Správa uživatelských účtů a firemních zařízení z cloudu a životní cyklus zaměstnance.

Pracující uživatelé na PC

Globální softwarová firma se sídlem v Tokyu plánovala své strukturální změny s přístupem ke světovému trhu. To znamenalo i zásadní změny v mnoha oblastech managementu společnosti. Jedním z nich bylo i řízení přístupů uživatelů a získání jednoduchého přehledu nad tím, jaký zaměstnanec má jaká oprávnění a k jakým aplikacím může přistupovat. Proto jsme byli osloveni, abychom se zapojili do mezinárodního týmu jako jeden z 8 členů a společně vyřešili nelehký úkol sjednocení uživatelských identit, management firemních zařízení a u co nejvíce možných aplikací nastavili jednotné přihlášení (Single Sign On – SSO).

Výzvy

1) Na počátku nás čekal audit všech uživatelů v počtu přes 8000, kde jsme porovnávali již existující přístupy z cloudového poskytovatele správy identit JumpCloud.

2) Technický management společnosti uvažoval o změně poskytovatele správy identit (Identity Provider – IdP) na více známý a podporovaný Microsoft Azure, resp. Entra ID. Tudíž jsme analyzovali, které nástroje a aplikace umožňují nejen jednotné přihlášení (SSO), ale zároveň i životní cyklus uživatele sadou specifikací pro mezi-doménové sdílení (System for Cross-domain Identity Management – SCIM).

3) Další výzvou bylo sjednotit firemní zařízení a jejich správu, aby bylo možné jednoduše aplikovat zásady požadovaného nastavení (Group Policy Object – GPO) přímo z cloudového doménového řadiče v Azure a tím získat přehlednější kontrolu nad užívanými prostředky společnosti.

4) Největší výzvou byla komunikace s jednotlivými výrobci nástrojů a aplikací (Vendor), se kterými jsme domlouvali změnu poskytovatele identity, aby nedošlo k výpadku během pracovní doby a uživatelská data zůstala zachována, aby běžný zaměstnanec nepocítil žádný významný rozdíl od předchozího řešení.

Cíle

1) Přenést uživatelské identity z JumpCloud do Microsoft Azure, resp. Entra ID a na základě podrobné analýzy provést korekci přístupů k jednotlivým aplikacím a licencím.

2) Nastavit management zařízení (Mobile Device Management – MDM, tedy Microsoft Intune) pro firemní zařízení, aby bylo možné jednoduše z cloudu aplikovat definované bezpečnostní zásady. A správa zařízení nebyla limitována na aktuální výskyt zařízení, což doplňuje tzv. Zero-Trust koncept zabezpečení a dává smysl vzhledem k globální působnosti společnosti.

3) Nastavit co nejvíce nástrojů a aplikací na jednotné přihlášení (SSO) a zjednodušit tím přihlášení k jednotlivým aplikacím na všem zaměstnancům na jediný login, čímž se zároveň zvýší i bezpečnost.

4) U co nejvíce aplikací nastavit propagaci identit mezi výrobcem a poskytovatelem identity (SCIM), aby nebylo nutné pro každou aplikaci zakládat účet u výrobce, ale ten si nastavení účtu načetl z poskytovatele identity a to i v případě, kdy je naopak potřeba zaměstnanci účet úplně zrušit.

4) Domluvit s výrobci software hladké přesunutí existujících identit k novému poskytovateli identity do Microsoft Azure, resp. Entra ID a zachovat všechna uživatelská data u výrobce.

Řešení

Mezi prvními kroky probíhala analýza všech nástrojů, které nám byly přiděleny. Zjistili jsme, zda výrobce podporuje napojení do Entra ID a zda podporuje SCIM. Zde jsme si zároveň museli dát pozor, aby výrobce software neomezoval funkce SSO a SCIM dle užívané licence, tzn. pokud společnost používala levnější tarif, který nepodporoval funkce SSO a SCIM, bylo nutné rozhodnout jak postupovat. Dále jsme provedli analýzu, jací uživatelé k vybranému nástroji přistupují a tento seznam konzultovali s technickým projektový managementem, zda je to v pořádku. V případě neshod, jsme dále řešili, zda již uživatel nadále neexistuje, zda mu bude přístup odebrán a nebo zda některý ze současných zaměstnanců nechybí v seznamu a měl by mít přístup.

Po detailní analýze aplikací a přístupů, a diskuzi jak s těmito informacemi naložit, jsme přistoupili k zakládání uživatelských skupin, které definují oprávnění pro užívání dané aplikace. Např. SSO-Aplikace, do které jsme vložili účty oprávněných uživatelů.

Takto připravené podklady jsme využili při nastavení každé z aplikací v nastavení podnikových aplikací (Entreprise Applications), kdy došlo nejprve k založení samotné aplikace do seznamu, vyplnění základního nastavení a dále nastavení SSO, které jsme předem konzultovali s výrobcem, abychom vložili správné hodnoty do požadovaných polí a proběhlo korektní spárování uživatelských identit s výrobcem.

Po ověření, že autorizace uživatele skrze SSO funguje, jsme přistoupili k nastavení SCIM, kdy rovněž byla nedílnou součástí komunikace s výrobcem. Po úspěšném testu, kdy se nový uživatel přihlásí svým jediným účtem k aplikaci, je přesměrován do správného prostoru společnosti a je mu založen nový účet, jsme pouze doladili úrovně oprávnění při použití SCIM na základě definovaných proměnných v podmíněném přístupu.

Výsledek

V původním plánu jsme od technického managementu dostali na starost zpracovat přesun 24 aplikací. Díky námi precizně provedené analýze, kdy jsme kladli důraz na to, aby každý uživatel z počtu přes 8000, byl správně zařazen a měl očekávané oprávnění, byla spokojenost ze strany managementu tak vysoká, že nám přidělili další aplikace do počtu cca 46 aplikací, které měli být zpracovány interním týmem společnosti, protože se jednalo o některé aplikace obsahující citlivá firemní data.

Z důvodu rozsáhlého přesunu velkého množství uživatelských identit, počtu zařízení ve správě a počtu nástrojů a aplikací, jsme nakonec neřešili část správy zařízení v Microsoft Intune přes MDM a tuto část řešil dedikovaný člen týmu.

Přesun aplikací, který jsme dostali za úkol, proběhl úspěšně a požadované funkce jako je jednotné přihlášení (SSO) a synchronizace účtu mezi poskytovatelem identity a výrobcem (SCIM), byly u aplikací, které tuto funkci podporují, nastaveny a otestovány úspěšně.

Závěr

Díky aplikovaným funkcím pro jednotné přihlášení (SSO) a synchronizaci mezi poskytovatelem identity a výrobcem (SCIM) má interní IT tým u většiny nástrojů a aplikací plnou kontrolu nad životním cyklem uživatele. Při založení nové identity uživatele pouze volí příslušné skupiny, do kterých má mít uživatel přístup a nastupující zaměstnanec automaticky získá přístup k nástrojům a aplikacím, které ze své podstaty pracovní funkce má mít. Navíc mu k tomu poslouží pouze jediný uživatelský login, a žádné desítky různých loginů a hesel na různé aplikace. I v případě, kdy zaměstnanec své pracovní místo opouští, má interní IT tým taktéž jednoduchou práci s odebráním těchto přístupů a především má jistotu, že na žádné klíčové aplikace nezapomněl.

Také Vás trápí velké množství různých aplikací, přihlašovacích údajů pro velký počet zaměstnanců a chcete mít jednoduchý přehled o tom, kdo má jaké oprávnění? Kontaktujte nás a rádi s Vámi vymyslíme řešení šité přímo pro Vaše potřeby.