Pezsgő piacra érkezett a Microsoft új azonosságkezelési megoldása

Megjelent a Microsoft Identity Lifecycle Manager 2007 utóda, amely már Forefront Identity Manager 2010 néven kerül a boltokba. A redmondi cég vállalati biztonsági termékei már jó ideje Forefront márkanév alatt érhetők el, köztük például az egykor ISA Server néven ismert Forefront Threat Management Gateway-jel.

Önkiszolgáló azonosságkezelés

A redmondiak új azonosságkezelési megoldásának legfontosabb újdonsága, hogy igyekszik a lehető legtöbb terhet levenni az üzemeltetők válláról, részben a gyakori feladatok automatizálásával, részben pedig egy \"önkiszolgáló ügyfélszolgálat\" bevezetésével. A FIM 2010 esetében nincs szükség informatikai üzemeltetési munkatársra például egy jelszó vagy PIN-kód  megváltoztatásához vagy reseteléséhez, ezeket s felhasználók maguk meg tudják tenni, közvetlenül a Windowsból. Ehhez a rendszergazdák biztonsági kérdéseket állíthatnak be, amelyekkel megbizonyosodhatnak, hogy a cég alkalmazottjáról van szó.

A vállalati felhasználók emellett önmaguk hozhatnak létre terjesztési vagy levelezési listákat és csoportokat, amik tagságát maguk szabályozhatják egy önkiszolgáló felületen keresztül, ahol egyébként saját személyes adataikat is frissíthetik, vagy rákereshetnek a munkatársakra. Összességében a FIM 2010 egyik fontos erénye, hogy csökkenti a helpdesk-hívások számát, ami végeredményben olcsóbb üzemeltetést jelent.

A termék lehetővé teszi az IT-üzemeltetés számára, hogy az azonosságokat egy SharePoint-alapú adminisztrációs felületen kezeljék, ahol programozói ismeretek nélkül, átlátható menükön keresztül  alakíthatók ki a biztonsági és azonosságkezelési házirendek és szabályok, valamint innen van mód a teljes vállalatra kiterjedő azonosság-életciklussal kapcsolatos munkafolyamatok definiálására is, a Windows Workflow Foundation segítségével. A fejlesztők emellett a teljes rendszert testre szabhatják .NET és webszolgáltatások használatával, Visual Studio környezetből.

A Forefront Identity Manager 2010 egységes keretrendszert ad az azonosságkezelési feladatok automatizálására és integrálására, így a vállalat valamennyi rendszerére kiterjedő szabályok definiálhatóak. A szoftver nem csak a Microsoft, hanem más gyártók tanúsítványkibocsátó és -kezelő megoldásaival is együttműködik és lehetővé teszi a teljes rendszeren átívelő jelszószinkronizációt, akár heterogén rendszerekben is. A Forefront Identity Manager 2010 ingyenes próbaváltozata letölthető a Microsoft weboldaláról.

Folyamatosan növekedő piac

Az azonosság- és hozzáféréskezelési megoldások (Identity and Access Management, IAM) világpiaca az idén 8 százalékos növekedés után 9,9 milliárd dollárt tesz ki, áll a Gartner legfrissebb előrejelzésében. 2013-ra a piac megközelíti a 12 milliárd dollárt. Ezt a területet a recesszió sem érintette annyira, amelyet a piac bővülése is bizonyít. \"Az IAM kritikus komponense a nagyvállalatok biztonsági stratégiájának, a Gartner ügyfelei IT-biztonsági keretüknek átlagosan mintegy 8 százalékát dedikálják erre a területre\" - áll az elemzésben.

A jogi környezet szigorodása (compliance) mellett meglepő módon a recesszió is hatott az IAM-piac bővülésére. A nagyszabású elbocsátások, átszervezések és a kiszervezések, vagyis személyi változások a vállalatok IT-részlegeit is próbára tették, amelyeknek követniük kellett a folyamatokat. A cégek csökkentették a létszámokat, összevontak részlegeket vagy funkciókat, ezeket a jogosultságok és szerepkörök változásainak is követnie kellett. A válság utáni fellendülés, az új alkalmazottak felvétele pedig ugyanezt hozza majd magával a Forrester Research szerint. Erre készülve sok cégnél folytatják vagy újrakezdik azokat az IAM-projekteket, amelyeket a válság kitörése miatt elhalasztottak vagy töröltek.

\"Magyarországon a válság hatására a vállalatok többsége olyan IT projektekre koncentrált, amely már rövid távon is költségmegtakarítást eredményez, vagy növeli a vállalat bevételeit\" - mondta a HWSW-nek Vörös Ákos, az IBM Tivoli értékesítési képviselője. \"Azon cégek, amelyekre törvény, vagy egyéb más külső vagy belső szabályozás nem tette kötelezővé IDM-megoldás bevezetését az ilyen célú projekteket elhalasztották.\"

A compliance a kényszerítő erő

Itthon az IAM-megoldások iránt egyelőre leginkább a pénzintézetek és nagyvállalatok irányából van érdeklődés, a bevezetések mögötti legfontosabb mozgatóerő a jogszabályi környezetnek való megfelelés (compliance) biztosítása, vélekedett Gaidosch Tamás, a KPMG kockázatkezelési tanácsadás vezetője. Az IAM területén nem érezhető semmiféle lemaradás Nyugat-Európával összevetve, de a kisebb méretű szervezetek miatt a projektek kisebbek, legtöbbjük értéke nem éri el a 250 ezer eurót. Magyarországon az  IAM-projektek szinte kivétel nélkül a vállalatok belső szervezetére fókuszálnak.

Gartner Magic Quadrant, User provisioning

A Gartner és a Forrester egyetért abban, hogy a megváltozott piaci körülmények azoknak a gyártóknak kedveznek, amelyek teljes IAM megoldáscsomagot tudnak kínálni az ügyfeleiknek, a lecsökkent informatikai büdzsék mellett kevés felhasználó engedheti meg magának, hogy több megoldást üzemeltessen más-más szállítótól. A Gartner által megkérdezett vállalatok 40 százalékánál kimondottan prioritást élveznek az integrált megoldások. A szolgáltatásként kínált (SaaS) IAM egyelőre nem nyert teret, a teljes piacból mindössze néhány százalékot hasítanak ki az ilyen megoldások, de gyorsan terjed, a Gartner továbbra is kitart amellett, hogy 2011-re a piaci forgalom ötödét adják. Vörös Ákos szerint a közeljövőben Magyarországon is elterjedhet ez a fajta modell.

A hazai vállalatok Vörös Ákos szerint olyan IAM-megoldásokat keresnek, amelyek egyben biztosítják felhasználói fiókok automatikus létrehozását és azok jogosultságokkal történő felruházását (provisioning), valamint lehetővé teszik annak ellenőrzését, hogy adott pillanatban a rendszerekben meglévő fiók-jogosultság kettős megfelel-e az előre megállapított szabályoknak. Emellett gyakori igény, hogy az IAM összekapcsolható legyen valamilyen logmenedzsment-megoldással, illetve lehetőséget biztosítson szimulációra, vagyis a rendszergazdák, biztonsági vezetők a szabályok megváltoztatása előtt tesztelhessék, hogy az milyen eredményt okoz konkrét felhasználók, felhasználói körök esetén.

Amit egy IAM-projekt előtt érdemes megfontolni

Első lépésként - megfelelő felkészülés után - pontosan definiálni kell a projekt céljait és ezekhez végig ragaszkodni kell, ami keménykezű, határozott vezetést kíván. Az időközben megváltoztatott elképzelések, elvárások kompromisszumokat kényszeríthetnek ki minden oldalról, az eredmény pedig egy időn túl megvalósított, drága, ám rosszul működő, a szervezet folyamatait nem támogató rendszer, amellyel senki sem elégedett.

Egy IAM-projekt során a szállítónak meg kell ismernie az adott  szervezetet és annak működését, hogy az igényeihez legjobban illeszkedő megoldást tudja kialakítani, ehhez viszont időre van szükség. Ezért nem érdemes a bevezetési határidőt túlságosan rövidre szabni. Az ártárgyalás során pedig ne passzírozzuk a végletekig szállítót, ugyanis ezzel elveszthetjük azt a rugalmasságot, amelyre a projekt során szükség lehet.

Egy azonosságkezelési megoldás bevezetése előtt a szervezetnek tisztába kell tennie a kapcsolódó területeket, vagyis a szervezeti struktúrát, a folyamatokat, a jogosultságokat, a szerepköröket. Egy projekt ebből a szempontból alkalmas időpontja lehet a rendrakásnak ezen a téren, megfelelő irányítás mellett egy IAM-bevezetés nyomán komoly növekedés érhető el a hatékonyság terén. De ahogy már korábban szó volt róla, ehhez nem szabad letérni az előre kijelölt útról mert könnyen káosz lesz a végeredmény.

Tévedés az, hogy azonosságkezelési megoldást csak nagy szervezetnek érdemes használnia, már egy néhány tucat PC-vel rendelkező vállalat is élvezheti az előnyeit (olcsóbb üzemeltetés), ráadásul a későbbi növekedés során lesz mire építkezni, nem kell mindent a nulláról kezdeni. Összességében elmondható, hogy minél később kezd egy szervezet IAM-et használni, a bevezetés annál fájdalmasabb, de ez persze igaz bármilyen rendszerre.

A KPMG 2009-es, Magyarországot is érintő európai IAM-felméréséből is kiderül, hogy az IAM-bevezetések során elsősorban arra kell nagy hangsúlyt helyezni, hogy a projektet ne IT-projektként kezeljék a vállalatok, továbbá javasolt alaposan felkészülni az üzleti folyamatokból és a szerepkörökből. \"A bevezetés sikeréhez a menedzsment részéről is ténylegesen nagyobb támogatásra van szükség, mint az IT-projektek esetén\" - mondta Gaidosch Tamás.

Itthon a Novell vezet, de jön fel az Oracle

Az IDC 2008-as adatai alapján itthon a Novell az IAM-piac vezetője 37 százalékos részesedéssel. \"Hazai támogató csapatunk nem csak Magyarországon, hanem több európai országban is irányított IDM-bevezetéseket. A magyarországi IDM tanácsadói és támogatói csapatunk így a régió legjelentősebb kompetenciaközpontjává vált\" - büszkélkedett Szittya Tamás, a Novell hazai vezére. Tavalyelőtt mindössze 3,81 millió dollár volt a hazai IAM-piac forgalma az IDC adatai alapján, vagyis nem sok projekt indult. Nincs ez másképp ma sem, egy évben legfeljebb néhány tucat bevezetés van országszerte, becsülte Gaidosch Tamás. A magyar piac dinamikusan bővül, az IDC 2013-ig évi átlagban 26 százalékos növekedéssel számol.

Forrester Wave, Identity and Access Management

Az elmúlt két év jelentős változásokat hozott az azonosság- és hozzáféréskezelési megoldások piacára. A HP 2008-ban bejelentette, megszünteti Identity Center termékének forgalmazását és kivonult erről a területről. Bár nemzetközi szinten a cég a Novell-lel kötött stratégiai megállapodást IAM-területen, migrációs szolgáltatásokat és kedvezményes áttérést biztosítva az Identity Center felhasználóinak, itthon a HP az Oracle-lel fűzte szorosra a kapcsolatát, a két cég együtt jelenik meg ügyfeleknél és a szakmai rendezvényeken is, amennyiben IAM-ről van szó.

Az Oracle 2005-ben lépett be az azonosságkezelési területre, mégpedig az itthon jobbára ismeretlen Oblix megvásárlásával. Az Oracle átfogó szoftverportfóliójának és az akvizícóknak köszönhetően erőteljes szereplővé vált az IAM területén is, amely leginkább a különféle termékekkel (adatbázis, köztesszoftverek, üzleti alkalmazások) való szoros integrációnak köszönhető. A cég tavaly áprilisban bejelentette a Sun Microsystems bekebelezését, amely nemzetközi szinten és Magyarországon is jelentős szereplője az IAM-piacnak. A Sun beolvasztásával az Oracle esélyes arra, hogy pár év alatt átvegye a domináns pozíciót a nemzetközi és magyar vizeken is.