Rychlá pomoc?

Správa uživatelských účtů a firemních zařízení z cloudu a životní cyklus zaměstnance.

Pracující uživatelé na PC
, , , , , , , ,

Globální softwarová firma se sídlem v Tokyu plánovala své strukturální změny s přístupem ke světovému trhu. To znamenalo i zásadní změny v mnoha oblastech managementu společnosti. Jedním z nich bylo i řízení přístupů uživatelů a získání jednoduchého přehledu nad tím, jaký zaměstnanec má jaká oprávnění a k jakým aplikacím může přistupovat. Proto jsme byli osloveni, abychom se zapojili do mezinárodního týmu jako jeden z 8 členů a společně vyřešili nelehký úkol sjednocení uživatelských identit, management firemních zařízení a u co nejvíce možných aplikací nastavili jednotné přihlášení (Single Sign On – SSO).

Výzvy

1) Na počátku nás čekal audit všech uživatelů v počtu přes 8000, kde jsme porovnávali již existující přístupy z cloudového poskytovatele správy identit JumpCloud.

2) Technický management společnosti uvažoval o změně poskytovatele správy identit (Identity Provider – IdP) na více známý a podporovaný Microsoft Azure, resp. Entra ID. Tudíž jsme analyzovali, které nástroje a aplikace umožňují nejen jednotné přihlášení (SSO), ale zároveň i životní cyklus uživatele sadou specifikací pro mezi-doménové sdílení (System for Cross-domain Identity Management – SCIM).

3) Další výzvou bylo sjednotit firemní zařízení a jejich správu, aby bylo možné jednoduše aplikovat zásady požadovaného nastavení (Group Policy Object – GPO) přímo z cloudového doménového řadiče v Azure a tím získat přehlednější kontrolu nad užívanými prostředky společnosti.

4) Největší výzvou byla komunikace s jednotlivými výrobci nástrojů a aplikací (Vendor), se kterými jsme domlouvali změnu poskytovatele identity, aby nedošlo k výpadku během pracovní doby a uživatelská data zůstala zachována, aby běžný zaměstnanec nepocítil žádný významný rozdíl od předchozího řešení.

Cíle

1) Přenést uživatelské identity z JumpCloud do Microsoft Azure, resp. Entra ID a na základě podrobné analýzy provést korekci přístupů k jednotlivým aplikacím a licencím.

2) Nastavit management zařízení (Mobile Device Management – MDM, tedy Microsoft Intune) pro firemní zařízení, aby bylo možné jednoduše z cloudu aplikovat definované bezpečnostní zásady. A správa zařízení nebyla limitována na aktuální výskyt zařízení, což doplňuje tzv. Zero-Trust koncept zabezpečení a dává smysl vzhledem k globální působnosti společnosti.

3) Nastavit co nejvíce nástrojů a aplikací na jednotné přihlášení (SSO) a zjednodušit tím přihlášení k jednotlivým aplikacím na všem zaměstnancům na jediný login, čímž se zároveň zvýší i bezpečnost.

4) U co nejvíce aplikací nastavit propagaci identit mezi výrobcem a poskytovatelem identity (SCIM), aby nebylo nutné pro každou aplikaci zakládat účet u výrobce, ale ten si nastavení účtu načetl z poskytovatele identity a to i v případě, kdy je naopak potřeba zaměstnanci účet úplně zrušit.

4) Domluvit s výrobci software hladké přesunutí existujících identit k novému poskytovateli identity do Microsoft Azure, resp. Entra ID a zachovat všechna uživatelská data u výrobce.

Řešení

Mezi prvními kroky probíhala analýza všech nástrojů, které nám byly přiděleny. Zjistili jsme, zda výrobce podporuje napojení do Entra ID a zda podporuje SCIM. Zde jsme si zároveň museli dát pozor, aby výrobce software neomezoval funkce SSO a SCIM dle užívané licence, tzn. pokud společnost používala levnější tarif, který nepodporoval funkce SSO a SCIM, bylo nutné rozhodnout jak postupovat. Dále jsme provedli analýzu, jací uživatelé k vybranému nástroji přistupují a tento seznam konzultovali s technickým projektový managementem, zda je to v pořádku. V případě neshod, jsme dále řešili, zda již uživatel nadále neexistuje, zda mu bude přístup odebrán a nebo zda některý ze současných zaměstnanců nechybí v seznamu a měl by mít přístup.

Po detailní analýze aplikací a přístupů, a diskuzi jak s těmito informacemi naložit, jsme přistoupili k zakládání uživatelských skupin, které definují oprávnění pro užívání dané aplikace. Např. SSO-Aplikace, do které jsme vložili účty oprávněných uživatelů.

Takto připravené podklady jsme využili při nastavení každé z aplikací v nastavení podnikových aplikací (Entreprise Applications), kdy došlo nejprve k založení samotné aplikace do seznamu, vyplnění základního nastavení a dále nastavení SSO, které jsme předem konzultovali s výrobcem, abychom vložili správné hodnoty do požadovaných polí a proběhlo korektní spárování uživatelských identit s výrobcem.

Po ověření, že autorizace uživatele skrze SSO funguje, jsme přistoupili k nastavení SCIM, kdy rovněž byla nedílnou součástí komunikace s výrobcem. Po úspěšném testu, kdy se nový uživatel přihlásí svým jediným účtem k aplikaci, je přesměrován do správného prostoru společnosti a je mu založen nový účet, jsme pouze doladili úrovně oprávnění při použití SCIM na základě definovaných proměnných v podmíněném přístupu.

Výsledek

V původním plánu jsme od technického managementu dostali na starost zpracovat přesun 24 aplikací. Díky námi precizně provedené analýze, kdy jsme kladli důraz na to, aby každý uživatel z počtu přes 8000, byl správně zařazen a měl očekávané oprávnění, byla spokojenost ze strany managementu tak vysoká, že nám přidělili další aplikace do počtu cca 46 aplikací, které měli být zpracovány interním týmem společnosti, protože se jednalo o některé aplikace obsahující citlivá firemní data.

Z důvodu rozsáhlého přesunu velkého množství uživatelských identit, počtu zařízení ve správě a počtu nástrojů a aplikací, jsme nakonec neřešili část správy zařízení v Microsoft Intune přes MDM a tuto část řešil dedikovaný člen týmu.

Přesun aplikací, který jsme dostali za úkol, proběhl úspěšně a požadované funkce jako je jednotné přihlášení (SSO) a synchronizace účtu mezi poskytovatelem identity a výrobcem (SCIM), byly u aplikací, které tuto funkci podporují, nastaveny a otestovány úspěšně.

Závěr

Díky aplikovaným funkcím pro jednotné přihlášení (SSO) a synchronizaci mezi poskytovatelem identity a výrobcem (SCIM) má interní IT tým u většiny nástrojů a aplikací plnou kontrolu nad životním cyklem uživatele. Při založení nové identity uživatele pouze volí příslušné skupiny, do kterých má mít uživatel přístup a nastupující zaměstnanec automaticky získá přístup k nástrojům a aplikacím, které ze své podstaty pracovní funkce má mít. Navíc mu k tomu poslouží pouze jediný uživatelský login, a žádné desítky různých loginů a hesel na různé aplikace. I v případě, kdy zaměstnanec své pracovní místo opouští, má interní IT tým taktéž jednoduchou práci s odebráním těchto přístupů a především má jistotu, že na žádné klíčové aplikace nezapomněl.

Také Vás trápí velké množství různých aplikací, přihlašovacích údajů pro velký počet zaměstnanců a chcete mít jednoduchý přehled o tom, kdo má jaké oprávnění? Kontaktujte nás a rádi s Vámi vymyslíme řešení šité přímo pro Vaše potřeby.

Michal Dudek

Michal Dudek

Přehled ochrany osobních údajů
MDCS Group s.r.o.

Tyto webové stránky používají soubory cookies, protože musíme. Informace o souborech cookie se ukládají ve vašem prohlížeči a plní funkce, jako je rozpoznání, když se na naše webové stránky vrátíte. Více informací o Cookies najdete také v Zásadách ochrany osobních údajů.

Nezbytně nutné soubory cookies (Technická cookies)

Nezbytně nutný soubor cookie by měl být vždy povolen, abychom mohli uložit vaše preference nastavení souborů cookie.

Pokud tento soubor cookie zakážete, nebudeme moci uložit vaše preference. To znamená, že při každé návštěvě těchto webových stránek budete muset soubory cookies znovu povolit nebo zakázat.

Powered by  GDPR Cookie Compliance