Hvis administrationen af brugerkonti skal automatiseres, skal det fungere på tværs af alle systemer, hvor brugere oprettes, vedligeholdes og nedlægges. Virtuelle directories er et bud på en løsning.
En ny medarbejder ansættes. En anden holder op. En tredje skifter afdeling.
Alle tre begivenheder har konsekvenser i it-systemerne: Den nye medarbejder skal oprettes i alle de systemer, vedkommende har brug for.
Den afgående medarbejder skal slettes.
Det er vigtigt – ellers risikerer man, at han misbruger data.
Sletning er vigtig
Omvendt er sletning også vigtigt af hensyn til medarbejderen: Så løber han ikke en risiko for, at man senere mistænker ham for at have været inde i systemerne igen.
Mange it-afdelinger foretager opgaverne med brugeradministration manuelt.
Som koncern-it-chef Martin Pedersen fra Økonomi- og Erhvervsministeriet bemærker, har it-afdelinger ikke været gode til at gøre deres egne arbejdsopgaver lettere.
En årsag til at administrere brugere manuelt er, at opgaven teknisk set ikke er centraliseret:
Der findes ikke nødvendigvis et enkelt sted, hvor man kan oprette en bruger, hvorefter vedkommende automatisk er oprettet i alle organisationens systemer.
Ofte skal brugeren oprettes ét sted for at få adgang til delte drev og printere, et andet sted for at få en mailkonto, et tredje sted for at få adgang til økonomisystemet, og et fjerde sted for adgang til andre forretningssystemer.
Så galt står det ikke til i organisationer som Økonomi- og Erhvervsministeriet. Her har man valgt at samle al brugeradministration i Active Directory. Til gengæld kræver det så, at alle systemer er i stand til at kommunikere med Active Directory.
FORTSÆTTES
Integrerer directories
I de tilfælde, hvor man kører en applikation, der ikke direkte kan lade sine bruger logge ind via Active Directory, er der imidlertid andre løsninger.
En udbredt teknologi hedder et meta-directory.
Et directory er en brugerdatabase, der anvendes til at styre, hvem der må logge ind, og hvad de har adgang til.
Et meta-directory er et centraliseret directory, der henter information om brugere ind fra andre directory-tjenester, lagrer oplysningerne og sender dem ud til dem igen.
På den måde bliver alle directories efterhånden opdateret med information om alle brugere.
Et udbredt meta-directory er MIIS (Microsoft Identity Integration Server).
Det danske Omada-system sælges ofte sammen med MIIS. Kombinationen medfører, at man fra Omada Identity Manager kan oprette og vedligeholde brugere i systemer som IBM’s mainframesikkerhedssystem RACF, SAP og Oracle Financials.
MIIS sørger for kommunikationen med systemerne, så Omadas udviklere slipper for at bekymre sig om den.
Sarbanes-Oxley
Direktør Morten Boel Sigurdsson fra Omada siger, at der er to typiske årsager til, at virksomheder indfører hans firmas produkt: Effektivisering og kontrolkrav.
“Hvis firmaets help desk er ved at blive lagt ned på grund af arbejdet med at oprette, ændre eller nedlægge brugerkonti, er det effektiviseringen, der driver salget. Så kan it-afdelingen lægge opgaverne med brugerstyring ud til forretningen. Det skyldes, at det ikke kræver teknisk indsigt at vide, hvilke roller en ny medarbejder skal udfylde. Kontrolkravene kommer ofte udefra i form af Sarbanes-Oxley eller lignende. Der giver vores system revisorerne mulighed for at se, hvem der må hvad i systemet – og det præsenteres på en måde, der er relateret til forretningen, ikke til de tekniske, underliggende systemer,” siger han.
De aktive spillere på markedet for brugerstyring og meta-directories er foruden Microsoft Sun, Novell, Oracle og CA. Dertil kommer en række mindre, specialiserede softwarehuse.
Dødsdom
Nogle mener, at meta-directory er en døende teknologi. Dødsdommen blev afsagt den 4. marts i et blog-indlæg af Jackson Shaw fra firmaet Quest.
Han var i sin tid med til at udvikle et meta-directory i firmaet Zoomit.
Det blev siden overtaget af Microsoft og blev til det, der i dag hedder MIIS.
Det er altså en erfaren meta-directory-mand, der nu mener, at teknologien er på vej ud.
Afløseren er det virtuelle directory.
Ligesom et meta-directory virker også et virtuelt directory som et omstillingsbord for directories.
Forskellen er, at et virtuelt directory ikke lagrer brugeroplysningerne selv.
I stedet tager det imod forespørgsler og sender dem videre i en form, som modtageren kan forstå. Når svaret kommer retur, konverteres det til det format, den spørgende part kan forstå.
Jackson Shaws indlæg var en reaktion på, at HP nu har opgivet sit meta-directory, Identity Center. Firmaet vil ikke forsøge at sælge det til nye kunder.
Ikke alle i directory-verdenen har dog fundet sørgebindene frem i anledning af meta-directorys snarlige bortgang. Som analytiker Felix Gaehtgens skriver i sin blog:
“Jeg vil ikke kalde det dødt, det er umuligt at ignorere de mange MIIS-installationer rundt omkring. Men jeg vil kalde det gammeldags.”
Han venter, at virtuelle directories og meta-directories vil blive kombineret:
“I fremtiden vil vi se “super-directories,” der kombinerer traditionelle lagrede data med LDAP-adgang, virtuelle views og synkroniseringsfunktioner.”
