizacji. Ponadto, kto w danym momencie nad projektem pracuje lub pracował i jak długo, jakiego rodzaju dane były wykorzystywane (otwierane, pobierane, uaktualniane). Posiadanie uprawnień do współzarządzania pozwala poszczególnym zespołom zarządzać odpowiednimi składowymi. Dostęp, który nie jest skierowany do pracowników może być udzielany na podstawie tożsamości i reputacji zweryfikowanej przez firmę kontraktową. W momencie gdy osoba opuści firmę kontraktową i będzie chciała dokonać zmiany uprawnień lub innej próby naruszenia zasad, takie zachowanie może zostać szybko zidentyfikowane i udaremnione. Taki scenariusz może również zostać wykorzystany w przypadku korzystania z aplikacji w chmurze i określania jasnych reguł kontroli dostępu z poziomu administracyjnego dla uprzywilejowanych użytkowników.

2. Uprawnienia ‘wbudowane’ w dane: obecnie uzyskanie dostępu do danych pozwala na pełne ich wykorzystanie – a taki scenariusz nie zawsze jest pożądany. Nadmierny dostęp może tworzyć sytuacje nadmiernego ryzyka. Bywa, że osoba niepożądana na skutek ataku lub pomyłki uzyskuje dostęp do danych, co do których nie ma uprawnień i zgody na wykorzystanie. Ten, powinien być kontrolowany poprzez walidację tożsamości i specyficznych uprawnień – po to, by chronić wrażliwe dane, które mogą być niewłaściwie użyte czy rozpowszechnione (jak np. dane medyczne czy finansowe).