Kimlik Yönetimi

Kimlik Yönetimi

Kimlik Yönetimi

Kimlik Yönetimi ile (Identity Management – IdM) ilk tanıştığımda yaptığım benzetme “LDAP gibi bir şey” olmuştu. Avea’nın kantininde Onur ve Gürol bana sabırla Oracle Identity Manager’ı anlatıyorlardı. Biraz daha dinledikten sonra diğer yorumum “E bunları LDAP’la yapamaz mısın?” şeklinde oldu. Sonunda LDAP karşılaştırmasından vazgeçsem de, büyük resmi görmekten ne kadar uzakta olduğumu anlamam belki haftalar aldı.

İşin ilginç tarafı, sonradan, anlatan tarafa ben geçtiğimde aynı diyaloğun defalarca tekrarlandığına şahit oldum. “LDAP gibi bir şey mi?

Kimlik Yönetimi, bir blog yazısında anlatılamayacak kadar derin ve geniş bir konu. İçinde standartları, ürün ailelerini, protokolleri ve kanunları barındırmakta. Bu yazıdaki amacım konu hakkında genel bir fikir verebilmek, kullanım alanından, faydalarından, özelliklerinden ve zorluklarından bahsetmek. Eğer kurumunuz için bir Kimlik Yönetim sistemi uygulamayı düşünüyorsanız ilk adımlarınızda yardımcı olmak.

Kimlik Yönetimi Nedir?

Wikipedia‘ya baktığımızda şöyle diyor:

Identity management (IdM) is the task of controlling information about users on computers. Such information includes information that authenticates the identity of a user, information that describes information and actions they are authorized to access and/or perform…

Bu tip tanımlardaki problem, çok geniş bir konunun, iki üç cümle ile anlatıldığında oldukça genel kalması ve okuyanın kafasında pek de bir şey canlanmaması oluyor. Ben, Kimlik Yönetimi’ni, pratikte büyük kısmını kapsayan bir örnekle anlatmaya çalışayım.

Esra’nın işte ilk günü. IK girişini yapıyor. Çok basit olarak yapılması gerekenler:

  • Personel kartı çıkartılacak ve gerekli güvenlik tanımlamaları yapılacak. Mesela Esra için tüm çalışanlara açık olan alanlar dışında, departmanı ve görevine göre erişiminin olması gereken bölümler de kartına tanımlanacak.
  • Bilgisayarına login olabilmesi için Active Directory veya LDAP’ta hesabı yaratılacak. İlk şifresi yöneticisine gönderilecek.
  • E-Mail hesabı yaratılacak. İlk şifresi yine yöneticisine gönderilecek.
  • İzin ve iş girişlerini yapabilmesi için IK modülünde hesabı yaratılacak.
  • Eğer Esra yönetici olarak işe alındıysa, diğer çalışanlara açık olmayan IK uygulamalarına yetkisi tanımlanacak.
  • Uzaktan şirkete bağlanabilmesi için VPN hesabı kurulacak.
  • Görevi doğrultusunda ulaşması gereken raporları görebilmesi için raporlama sistemlerinde hesabı yaratılacak ve yetkileri tanımlanacak.
  • Yine Esra’nın departmanı ve rolüne göre erişebilmesi gereken sistemlerde hesap ve yetkileri yaratılacak, -ki bu sistemlerin sayısı büyük ölçekli firmalarda rahatlıkla 20’yi geçmektedir.

Veya Esra’nın işteki son günü. Yukarıdaki adımlar tersine işleyecek. Ya da yeni bir pozisyona atandı.  O zaman yeni pozisyonda gerekmeyen eski hesaplar ve yetkiler silinecek, yeniler atanacak.

Kimlik Yönetimi uygulanan bir işletmede tüm bu adımlar otomatik ve birkaç saniye içinde gerçekleşir. Tersinde ise günler sürer, hatalara ve güvenlik zaaflarına açıktır. Özetle IdM, kullanıcı yönetimini kendi içinde sağlayan uygulamalar veya sistemlerden bu görevi alır ve tek, merkezi bir yerde toplar.

Elbette Kimlik Yönetiminin kapsamı bu kadarla sınırlı değil. Aşağıda, yine kendi tecrübelerim ışığında öne çıkan avantajlarına ve özelliklerine değinmek istiyorum.

Avantajları

Artan kurumsal güvenlik seviyesi

Kullanıcılarda toplanan hesap ve yetkilere tek bir yerden şeffaf olarak erişmek ve yönetmek, aksi durumda oluşacak birçok güvenlik açığını otomatik olarak yok eder. Unutulan veya artık geçerli olmayan yetkiler, yetim hesaplar (orphan accounts), gerçek bir kullanıcıya ait olmayan servis hesapları veya zararlı yetki kombinasyonları (örnek olarak, aynı kullanıcıda hem fatura yaratma ve hem de onaylama yetkisi olması) gibi tehditleri engeller.

Yardım masası ve operasyonel masrafların azaltılması

Bu konuda internette birçok ROI hesaplama aracı bulunmakta. Temel olarak Kimlik Yönetim sistemlerinde bulunan self-servis hizmetleri (Örnek: şifre reset ve yetki isteme araçları) adam/gün bazında büyük tasarruflar sağlamaktadır.

Artan verimlilik

Yeni çalışanlar veya yeni yetkilere ihtiyacı olanlar, gereksinimlerine çok daha hızlı bir şekilde erişebilmektedirler. Aynı zamanda hataların azalması daha kaliteli servis verilmesini kolaylaştırır.

Özellikleri

Yine tam bir liste oluşturmaya çalışmaksızın, Kimlik Yönetim sisteminin sorumluluklarını şöyle sıralayabiliriz:

  • Kimlik Kontrolü (Identity Governance)
    • Hesap yaratma & silme (Account provisioning)
    • Yetki ekleme & çıkarma (Entitlement provisioning)
    • Şifre yönetimi
    • Organizasyon ve rol yönetimi
    • Hesap/Yetki İstek ve Onay süreçleri (Request and approval policies)
  • Denetim ve Uyumluluk Yönetimi (Audit and Compliance Management)
    • Mutabakat (Reconciliation)
    • Tasdik süreçleri (Attestation)
    • Görevlerin ayrımı (Segregation of Duties – SoD)
    • Esnek kural tanımlamaları
    • Analiz ve raporlama aracları
    • Erişim Yönetimi (Access Management)
  • Kimlik doğrulama ve izin verme (Authentication & Authorization)
    • Single Sign-on
    • İnce veya geniş güvenlik kuralları (Fine & Coarse grained security policies)
    • Dış kaynaklar ve sosyal networkler arasında standartlara uygun şekilde kimlik dağıtımı

Zorluklar & Engeller

Büyük ölçekli bir kurumdaysanız (1000+ kişi) Kimlik Yönetimi’nin radarınızda olma ihtimali çok yüksek. Eğer değilse ve kurumunuzda bir Kimlik Yönetimi uygulanmıyorsa, kendinizi rahatlıkla 200 km/s ile giden ve frenleri olmayan bir araçta düşünebilirsiniz. Öte yandan bu yola çıkmayı planlıyorsanız, bilmeniz gerekenlerden en önemlisi zorlu bir maceraya atıldığınız. İkinci en önemli şey ise, hiçbir ürünün kurumunuzda bu sistemi sizin adınıza ileri tuşlarına basarak gerçekleştiremeyeceği. Kimlik Yönetimi uyarlamaları çoğu zaman aylar (hatta seneler) alan süreçlerdir. Ve teknolojik etkenler burada zannedilenden çok daha ufak bir rol oynar. Sizi bekleyen belli başlı zorlukları sıralamak gerekirse:

Karmaşıklık

Kimlik Yönetimi, üründen bağımsız, kurumun büyüklüğü ile doğru oranda artan kalıtımsal bir karmaşıklığa sahiptir. Kurumdaki uygulamalar çoğu zaman kendi kullanıcılarını yönetir ve standart bir yapıdan yoksundurlar. Özellikle satın almalarla büyüyen şirketlerde bu karmaşıklık daha da artar. Kimlik Yönetimi gerçekleştirmelerinde yapılan en büyük hata bu süreci herhangi bir proje gibi ele almak olmaktadır. Oysa ki karşınızda şirketin hareket eden her noktasına dokunacak, önceden bolca düşünerek planlanması gereken ve sonucunda da dönüşüm sağlayacak bir program durmaktadır.

Üst yönetim desteği

Kurumda organizasyonel sınırlara takılmadan bu dönüşümü yürütebilecek sponsor(lar) bulunması başarılı bir Kimlik Yönetimi uygulaması için şarttır. Eğer kurum bunu sadece bir proje olarak algılıyorsa, veya tek bir organizasyon (mesela IT) bu işi sırtlandıysa, büyük ihtimalle başarısız olacak bir denemeye bakıyoruzdur.

Organizasyonlar arası çalışma

Kurum içinde sponsor bulmanız maalesef çoğu zaman yeterli olmamaktadır. Farklı organizasyonlar bu sürece önceden vakit ayırmalı ve bilgi yığınları (Information silo) mümkün olduğu kadar engellenmelidir.

Kurumsal mimari eksikliği

IdM, kurumdaki bilişim altyapısının her noktasına dokunduğu için, mimarinin eksiksiz bir haritasının çıkartılması önemlidir. Birçok kurumda bu bilgi ya yoktur, ya da güncel değildir.

Tecrübesiz uygulayıcılar

IdM’in sadece bir ürün veya ürünler topluğu olmadığı, uygulayıcılar ve kurum ile ortaklaşa yürütülecek ve aylar süren bir çalışma olduğu çoğu zaman gözden kaçmaktadır. IdM bir uzmanlık alanıdır ve uzmanlar tarafından uygulanmalıdır.

Sonuç

Güvenlik, hayatımızın bir gerçeği ve Kimlik Yönetimi, Güvenlik pastasında büyük bir dilime sahip. Bu yazıda Kimlik Yönetimi kavramı ile daha evvel tanışmamış veya çok az fikri olan bir kitleyi hedefledim. Ayrıca bir firmanın ürününe odaklanmak yerine kavramı anlatmayı tercih ettim. Bu kapsamda faydalı olduğunu umuyorum.

Kaynaklar


[1] Administrator’s Guide for Oracle Identity Manager
[2] JOnline: Role Engineering: The Cornerstone of RBAC
[3] ID Management Definition and Solutions
[4] The problems and benefits of identity and access management

Bu gönderiyi paylaş

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir