مدیریت هویت در دنیای واقعی

کارکنان مرکز تماس شرکت Bellsouth اغلب برای پاسخ به یک مشتری باید به چند برنامه کاربردی دسترسی داشته باشند. آنها هر بار باید یک اسم رمز جدید را تایپ نموده و یا چندین بار آن را وارد کنند.این کار سبب طولانی‌تر شدن مدت زمان مکالمه می‌شود. همانطور که می‌دانید در مراکز تماس بیشترین مخارج صرف نیروی انسانی می‌شود و تلف شدن زمان به معنای صرف هزینه بیشتر است. راه حل Bellsouth برای این مشکل، پروژه مدیریت هویت می‌باشد که امکان دستیابی به پر استفاده‌ترین برنامه‌های شرکت با یک رمز ورود را برای کارکنان این مرکز فراهم می‌سازد. احتمالا پروژه Bellsouth با تعریف صنعت IT از مدیریت هویت واقعی کاملا مطابقت ندارد. این تعریف، نه تنها شامل استفاده از یک رمز ورود می‌باشد، بلکه احرازهویت قوی (اثبات هویت کاربر) و امکان دستیابی مبتنی بر وظیفه یا قاعده (امکان دسترسی به دیتا و برنامه‌های مناسب به صورت اتوماتیک) را نیز در بر می‌گیرد. اما در تعریف صنعت IT نیز بعضی موارد در نظر گرفته نشده است.
این مدیریت هویت در دنیای واقعی است، جاییکه مدیران ارشد امنیت زندگی و کار می‌کنند. Mark Johnson از CISO می‌گوید که شرکت Halliburton از یک روش مرحله به مرحله برای تعیین وظیفه کاربر نهایی استفاده می‌کند. شرکت‌ها دو سوال مهم از کارکنان و شرکای تجاری خود می‌پرسند: چه مسئولیتی دارید؟ و چه منابعی برای انجام دادن کار خود نیاز دارید؟ این پرسش‌ها به نظر ساده هستند اما وقتی با صدها یا هزاران کارمند، مشتری، بانک اطلاعاتی و سیستم سروکار داشته باشید، در می‌یابید که پاسخ به چنین سوالاتی کمی پیچیده‌تر می‌شود. هدف مدیریت هویت ساده کردن و اتوماتیک نمودن این پاسخ‌هاست. در حقیقت در تبلیغات اولیه ادعا می‌شد که تکنولوژی فوق می‌تواند چنین مشکلاتی را به طور کامل حل کند. اما اولین انتخاب کنندگان آن دریافتند که پیاده‌سازی کامل سیستم مشکلات جدی را ایجاد خواهد نمود زیرا آنها برای نصب سیستم‌ها، ابزارها، سیستم‌های بیومتریک، برنامه‌های ورود به سیستم با یک اسم رمز منفرد، نرم‌افزارهای جریان کار و تعدادی دیگر از تکنولوژی‌ها، دچار دردسر شدند.
اکنون مدیران ارشد امنیت انتظارات خود را کاهش داده‌اند و از این بابت بسیار خشنود می‌باشند. کافیست از تعدادی از شرکت‌ها بخواهید تا پروژه‌های مدیریت هویت خود را برایتان شرح دهند و متوجه خواهید شدکه پاسخ‌های آنها بسیار متفاوت هستند و هر کدام پروژه خاص خود را دارند. به عنوان مثال Bellsouth تعداد رمزهای ورود را کاهش داده، Halliburton از روش فراهم‌‌سازی استفاده می‌کند و شرکت بوئینگ از شبکه‌های مبتنی بر کارت‌های هوشمند و نیز تجهیزات دستیابی استفاده می‌نماید. John Lyons، مدیر بخش سرویس‌ها و سیستم‌های هویت شرکت بوئینگ می‌گوید: "بسیاری از افراد اصطلاح مدیریت هویت رابا بی‌دقتی به کار می‌گیرند. من فکر می‌کنم این اصطلاح یک اصطلاح آکادمیک است. مدیریت هویت به مدل کار تجاری هر شرکت مربوط می‌شود". مطمئنا Lyons موضوع مهمی را عنوان کرده است. در بعضی موارد یک پروژه مدیریت هویت محدود بر طبق نیاز شرکت به پروژه گسترده‌تری تبدیل می‌شود. در بعضی شرکت‌ها نیز از همان پروژه‌های محدود استفاده می‌شود. به هر حال وقتی نیازهای شرکت تجاری گسترده و جزییات پروژه مشخص گردد، هر دو حالت می‌توانند مفید واقع شوند.
● کاهش تعداد اسم رمز
در اکثر شرکت‌های بزرگ اسم رمزهای زیادی مورد استفاده قرار می‌گیرند. Roberta Witty، قائم‌مقام بخش تحقیقات گارتنر می‌گوید: "یک کاربر متوسط تقریبا پانزده ID و اسم رمز دارد که تمامی آنها در زمان‌های مختلف منقضی خواهند شد. در نتیجه بخش پشتیبان با سیلی از تقاضا برای یاد‌آورهای اسم رمز مواجه می‌شود. کاهش تعداد اسم رمز در آغاز پروژه مدیریت هویت برای اکثر شرکت‌ها ثمر بخش بوده و مزیت آن فورا آشکار می‌شود. به عنوان مثال شرکت موتورولا با استفاده از دایرکتوریهای کاربر موجود تعداد اسم رمزها را برای ده‌ها تن از هزاران کارمند خود کاهش داده و کارمندان این شرکت تنها از دو اسم رمز (یک اسم رمز برای سرویس‌های وب و دیگری برای ویندوز) استفاده می‌کنند. موضوع این است که واژه "منفرد" در "اسم رمز منفرد" نباید شما را فریب دهد. ثابت شده که کاهش تعداد اسم رمز برای بعضی از برنامه‌ها مشکلاتی را به همراه خواهد داشت.طبق ادعای Bellsouth پروژه مدیریت هویت این شرکت (کاهش اسم رمز) منفعت دیگری نیز دارد و آن افزایش سرعت در زمان سرویس‌دهی می‌باشد.
Monique Shivanandan قائم‌مقام بخش استراتژی IT و استمرار تجارت و امنیت شرکت Bellsouth می‌گوید: "در یک محیط بسیار حساس مراکز تماس کوتاه بودند. هر تماس تا حد ممکن بسیار حیاتی می‌باشد. بنابراین اگر اجباری برای استفاده از چندین اسم رمز برای برنامه‌های مختلف وجود نداشته باشد، هم در زمان و هم در هزینه صرفه‌جویی خواهد شد". شرکت Bellsouth از ژانویه ۲۰۰۳ بیست درصد از پر استفاده‌ترین برنامه‌های خود را به برنامه‌هایی با یک اسم رمز منفرد تبدیل نموده و قصد دارد تا برنامه‌های باقیمانده را نیز در طی برنامه زمان‌بندیشان تغییر دهد. (البته تا زمانیکه تضاد و ناسازگاری ایجاد نشود).
● فراهم سازی به عنوان راهکار ثانویه
راهکار Bellsouth نشان می‌دهد که پروژه‌های مدیریت هویت کنونی دارای یک نتیجه مشترک هستند. کسانی که یک کار قابل مدیریت را آغاز نموده و موفق می‌شوند، کم‌کم سیستم خود را گسترش داده و کارهای اضافی را دراین رابطه انجام می‌دهند. Shivanadan می‌گوید: "تقریبا از شروع پروژه کاهش تعداد اسم رمز شرکت مدیران IT کاربردهای جدید برای مدیریت همچون فراهم‌سازی، مدیریت جریان کار، مدیریت موجودی، مدیریت آسیب‌پذیری و احراز هویت چند عاملی (شامل بیومتریک) را مورد بررسی قرار دادند. ما انواع موارد تجاری را شناسایی نموده و دیگر مکان‌هایی که امکان پیشرفت در آنها وجود داشت را تعیین کردیم. به عنوان مثال یک سیستم فراهم‌سازی نیز می‌تواند به عنوان روش نظارت بر دستیابی مورد استفاده قرار گیرد. شما می‌توانید با ایجاد یک ساختار هویت معمولی این سیستم را مستقر ساخته و بدین ترتیب هزینه مدیریت account را کاهش دهید. یکی از ویژگی‌های این سیستم، آن است که فرآیند به کارگیری یک کارمند جدید با تمامی منابع کوتاه شده و به جای چند روز تا یک هفته به یک ساعت تقلیل می‌یابد.
اما پروژه‌ فراهم‌سازی برای Bellsouth مشکلات فنی را ایجاد نمود. در حال حاضر استفاده از این تکنولوژی در تعداد زیادی از برنامه‌های کاربردی (به دلیل مدل middleware-agent که این گونه برنامه‌ها استفاده می‌کنند)، صرفنظر از زمان صرف شده برای تعیین منابع مورد نیاز هر کارمند در اولین محل، با مشکلاتی همراه است. اما اگر شرکت‌ها پروژه‌ فراهم‌سازی خود را با شناسایی تعداد کمی از پر استفاده‌ترین برنامه‌ها آغاز نمایند، این تکنولوژی چندان ناامید کننده نخواهد بود. در ضمن آنها نباید در مورد تعداد وظایفی که سیستم می‌تواند بپذیرد، نگران باشند. وظایف در مدیریت هویت از مفهوم حیاتی برخوردارند. یک وظیفه (role) توصیف کاری است که به حق دسترسی خاصی مربوط می‌شود. به عنوان مثال یک وظیفه که به عنوان "منابع انسانی" تعریف شده، می‌تواند حق دسترسی مناسب به مجموعه‌ای از برنامه‌های HR و لیست دستمزدها را فراهم سازد. هنگامی که یک کارمند جدید بخش HR کار خود را آغاز می‌کند، مدیر سیستم که اشتراک شبکه کارمند را ایجاد می‌کند، می‌تواند به جای تنظیم دسترسی به یک‌یک برنامه‌ها، وظیفه "HR" را به او تخصیص دهد. شرکت Nextel Communications که از نرم‌افزار فراهم‌سازی Xellerate از شرکت Thor Technologies استفاده می‌کند با تعیین چهار وظیفه اصلی پروژه خود را آغاز نمود: کارکنان، پیمانکاران، شرکای تجاری و مشتریان. این چهارگروه به سه سرویس رایج و پر استفاده یعنی برنامه پست الکترونیک، شبکه LAN و اینترانت دسترسی دارند.
Tom Deffect مدیر معماری و استراتژی IT شرکت Nextel می‌گوید: "ما قصد داریم در وقت مناسب از روش کاملتری که جزییات را در برمی‌گیرد استفاده کنیم، به عنوان مثال تعیین مسئولیت کارکنان و اینکه آیا آنها مسئول بخش فروش هستند یا در بخش روابط عمومی فعالیت می‌کنند مهم است. بدین ترتیب بهتر می‌توان منابع را با عملکردهای شغلی خاص کارکنان سازگار نمود. Witty معتقد است که تعریف نقش‌های بی‌شمار می‌تواند مشکلات شدیدی ایجاد نماید. او می‌گوید: "شرکت‌هایی که برای کل بخش‌های خود وظایفی را ایجاد می‌کنند (در مقایسه با یک برنامه یا یک بخش) کم‌کم متوجه می‌شوند که تعداد وظایف ایجاد شده به تعداد کارکنان شرکت می‌باشد و حفظ و نگهداری این فرآیند بسیار مشکل است زیرا تجارت همیشه در حال تغییر یافتن است. بنابراین در ابتدا باید تعداد نقش‌ها و ظایف تعیین شده محدود باشد و پروژه مدیریت هویت به عنوان یک فرآیند قابل تغییر در نظر گرفته شود". در حقیقت این نوع اعمال فراهم سازی قاعده مهم دیگری را آشکار می‌سازند. در حالیکه مدیریت هویت می‌تواند شامل محصولات و تکنولوژی‌های بیشمار باشد، اما بیشتر به فرآیندهای تجاری مربوط می‌شود.
Gerry Gebel تحلیلگر ارشد گروه Burton می‌گوید: "تنظیم و اتوماتیک‌سازی دستیابی به تمام سیستم‌هایی که افراد برای انجام دادن کار خود مورد استفاده قرار می‌دهند کار بسیار غیرفنی می‌باشد. این کار در محیط سازمانی بیشتر یک اقدام اجتماعی محسوب می‌شود. شما باید بدانید که عملکرد شرکت چگونه است و چگونه می‌توانید برای توسعه این فرآیندها از تکنولوژی استفاده کنید".
● مراحل کار
Halliburton یک نمونه از شرکتی است که در این مسیر پیشرفت کرده است. این شرکت نزدیک به ۱۰۰ ویژگی کاربر شامل کد کشور، مرکز هزینه، خط سرویس محصول و نوع کارمند را در سیستم فراهم سازی مبتنی بر وظیفه خود تعریف کرده است. سیستم Halliburton از سه محصول universal ldp از شرکت Identity Integration Server، OpenNetwork Technologies و Ultimus BPM مایکروسافت برای فراهم سازی، تغییر اسم رمز، مدیریت جریان کاری و واگذاری منابع استفاده می‌کند. Mark Johnson ازHalliburton CISO می‌گوید: "ما از یک روش کلی‌نگر برای مدیریت هویت استفاده نموده‌ایم. روش ما دستیابی به اطلاعات در همه جا، هر زمان و توسط هر شخص می‌باشد و برای تکمیل آن باید احراز هویت و دستیابی مناسب را در هنگام نیاز برای کارکنان فراهم سازیم". اما کار جمع‌آوری اطلاعات برای Halliburton با مشکلاتی همراه است. این شرکت دارای صدهزار نفر کارمند است که البته تنها نیمی از آنها از کامپیوتر استفاده می‌کنند . شرکت Halliburton هم اکنون با تقسیم‌بندی پروژه به بخش‌های قابل درک ریسک موجود در پیچیدگی آن را کنترل می‌کند. اولین مرحله، ایجاد اشتراک‌های stub است که تنها به کاربران منابع اصلی (همچون ویندوز، پورتال کارمند، آموزش آن‌لاین، سیستم مرو کارآیی، برنامه پست الکترونیک، ذخیره‌سازی و دستیابی راه دور) اختصاص دارند. این اشتراک‌ها با به کار گرفته شدن یک کارمند جدید و معرفی او به سیستم SAP شرکت به طور اتوماتیک ایجاد می‌شوند.در مراحل بعد سرورهای واگذاری منابع در آسیا و اروپا عرضه خواهند شد و زمان پاسخ به تقاضاهای فراهم‌سازی جدید را سرعت خواهند بخشید. در اوایل سال آینده چند برنامه کاربردی دیگر در زیر ساخت قرار گرفته و در طی زمان توسعه برنامه‌های جدید و نیز ارتقا زمانبندی شده برنامه‌های کاربردی دیگر نیز مشمول پروژه خواهند شد. Johnson می‌گوید، افرادی که به دیتا SAP HR ما دسترسی دارند در تمام مدت تغییراتی مثل افزایش یا حذف کارکنان را ایجاد می‌نمایند. سیستم این تغییرات را اعمال نموده و آنها را شش بار در روز توزیع می‌کند. تا قبل از این، تمام تغییرات که تقریبا به ۲۰۰۰ تغییر در روز می‌رسید به طور دستی انجام می‌شد و اگر زمان صرف شده برای هر تغییر را یک دقیقه در نظر بگیریم کل تغییرات ۲۰۰۰ دقیقه به طول می‌انجامید. این زمان برابر با کار تمام وقت سه کارمند می‌باشد.
Phebe Waterfield تحلیلگر امنیتی گروه Yankee می‌گوید: با فراهم‌سازی هر برنامه از تعداد مکان‌هایی که مدیر سیستم باید برای خنثی نمودن فراهم‌سازی (deprovision) اشتراک به طور دستی مورد جستجو قرار دهد کم می‌شود. خنثی نمودن اشتراک یک کاربر یک تا چهار ساعت طول می‌کشد و تازه پس از آن نمی‌توانید مطمئن باشید که تمام آنها را باطل ساخته‌اید یا خیر؟
● کاهش خطر
کاهش تعداد اسم رمز از نظر امنیتی بسیار مفید است زیرا با وجود یک یا تعداد محدودی اسم رمز احتمال خطر برای کاربران کاهش می‌یابد (زیرا بسیاری از کاربران اسم‌های رمز را یادداشت نموده یا در فایلی بر روی هارددیسک ذخیره می‌کنند) اما از طرف دیگر تنها یک نقطه ورود به تمامی سیستم‌های تخصیص یافته به آن اسم رمز وجود خواهد داشت که این نیز خطر دیگری را ایجاد می‌نماید. به همین دلیل Shivanandan در حال حاضر مشغول ارزیابی بیومتریک به عنوان لایه اضافی احراز هویت در شرکت محل کارخود می‌باشد.بیمارستان Episcopal در هوستون در سال ۲۰۰۱ استفاده از کارت‌های هوشمند را با کاهش تعداد اسم رمز همراه نمود. Curtis Burkhart تحلیلگر ارشد سیستم در گروه Physician Information System Management می‌گوید: از آنجاییکه ایستگاه‌های کاری در سراسر راهروها پخش بودند تعداد ۹۲۲ پزشک بیمارستان وقت بسیار زیادی را صرف احراز هویت در هر کامپیوتر می‌کردند.
بیمارستان با استفاده از Authenticated Single Sign-on از شرکت BNX systems پروفایل کاربر پزشکان را با یک بانک اطلاعاتی منفرد تلفیق نموده ودسترسی به پنج برنامه بسیار پر استفاده را با یک اسم رمز و نیز کارت‌های هوشمند (برای احراز هویت) برای آنها فراهم می‌سازد. البته پزشکان هنوز باید برای استفاده از هر کامپیوتر به آن وارد یا از آن خارج شوند (با اسم رمز) اما فرآیند خواندن کارت توسط یک خواننده صفحه کلید و وارد کردن یک شماره PIN انتخابی سبب می‌شود در کمتر از ۵ ثانیه با برنامه پر استفاده کار کنند.
در نهایت Burkhardt بسیار تمایل داشت تا از کارت‌های Proximity که به عنوان ابزارهای کنترل کننده دستیابی عمل می‌کنند و زمان بیشتری را برای پزشکان صرفه‌جویی می‌نمایند، استفاده کند. اما استفاده از این ابزارها نیازمند هزینه جایگزینی سخت‌افزار بوده و در حال حاضر چنین امکانی وجود ندارد. اما شرکت Boeing چنین کاری را انجام می‌دهد. این شرکت در پروژه مدیریت هویت خود کارت‌های دستیابی ترکیبی (منطقی- فیزیکی) برای تقریبا ۱۵۶۰۰۰ کارمند در سراسر جهان عرضه نموده است.
در اواخر سال ۲۰۰۱ گروه امنیتی Boeing قصد داشتند یک نشان Proximity مشترک را برای انواع نشان‌های مختلف که در سراسر شرکت گسترش یافته بود، (در نتیجه مجموعه‌ای از تلفیقات) جایگزین سازند. استفاده از سخت‌افزار جدید قابل توجیه بود زیرا هزینه‌ نگهداری از مارک‌های مختلف خواننده نشان برای تمامی کارتها را کاهش می‌داد. در همان زمان تیم امنیتی فنی یک پروژه احراز هویت مجزا را مورد بررسی قرار می‌داد. در این پروژه از گواهینامه‌های دیجیتالی مبنی بر RSA X.۵۰۹ سطح بالا برای رسیدن به امنیت بیشتر در دسترسی به منابع اطلاعاتی استفاده می‌شد. Sharon Lindley مدیر برنامه پروژه می‌گوید: مدیران اجرایی عقیده داشتند که ادغام پروژه‌ها در یکدیگر نتیجه بهتری خواهد داشت. Boeing قصد دارد تا پایان سال جاری ۳۵۰۰۰ نشان Proximity و کارت‌های هوشمند را به صورت ترکیبی عرضه کند (‌البته تعداد ۱۳۰۰۰ از این ابزار تا ماه سپتامبر آماده شد) شرکت باقیمانده ابزار را در سال ۲۰۰۵ عرضه خواهد کرد.Lyons می‌گوید: ما فکر می‌کنیم که حتی اسم رمزهای بسیار پیچیده‌ نیز بسیار ضعیف عمل می‌کنند.بنابراین ما هویت را با استفاده از گواهینامه X.۵۰۹ تعیین می‌کنیم. اینکار به سیستم‌های احراز هویت ما امکان می‌دهد تا اطلاعات اضافی در مورد اشخاص را در دایرکتوری الکترونیکی جستجو نموده و نقش آنها را تعیین کنند.
Boeing نیز مانند دیگر شرکت‌ها پروژه خود را با عرضه کارت‌ها توسعه می‌دهد و نقش‌های کنونی در شرکت همان نقش‌های اساسی هستند. منطق احراز هویت شرکت که به صورت داخلی تهیه شده تصمیمات خود را بر اساس اطلاعاتی همچون: آیا این شخص شهروند آمریکایی است؟ آیا این شخص کارمند Boeing است یا پیمانکار این شرکت؟ اخذ می‌کند. بنابراین اگر به عنوان مثال یک کارمند غیر مجاز بخواهد به اطلاعات طبقه‌بندی شده دسترسی پیدا کند، سیستم متوجه شده و دستیابی او را محدود می‌سازد.
● قضاوت نهایی
در هر حال حاضر بحث برسر این است که تا زمانیکه نیازهای یک شرکت تعریف نشده هزینه‌ای بابت سیستم مدیریت هویت صرف نشود. در حقیقت در گزارش اخیر کنسرسیوم Cutter بر این موضوع تاکید شده است. زیرا اگر در یک روش مرحله به مرحله، سیستم جدید نتواند توسعه یابد بین سیستم‌های موجود ناسازگاری پیش آمده و یا اینکه مشکلاتی ایجاد می‌شود که بررسی دقیق آنها موجب صرف هزینه‌های کلان خواهد شد. اما به نظر می‌رسد که افراد رده بالا در شرکت‌ها تمایل دارند در این مورد جدیدتر بوده و با سهل‌انگاری با آن برخورد نکنند. به عنوان مثال Boeing بر اساس نظریه یک پروژه مدیریت هویت واحد تصمیم‌گیری نخواهد کرد. این شرکت با دارا بودن مشخصه منطقی که برای امنیت خود مهم می‌باشد تصمیمات خود را بر اساس نظرات گردانندگان اصلی تجارت (که طبیعتا نظراتی مرتبط با قانون و مخالف با خطر می‌باشند) اخذ می‌کند. به عنوان مثال او نمی‌تواند با استفاده از یک نوع برنامه مبتنی بر وب برای سرویس‌ گیرندگان و مشتریان خطوط هوایی موقعیت خود را به خطر بیاندازد (گر چه اینکار احتمالا سبب صرفه‌جویی در هزینه‌های شرکت می‌شود) بنابراین شرکت از یک سیستم دستیابی انحصاری و جداگانه و شبکه بخش‌بندی شده برای هر کدام از سرویس گیرندگان خود استفاده می‌کند. در نتیجه سیستم هویت کارمند/ پیمانکار همیشه مستقل خواهد بود.
Lyon می‌گوید: شما باید مدیریت هویت را اجرا کنید. پس بهتر است که احراز هویت را به طور منطقی برای هر گروه به صورت جداگانه انجام داده و با گسترش آن در مورد منابع خاص هر گروه تصمیم‌گیری نمایید.به نظر می‌رسد که با وجود بیش از ۱۰۰ نوع سیستم مدیریت هویت موجود در بازار امروز نظریه Lypns کاملا مفهوم پیدا می‌کند. سازگار نمودن شرکت با امنیت ایده درستی نیست. در واقع این امنیت است که باید با شرایط کنونی شرکت متناسب باشد. با وجود گردانندگان منحصر به فرد شرکت‌های تجاری هیچ تعجبی ندارد که زیر ساخت پروژه‌های مدیریت هویت تا این حد متفاوت باشد.