Il sistema di gestione delle identità è una parte centrale di qualsiasi reparto IT. Finché funziona, poche persone si accorgeranno della sua esistenza e, di conseguenza, spesso non è ottimizzato per migliorare la qualità del sistema. Con 16 anni di esperienza nello sviluppo di una soluzione server IdM (central identity management), Univention ha identificato dieci passaggi su come migliorare il tuo IdM, indipendentemente dal fatto che tu stia eseguendo il tuo IdM in locale o nel cloud come UCS su AWS . Analizziamoli.
Passaggio 1:fai un inventario delle tue applicazioni + rimuovi Shadow IT
Quando pensiamo ai nostri ambienti IT, spesso pensiamo in termini fisici e consideriamo quali server, switch e cavi abbiamo. Tenere un inventario di quelli è sicuramente una necessità e richiesto da qualsiasi dipartimento di contabilità. Ma di solito pensiamo meno a fare lo stesso per il nostro software. È particolarmente vero per qualsiasi "IT ombra" che potrebbe essere cresciuto al di fuori del reparto IT. Solo con un elenco completo di software puoi continuare ad apportare miglioramenti significativi al tuo IT.
La ricerca dei servizi IT ufficiali dovrebbe far parte della lettura della documentazione. Per l'IT ombra, potrebbe non essere così facile.
I nostri tre metodi preferiti per determinare i prodotti IT ombra in uso sono i seguenti:
- Chiedi ai tuoi utenti! Questo è probabilmente il modo più semplice per scoprirlo. Questo ti dà anche l'opportunità di saperne di più su quali servizi e strumenti apprezzano e di cui hanno più bisogno.
- Chiedi al tuo reparto contabilità un elenco di fornitori e scansionali per i fornitori di servizi IT che ti forniscono servizi. Le applicazioni che si trovano più spesso qui sono strumenti di pianificazione e dashboard come Trello.
- E se le politiche della tua azienda e le leggi applicabili lo consentono, controlla il tuo firewall. Se hai la possibilità di esportare le connessioni in uscita e ordinarle per numero di connessioni, dovresti scoprire cosa stanno usando i tuoi utenti. Molto spesso qui trovi i servizi cloud per i consumatori. Molto probabilmente Dropbox e Box verranno visualizzati qui.
La panoramica di tutte le applicazioni in uso che ottieni da questo processo di scansione ti consente di migliorare l'insieme di applicazioni offerte ai tuoi utenti e ridurrà gradualmente lo shadow IT, che a sua volta ridurrà il sovraccarico e migliorerà la sicurezza e la stabilità.
Fase 2:crea un servizio leader
Tra LDAP, database SQL e servizi online come l'accesso con Google esistono numerosi modi per gestire le tue identità all'interno di un'organizzazione. Nella maggior parte dei casi, ogni applicazione avrà la possibilità di mantenere la propria base di utenti e potrebbe avere l'opportunità di controllare anche altri software.
Prendere una decisione esplicita su quale sistema deve mantenere le identità è un passaggio essenziale nella progettazione del sistema e garantire che il sistema principale abbia tutte le informazioni per controllare qualsiasi applicazione che puoi trovare.
Assicurati che il tuo sistema scelto possa controllare le tue applicazioni. UCS, ad esempio, ha sia OpenLDAP che AD disponibili per le tue applicazioni, oltre a numerosi connettori per i servizi online. Tutte le funzioni e gli strumenti disponibili per UCS sono disponibili nel Univention App Center .
Dopo la decisione, ti concentri sull'integrazione dei diversi sistemi uno alla volta. Se utilizzi sistemi virtualizzati, potresti essere in grado di creare una copia dei server coinvolti per assicurarti di aver coperto tutte le impostazioni necessarie prima di applicarle all'ambiente produttivo.
Fase 3:rendi i tuoi utenti più a loro agio
La maggior parte degli utenti non è particolarmente preoccupata per la privacy e la protezione dei dati. Mentre il management è spesso consapevole della loro importanza, gli utenti spesso li relegano al secondo posto dietro al loro comfort. Pertanto, quando si cerca di avere un impatto implementando un IdM centrale, la comodità che può offrire agli utenti è spesso uno strumento fondamentale per l'accettazione e il successo. Pertanto, mentre le politiche "stesso utente stessa password" potrebbero essere sufficienti per soddisfare i requisiti dell'amministratore o della tua strategia, solo con un sistema di accesso singolo sarai in grado di convincere i tuoi utenti che i tuoi servizi sono migliori di qualsiasi servizio potrebbero utilizzare a casa.
Fase 4:Riduci al minimo il tuo lavoro
Ora, il comfort dell'utente e la copertura dell'app sono elementi essenziali per l'accettazione continua del tuo IdM. Tuttavia, nessun sistema di gestione è completo senza un modo per gestirlo. Avere modelli e impostazioni predefinite ragionevoli consente di ridurre al minimo le attività di routine della creazione di utenti e del loro spostamento nel rispettivo reparto. Se il tuo sistema ti consente di impostare i valori predefiniti, ottimo, usa questi. In caso contrario, potresti voler cercare un nuovo sistema.
Passaggio 5:verifica le norme relative alle password
I consigli e i possibili requisiti per le politiche delle password sono cambiati. Il National Institute of Standards and Technology ha aggiornato la sua documentazione e la Sezione 5.1.1 fornisce un ottimo (e gratuito) punto di partenza per vedere le idee aggiornate sulle password sicure. Le politiche aggiornate non sono solo una considerazione di sicurezza, ma contribuiscono anche al comfort dell'utente. Se stai ancora utilizzando 6 caratteri per tre mesi, potresti prendere in considerazione la possibilità di controllare i nuovi requisiti. Con la potenza di calcolo sempre crescente a prezzi sempre più bassi, la raccomandazione va a password più lunghe per sei mesi o anche più a lungo. Meno spesso devi cambiare la password, più è probabile che gli utenti scelgano una password abbastanza complessa.
Passaggio 6:autenticazione a due fattori
Lo spionaggio del settore non è qualcosa che riguarda solo le grandi aziende. Anche le medie e piccole imprese ne sono colpite ogni giorno. Uno dei modi più comuni per ottenere informazioni è decifrare le password. Ora una buona politica delle password, come accennato in precedenza, può mitigare alcuni dei problemi. Tuttavia, perché non rendere il 2018 l'anno in cui implementi l'autenticazione a due fattori nel tuo panorama IT? Strumenti come privacyIDEA e YubiKey ti consente di consentire ai tuoi utenti di utilizzare l'autenticazione basata su hardware.
Passaggio 7:utilizza account amministratore individuali
Il root e l'amministratore sono due account molto convenienti che puoi trovare sui tuoi server e workstation. Sono prontamente disponibili per i tuoi amministratori e tutti ricorderanno il nome. Naturalmente, se dimentichi la password, tutti i tuoi colleghi saranno felici di condividerla con te.
Gli account individuali attenuano questo problema. Hai un account per amministratore con la sua password e nome utente. Naturalmente, questi account dovrebbero essere diversi da quello utilizzato per accedere al lavoro quotidiano.
Fase 8:Registra le modifiche e verifica le modifiche
Account separati per gli amministratori consentono inoltre di registrare le modifiche e monitorare chi modifica quali impostazioni. Il monitoraggio delle modifiche non è solo importante per la responsabilità, ma è ancora più utile quando si esamina il futuro dei propri ambienti. Se vedi che un amministratore applica sempre un parametro a una classe di oggetti, potresti prendere in considerazione l'idea di renderlo predefinito.
Passaggio 9:rivedi le impostazioni del server
La maggior parte di noi gestisce i propri server per molto tempo. Soprattutto quando si utilizzano macchine virtuali e aggiornamenti software in atto, è possibile che sia ancora in esecuzione il software installato inizialmente dieci anni fa. Anche se questo è ottimo per quanto riguarda l'efficienza, significa anche che molte delle tue impostazioni potrebbero essere utilizzate più a lungo di quanto alcuni di noi abbiano lavorato su quel server.
La revisione delle impostazioni predefinite viene spesso dimenticata e potrebbe essere una buona idea esaminare la configurazione per vedere se sono necessari miglioramenti.
Passaggio 10:copie fuori sede
Immagina che la tua sala server abbia un problema elettrico e non sia operativa. Ora che tutti i tuoi servizi cloud stanno ricevendo le loro password dal server, i tuoi colleghi non potrebbero nemmeno portare a casa i loro laptop poiché nessuno dei tuoi servizi cloud è disponibile.
Qui è dove un server fuori sede è utile. Se il server è abbastanza lontano da te, anche un problema significativo non influirà sul suo funzionamento. Con i servizi cloud di AWS e Azure, la creazione di un server fuori sede è possibile per creare un backup fuori sede per pochi dollari all'anno.
Maggiori informazioni su Unvention Corporate Server come esempio di IdM aperto e centrale sono disponibili nei seguenti articoli precedenti:
- Introduzione a Unvention Corporate Server
- Installazione e configurazione di Univention Corporate Server
- Configura un server privato con ownCloud, Kopano e crittografiamo su UCS
Conclusione
Apportare miglioramenti al tuo IdM renderà la tua vita amministrativa più facile e il tuo IT generale più sicuro. Affrontando piccoli progetti uno alla volta, sarai in grado di apportare queste modifiche una per una e migliorare continuamente il tuo IT. Sebbene gli effetti delle modifiche di cui sopra potrebbero non sembrare grandi all'inizio, ciascuna di esse può avere un impatto consequenziale sul tuo IT a lungo termine.