Programvara för användaradministration

Programvara för användaradministration är programvara som är avsedd att hjälpa organisationer att snabbare, billigare, tillförlitligare och säkrare hantera information om användare på flera system och applikationer.

Bakgrund: system, applikationer och användare

Människor representeras av användarobjekt eller inloggningskonton på olika system och applikationer.

Exempel på system och applikationer inkluderar:

• LDAP- kataloger.
• Microsoft Active Directory och Novell eDirectory .
• Operativsystem som Linux , Unix , Solaris , AIX , HP-UX och Windows Server .
• Stordatorsäkerhetsprodukter som RAC/F , CA ACF/2 och CA TopSecret.
• ERP-applikationer som SAP R/3 , PeopleSoft , JD Edwards , Lawson Financials och Oracle eBusiness Suite.
• E-postsystem som Microsoft Exchange och Lotus Notes .
• Databaser som Oracle, Microsoft SQL Server, IBM DB2 och MySQL.
• En mängd andra, anpassade eller vertikala marknadssystem och applikationer..

Användarobjekt består vanligtvis av:

• En unik identifierare.
• En beskrivning av den person som har tilldelats användarobjektet – främst deras namn.
• Kontaktinformation för den personen, såsom e-postadress, telefonnummer, postadress, etc.
• Organisationsinformation om den personen, till exempel ID för deras chef, deras avdelning eller deras plats.
• Ett lösenord och/eller andra autentiseringsfaktorer.

Observera att användare inte behöver kunna logga in på ett system eller en applikation. Användarobjektet kan vara en post i en HR-applikation eller en post i ett telefonbokssystem som användaren inte kan logga in på men som ändå representerar användaren.

Användarobjekt är vanligtvis kopplade till andra delar av ett system eller en applikation genom säkerhetsrättigheter. På de flesta system görs detta genom att placera en användare i en eller flera säkerhetsgrupper, där användare av varje grupp tilldelas vissa säkerhetsrättigheter.

Användarlivscykelprocesser

Organisationer implementerar affärsprocesser för att skapa, hantera och ta bort användarobjekt på sina system och applikationer:

• Onboarding:
  • Representerar de steg som tas när en ny medarbetare anställs, en entreprenör börjar arbeta eller en kund eller partner får tillgång till system.
  • Denna term anspelar på processen att lasta passagerare på ett kommersiellt flygplan.
• Förvaltning:
  • Användare är dynamiska – de byter namn, adresser, ansvar och mer.
  • Förändringar som användarna upplever i den fysiska världen måste reflekteras av användarobjekt på system och applikationer.
• Stöd:
  • Användare upplever ibland problem med system och applikationer. De kan till exempel glömma sitt lösenord eller kräva nya säkerhetsrättigheter.
  • Användarsupport innebär att ändra data om användare på system och applikationer, återställa användarlösenord och så vidare, för att lösa användarproblem.
• Inaktivering:
  • Användare har en begränsad livslängd och normalt en ännu kortare relation med en organisation där ett system eller en applikation hanteras.
  • När användare lämnar - uppsägning, avgång, pensionering, kontraktsslut, kundförhållande, etc. - bör deras åtkomst till system och applikationer också avaktiveras.

Termen livscykel innebär för övrigt inte att användare som har avaktiverats nödvändigtvis inte kommer att gå ombord igen. Detta händer dock. Till exempel kan anställda lämna ett företag och återanställas senare, eller så kan entreprenörer avsluta sitt kontrakt bara för att anställas som anställda.

Användarprovisioneringssystem

Användarprovisioneringssystem är avsedda att hjälpa organisationer effektivisera användarlivscykelprocesser så att uppdateringar av användarobjekt på deras system och applikationer kan göras:

• Snabbare – så att användarna inte behöver vänta på ändringar.
• Mer effektivt – för att minska kostnaderna för att hantera system och applikationer som svar på användarlivscykelhändelser.
• Säkrare – för att minska risken för systemkompromisser på grund av användarobjekt som har överlevt sin användbarhet, på grund av olämpliga säkerhetsrättigheter och på grund av lättgissade eller på annat sätt komprometterade lösenord.

Användarprovisioneringsprocesser

Ett användarprovisioneringssystem kan implementera en eller flera processer för att uppnå de tidigare nämnda målen. Dessa processer kan inkludera:

• Automatisk provisionering. Till exempel:
  • Övervaka en HR-applikation och skapa automatiskt nya användare på andra system och applikationer när nya personaluppgifter dyker upp i HR-databasen.
• Automatisk avaktivering. Till exempel:
  • Övervaka en HR-applikation och avaktivera automatiskt användarobjekt på andra system och applikationer när en anställds poster antingen försvinner eller markeras som inaktiva i HR-databasen.
  • Inaktivera automatiskt användarobjekt för användare, såsom entreprenörer, vars planerade uppsägningsdatum har passerat.
• Identitetssynkronisering. Till exempel:
  • När ändringar i en användares e-postadress upptäcks på ett e-postsystem uppdaterar du automatiskt samma användares e-postadress på andra system.
  • När ändringar i en användares namn, telefonnummer eller postadress upptäcks i ett HR-system, uppdatera automatiskt samma användares e-postadress på andra system.
• Ändringar av självbetjäningsprofil. Till exempel:
  • Tillåt användare att uppdatera sin egen kontaktinformation.
• Begäran om självbetjäning. Till exempel:
  • Tillåt användare att begära åtkomst till system och applikationer.
• Begäran om delegerad åtkomst. Till exempel:
  • Tillåt chefer att begära åtkomst till system och applikationer på uppdrag av sina direkta underordnade.
• Auktoriseringsarbetsflöde. Till exempel:
  • Be företagsintressenter att granska och antingen godkänna eller avvisa föreslagna ändringar av användarprofiler eller åtkomsträttigheter.
• Åtkomstcertifiering. Till exempel:
  • Be med jämna mellanrum chefer att verifiera att listan över deras direkta underordnade (a) fortfarande är anställda i organisationen och (b) fortfarande rapporterar till dem.
  • Regelbundet data- eller applikationsägare för att verifiera en lista över användare med åtkomst till deras data eller applikation.

Komponenter för användarprovisionering

Ett användaradministrationssystem måste i allmänhet innehålla några eller alla av följande komponenter:

• Anslutningar, för att läsa information om användare från integrerade system och applikationer och för att skicka uppdateringar (t.ex. skapa ny användare, ta bort användare, ändra användarinformation) tillbaka till dessa system och applikationer.
• En intern databas, som spårar användarobjekt och annan data från integrerade system och applikationer.
• Ett system för automatisk upptäckt, som fyller den interna databasen med hjälp av anslutningarna.
• Ett användargränssnitt där användare kan granska innehållet i den interna databasen, göra ändringsförfrågningar, godkänna eller avvisa föreslagna ändringar, etc.
• En arbetsflödesmotor, som främst används för att bjuda in användare att granska och antingen godkänna eller avvisa ändringar.
• En policymotor som utvärderar både aktuell användarinformation och föreslagna ändringar för att se om de uppfyller företagets regler och förordningar.
• En rapporteringsmotor som hjälper organisationer att extrahera information från den interna databasen.

• Casassa Mont, Marco; Baldwin, Adrian; Shiu, Simon (2009), Identity Analytics - Fallstudie "User Provisioning": Använda modellering och simulering för policybeslutsstöd , sid. 49
•   Hommel, Wolfgang; Schiffers, Michael (2005), Supporting Virtual Organization Lifecycle Management by Dynamic Federated User Provisioning , sid. 12, CiteSeerX 10.1.1.84.6068
• Becker, M; Drew, M (2005), "Overcoming the challenges in deploying user provisioning/identity access management backbone", BT Technology Journal , BT Technology Journal (publicerad 2006), 23 (4): 71–79, doi : 10.1007/s10550-006 -0009-x
• Witty, Roberta J (2003), The Identity and Access Management Market Landscape (PDF) , sid. 11