|
תחום הפעילות של פרולינק ממוקד בעולם ניהול הזהויות וההרשאות (Identity and Access Management).
אחת העובדות הפחות ידועות בתחום ניהול הזהויות, היא הכמות הגדולה מאד של טכנולוגיות, סטנדרטים ויצרנים הפעילים בתחום זה. על מנת לנסות ולעשות סדר בתמונה הרחבה, כדאי תחילה לנסות ולהגדיר מה אמור לכלול פרויקט ניהול זהויות.
לפניכם סקירה והגדרות של מרכיבים אפשריים שונים, כולם קשורים בעולם ניהול הזהויות. ארגון המבקש ליישם מערכת ניהול זהויות יזדקק למימוש אחד או יותר מהמרכיבים הבאים.
הקצאת וביטול הרשאות (Provisioning / De-Provisioning)
זהו כנראה המרכיב המהותי ביותר והמשותף לכל פרויקט הנושא את הכותרת "ניהול זהויות": היכולת לשלוט בהרשאות כל המשתמשים, בכל השרתים, היישומים, בסיסי הנתונים ומאגרי המידע בארגון.
מנגנון כזה מבטיח כי כל ישות העובדת עם משאבי הארגון, ויהיה זה עובד החברה, ספק חיצוני, קבלן משנה, לקוח וכדומה – כולם יהיו מסוגלים לבצע את עבודתם המוגדרת, תוך יכולת לגשת למשאבי מידע מותרים.
יחד עם זאת יהיו אנשים אלה חסומים מלגשת למשאבים אשר אינם נחוצים לביצוע תפקידם. מאחר והגדרת התפקיד ו/או צורכי העבודה של אנשים שונים עשויים להשתנות במהלך הזמן, חייבת להיות יכולת להתאים ולשנות באופן מהיר את מכלול ההרשאות לאותו אדם, מיד עם שינוי הגדרת התפקיד או וצרכי העבודה.
מיכון תהליכים
מדיניות הארגון עשויה לדרוש כי הגישה למשאבים תהיה מותנית באישורים של גורמים ממונים רלוונטיים למשאב המוקצה.
מנגנון תהליכים (Workflow) בא לאפשר קיום סדר פעולות רצוי בתהליך מתן הרשאה חדשה או ביטול הרשאה קיימת. יתר על כן, מנגנון תהליכים כזה יכול לאפשר ביצוע פעולות "ידניות" כחלק מהתהליך. למשל, תהליך קליטת עובד בתפקיד "ראש צוות" עשוי לכלול הזמנת טלפון סלולרי לעובד.
כלים ל"שירות עצמי"
לא תמיד ניתן לאפיין במדויק ומראש את סל השירותים שיש להקצות לכל עובד ועובד בארגון. מנגנונים ל"שירות עצמי" מאפשרים לעובדים לבקש ביזמתם גישה אל משאבים קיימים בארגון.
בקשה כזו עשויה להתמלא באופן אוטומטי עבור חלק מהמשאבים (למשל: בקשה להצטרף לרשימת תפוצת דואר בנושא מסוים), או להיות נתונה לאישור גורם ממונה (למשל: בקשת גישה למערכת דוחות למנהלים).
כלים לשירות עצמי יכולים לשמש גם לטיפול בבעיות, וכך לחסוך מעורבות של גורמי תמיכה שונים בארגון (במקרים של בעיה למשתמש), ומאידך, לקצר מהותית את זמן הטיפול בבעיית המשתמש.
דוגמא נפוצה לשירות עצמי בקטגוריה זו היא מנגנון לשינוי סיסמה. משתמש ששכח את סיסמת הכניסה שלו למשאבים בארגון, יכול להשתמש בכלי מסוג זה על מנת לאחזר את סיסמתו או לקבוע לעצמו סיסמה חדשה (בדרך כלל לאחר מענה על שאלות מזהות).
סנכרון סיסמאות (Password Synchronization)
אחת הבעיות הנפוצות בעבודה עם מספר גדול של משאבים ארגוניים, היא הצורך של המשתמש בהם לבצע הזדהות ("כניסה למערכת") מול כל משאב. עובדה זו נובעת מהגדרות אבטחת המידע בכל מערכת ומערכת אליה ניגש העובד. מנגנון סנכרון סיסמאות מבטיח כי סיסמאות העובד במשאבים שונים אליהם הוא ניגש, תהיינה זהות.
שירות זה חוסך מהעובד את הצורך לזכור סיסמה שונה עבור כל מערכת ומערכת. מאידך, מנגנון כזה אינו חוסך מהמשתמש את הצורך לבצע תהליך הזדהות מול כל מערכת ומערכת.
שיפור "חווית המשתמש" בהקשר זה ניתן להשגה על ידי יישום מנגנון Single Sign On.
הזדהות אחודה (Single Sign On)
זמן לא מבוטל עלול להיות מבוזבז בפעולות ה"כניסה למערכת" למשאבים השונים בארגון. יתר על כן, משתמש עשוי להיכנס ולצאת מיישומים שונים מספר פעמים במשך יום העבודה, ובכל פעם לעבור את שלב ההזדהות מחדש.
מנגנון SSO (Single Sign On) מאפשר ביצוע הזדהות יחידה, בדרך כלל בתחילת יום העבודה, ולאחריה יכולת להיכנס למשאבים השונים ללא צורך בפעולת הזדהות. מאחורי הקלעים, מנגנון SSO מספק ליישומים השונים את נתוני זהות המשתמש, במקומו של המשתמש.
כך, לדוגמא, משתמש יזדקק להזדהות בעת הפעלת המחשב האישי, אך לאחר מכן, ברצותו להיכנס לשירותי הדואר האלקטרוני, למערכת תיקי הלקוחות, למערכת הדוחות, וכדומה – תבוצע הכניסה למערכות אלה ללא הצגת בקשת זיהוי המשתמש.
איחוד זהויות (Identity Federation)
יצירת "הסדרי אמון" בין ארגונים שונים, במטרה לאפשר למשתמשים משותפים לגשת למשאבי ארגון אחד ללא צורך בהזדהות, בתנאי שעברו בהצלחה תהליך הזדהות מול ארגון אחר.
דוגמא לכך היא לקוח של בנק, המעונין לבדוק את מצב החשבון באתר האינטרנט של הבנק. בכניסה לאתר נדרש הלקוח לספק נתוני הזדהות. לאחר הכניסה למערכת ובדיקת מצב החשבון, הלקוח מעונין לעדכן את הכתובת אליה הוא מקבל פירוט פעולות כרטיס האשראי שלו. בלחיצה על קישור מתאים, יועבר הלקוח לאתר חברת האשראי, ישירות למסך עדכון פרטי הכתובת שלו, ומבלי צורך להזדהות מול אתר חברת האשראי. הליך זה מתאפשר על בסיס הגדרות עסקיות וטכנולוגיות מתאימות בין הבנק לחברת כרטיסי האשראי.
יישום מנגנון Federation יכול להתאים במקרים מסוימים גם ליחידות ארגוניות שונות בתוך ארגונים גדולים.
ומושגים נוספים...
קצרה היריעה מלתאר את המגוון המלא של סטנדרטים, טכנולוגיות ותהליכים המשמשים כולם בפאזל הגדול של עולם ניהול הזהויות. נזכיר את הבולטים שבהם:
- שירותי ספרייה (Directory Services )
- פרוטוקול LDAP
- הרשאות מבוססות תפקידים (Role Based Access Control )
- מנגנון הרשאות ליישומי אינטרנט (Web Based Access controls)
- ניתוח תפקידים ארגוני (Role Engineering)
- שפת SAML - כמרכיב ביישומי Identity Federation
- שפת SPML - כמרכיב ביישומי Provisioning
על יצרנים, מוצרים וקצת אבולוציההפונקציונליות המגוונת עליה מושתת תחום ניהול הזהויות, יחד עם האתגרים הטכנולוגיים אשר לעיתים אינם פשוטים למימוש, יצרו מציאות של ריבוי יצרנים בתחום זה. לא מעט מיצרני התוכנה התמקדו ב"פתרונות נישה", תוך הצגת מומחיות ממוקדת, בדרך כלל בתחום אחד של ניהול הזהויות. קיימות דוגמאות למוצרים של ניהול תהליכים (Workflow), מוצרים לניהול הרשאות (Provision/De-Provision), מוצרים לאיחוד זהויות (Federation) וכדומה. כידוע, בשנים האחרונות קיימת התעוררות והתגבשות בתחום ניהול הזהויות. אם בפרויקטים הותיקים יכולנו לזהות שיקולי אבטחת מידע כגורם מרכזי לכניסה לפרויקט, הרי שהגורם השכיח לכניסה לפרויקטים חדשים הוא הצורך לעמוד ברגולציות, תקנים וחוקים חדשים. מי שעקב אחר ההתפתחויות בתחום שם לב למעין "בהלה ל- IdM" (ניהול זהויות) בשנתיים-שלוש האחרונות: חברות תוכנה גדולות החלו בתהליך של רכישות ומיזוגים, כמעין "קיצור דרך" אל תחום ניהול הזהויות והיכולת להציג פתרונות אפשריים ללקוחות. תהליכי המיזוג לא מניבים תוצאות אחידות. טכנולוגיות מסוימות, חלקן טובות ומתקדמות, "נבלעו" והלכו לאיבוד או שונו לבלי הכר; אחרות נמצאות בשלבים שונים של תהליך קליטה אל סל המוצרים הקיים של היצרן הרוכש (ניכר בכלי ניהול לא אחידים ואינטגרציה לא שלמה). מקצת מהיצרנים פעילים בישראל. החברות NOVELL, SUN, IBM, CA, BMC, HP מציגות כולן היצע טכנולוגיות למימוש פרויקט בתחום ניהול הזהויות. מדריך למתלבט (או: עובדות שכדאי לדעת)אחת האמירות המקובלות על כל גופי הייעוץ בתחום ניהול הזהויות, היא כי מימוש פרויקטים בתחום ניהול הזהויות הוא דבר מורכב מאד, לא פחות (ובמקרים מסוימים הרבה יותר) מפרויקטים בתחומים עם כותרות מוכרות יותר ( CRM, BI, EIA, ERP). מתוך רשימת היצרנים המיוצגים בארץ והנם בעלי היצע טכנולוגי בתחום ניהול הזהויות, הנה מספר דברים שכדאי לדעת דווקא על חברת נובל:
- בעלת מספר ההתקנות הרב ביותר בישראל של מוצרי ניהול הזהויות (מספר עשרות)
- הרבה יותר מסך כל ההתקנות של כל המתחרים גם יחד
- הנוכחות בפועל הביאה, למשל, למספר מחזורי הדרכה ללקוחות בישראל
- בעלת המספר הרב ביותר של גופי אינטגרציה המסוגלים ללוות לקוח בפרויקט
- בעלת תשתית התמיכה הזמינה והטובה ביותר ללקוחות המיישמים את הטכנולוגיה
- החברה עם הנוכחות הוותיקה ביותר, וההבנה המעמיקה ביותר של ניהול מבוסס זהויות. נובל פיתחה ומפתחת בעצמה תשתיות לניהול מבוסס זהויות, בתחומים שונים של ניהול ה- IT הארגוני כבר מעל לעשור. כך גם בתחום ניהול הזהויות, בו נובל פיתחה ומפתחת בעצמה את הטכנולוגיות הנמכרות על ידה, כולל: תשתית שירותי ספרייה, מנגנוני הקצאת וביטול הרשאות, Workflow, Self Service Tools, Password Synchronization, Single Sign On, Federated Identity .
- נובל שותפה בוועדות תקינה בינלאומיות לחלק ניכר מהתקנים הרלוונטיים בתחום ניהול הזהויות.
- נובל מקדמת ותורמת קוד לפרויקטים של קוד פתוח, על מנת להרחיב ולפשט את אימוץ ניהול הזהויות בעולם
- ניהול הזהויות הוא תחום אסטרטגי בחברה, יחד עם לינוקס.
וגם...
-
- נתח הפעילות של ניהול זהויות במחזורי המכירות של החברה גדל בהתמדה, כולל גידול של 15% בדוח הכספי האחרון (נכון לכתיבת מסמך זה: Q12008 ). קצב גידול דומה נרשם בעקביות בפעילות זו כבר מספר שנים.
- רבים עדיין שבויים בטעות בתפיסה כי נובל היא חברה של שרתי קבצים והדפסות...
לרשימת מאמרים
|
"מקצועיות ואמינות רבה, שתודות לה כל ההבטים השונים בפרוייקט: תשתיות, אבטחת מידע בניית תהליכים ושדרוג לגרסאות חדשות מבוצעים בהצלחה רבה ובזמן" (מנורה-מבטחים)
"פתרונות מאוד אמינים, עם הרבה מחשבה, תכנון וביצוע מדוקדקים" (רד תקשורת מחשבים)
"ספק שירות שמגלה אכפתיות ומעורבות בפרויקטים. מדובר בשירות ומקצועיות שהם מעל ומעבר" (מכון וייצמן למדע)
"זכינו לשירות מעולה, איכות ללא פשרות, יצירתיות וגמישות" (המכללה האקדמית להנדסה, ירושלים)
"מדובר ביחסים מוצלחים ביותר. ...שביעות רצון רבה מאיכות השירות והמקצוענות בעבודה מול פרולינק " (אוניברסיטת תל אביב)
"פרויקטים מוצלחים מאד של תשתית ניהול הזהויות (IDM) והזדהות יחידה (SSO). [האנשים בפרולינק] מקצועיים, מהימנים ונעים לעבוד איתם" (אוניברסיטת חיפה)