مدیریت هویت و دسترسی

مدیریت هویت و دسترسی از ابزارهای کلیدی برای حاکمیت هویت در فضای سایبری است. هویت به چیستی یک شخص یا یک چیز می‏گویند. یک هویت، نمودی از یک موجودیت پایه‌‏ای است؛ نظیر چیزی که به نقشِ یک موجودیت ارتباط می‌یابد. هویت مجموعه‌‏ای از خصیصه‌‏ها و مقادیر خصیصه‌‏ای تعریف شده است که به‌واسطه آن یک موجودیت قابل شناسایی می‌‏شود. این خصیصه‏‌ها برای متمایز ساختن موجودیت از دیگران کفایت می‌کند. خصیصه بیانگر ویژگی یا صفتی از یک شخص یا شیء است که از سوی یک شخص یا ماشین به‌صورت کمی یا کیفی قابل‌شناسایی باشد.

معمولاً فرض بر این است که یک موجودیت تنها یک هویت واحد دارد؛ اما در حقیقت، یک موجودیت ممکن است چندین هویت داشته باشد. این امر به این علت است که افراد عملکردهای اجتماعی، اقتصادی و سیاسی متعددی دارند. به عنوان مثال یک شخص می‌‏‏تواند همزمان یک شهروند، یک کارمند و یک دانشجو باشد. بنابراین افراد، در محیط‌های متفاوت، با نقش‌ها و هویت‏‌های گوناگونی شناخته می‌شوند.

مدیریت هویت و دسترسی

تعریف مدیریت هویت و دسترسی

مدیریت هویت و دسترسی (Identity and access management-IAM) بیانگر چارچوبی از فرآیندها، سیاست‌ها و فناوری‌های کسب‌وکار است که مدیریت هویت‌های دیجیتال یا الکترونیک را تسهیل می‌نماید. IAM امکان دسترسی افراد درست، با دسترسی درست، به منابع درست و به دلیل درست را فراهم نموده و اطلاعات مربوط به دسترسی را نگهداری می‌نماید.

Identity and access management بیانگر چارچوبی از فرآیندها، سیاست‌ها و فناوری‌های کسب‌وکار است که مدیریت هویت‌های دیجیتال یا الکترونیک را تسهیل می‌نماید. مدیران فناوری اطلاعات با بهره‌گیری از مدیریت هویت و دسترسی و هویت دیجیتال می‌توانند دسترسی کاربران به منابع و اطلاعات حیاتی سازمان را کنترل کنند.

IAM برای تعریف نقش‌ها و امتیازات دسترسی کاربران شبکه و شرایط مربوط به اعطا یا رد درخواست‌های دسترسی کاربران (مشتریان، کارمندان، پیمان‌کاران) به منابع سازمان مورد استفاده قرار می‌گیرد. مهم‌ترین هدف IAM سازمان ایجاد یک هویت دیجیتال واحد به ازای هر فرد در سازمان است. زمانی که هویت دیجیتال فرد ایجاد شد باید عملیات نگهداری، اصلاح و نظارت بر آن در کل چرخه عمر دسترسی کاربر آغاز شود.

سیستم‌های مدیریت هویت و دسترسی از الزامات چارچوب‌های امنیتی برای تأیید سریع و مستمر هویت‌ها و کنترل دسترسی کاربران به منابع و سرویس‌ها می‌باشد. هویت دیجیتال و سیستم‌های مدیریت هویت دسترسی در نگاه کلی اجزای تشکیل‌دهنده یک مؤلفه واحد هستند.

بیشتر بخوانید: مزایا و کاربردهای مدیریت هویت و دسترسی

مدیریت هویت و دسترسی ابری

سیستم‌های مدیریت هویت و دسترسی ابری که تحت عناوین Cloud IAM یا IDMaaS و یا IDaaS شناخته می‌شوند امروزه در حال گسترش و خدمت‌رسانی به کاربران سازمانی و غیرسازمانی خود هستند. این کاربران می‌توانند مشتریان یک سازمان و یا شرکای تجاری آن‌ها باشند. کلیه قابلیت‌های یک سیستم مدیریت هویت و دسترسی مستقل شامل این سیستم‌ها هم می‌شوند با این تفاوت که بر بستر ابر عرضه می‌شوند. برخی سازمان‌ها با توجه به پیچیدگی‌های استفاده از سیستم‌های مدیریت هویت و دسترسی به‌صورت مستقل ترجیح می‌دهند از نسخه‌های ابری این سیستم‌ها استفاده کنند که این موضوع بنا به مقیاس شرکت، بودجه اختصاصی برای پیاده‌سازی سیستم مدیریت هویت و دسترسی و سایر ویژگی‌ها مشخص می‌شود. از جمله معروف‌ترین سیستم‌های مدیریت هویت و دسترسی  بر بستر ابر می‌توان به Okta، Auth0 و Google Cloud IAM اشاره کرد.

مدیریت هویت دسترسی مشتریان (CIAM)

مدیریت هویت و دسترسی مشتریان (Customer identity access management)،زیرمجموعه‌ای از مفهوم بزرگ مدیریت هویت و دسترسی (IAM) است و به طور خاص بر مدیریت هویت مشتریانی که نیاز به دسترسی به وب سایت‌ها، پورتال‌های وب و فروشگاه‌های اینترنتی دارند متمرکزشده است. مصرف‌کنندگان خواستار خدمات با شرایط خود، برنامه خود، به موقع و از طریق تلفن همراه خود هستند. در CIAM مصرف‌کنندگان سرویس حساب‌ها و داده‌های پروفایل خود را مدیریت می‌کنند. هویت به عنوان یک سرویس‌، برای مدیریت هویت مشتری، مدیریت ارتباط با مشتری برای مدیریت رفتار کاربر و مدیریت رضایت کاربر از اهداف این مفهوم می‌باشد.

مدیریت هویت و دسترسی مشتری

ویژگی‌های CIAM از جمله داشبورد تجزیه و تحلیل و تجسم، ادغام API، رضایت مشتری و مدیریت ارجحیت، UX قابل برنامه‌ریزی، رمزگذاری داده‌ها، مقیاس الاستیک، احراز هویت چندعاملی و مرحله‌ای، نمایه‌سازی پیشرفته، کنترل دسترسی محدود، مدیریت حساب سلف‌سرویس، ورود به سیستم اجتماعی، SSO و احراز هویت مبتنی بر استاندارد می‌باشند.

مدیریت هویت و دسترسی به عنوان یک چارچوب

نکته مهم برای درک IAM صرفاً دیدن آن به عنوان یک چارچوب است. هویت دیجیتال، ساختاری است که بسیاری از خدمات، سیاست‌ها، مفاهیم و موارد دیگر را سازمان‌دهی می‌کند. هر یک از کاربران خاص یک چارچوب ممکن است هرگز با قطعاتی از آن روبرو نشود بدون اینکه کل آن را درک کند یا از نحوه عملکرد آن آگاه باشد.

یک چارچوب مدیریت هویت و دسترسی مناسب به شرکت‌ها کمک می‌کند تا کاربران تجارت خود را اداره و دسترسی‌های آن‌ها را کنترل کنند. اطلاعات مشتریان می‌تواند برای اهداف مختلفی مانند کمپین‌های تبلیغاتی، فعالیت‌های ضدپولشویی (AML) و یا دسترسی به منابع سازمانی مورد استفاده قرار گیرد.

برای کاهش جرائم سایبری، تأمین مالی تروریسم در بسیاری از کشورها قانون‌گذاران بانک‌ها و مؤسسات مالی را ملزم به فراهم کردن سازوکار شناخت مشتری (KYC) کرده‌اند. همچنین قانون‌گذاران از بانک‌ها می‌خواهند تا سیستم‌های هوشمند تحلیلی برای تعریف الگوهای پایه‌ای رفتار مشتریان خود و تحلیل آن‌ها و بررسی میزان انحراف از پارامترهای عادی مشتریان تحت یک چارچوب داشته باشند و اگر تراکنش مشکوکی صورت می‌گیرد با بررسی‌های بیشتر و تضمین بالاتری انجام شود. داشتن سیستم مدیریت هویت و دسترسی به‌عنوان یک چارچوب اولین قدم مهم در راستای شناخت مشتری و اهداف فوق است.

دیدگاه شرکت‌های جهانی نسب به مدیریت هویت و دسترسی

شرکت KuppingerCole به‌ عنوان یکی از شرکت‌های صاحب‌نظر در حوزه احراز هویت دیجیتال، مدیریت هویت را ترکیب عرصه‏‌های IAM دانسته است. این شرکت، مدیریت هویت را عرصه‌‏ای می‏‌داند که هویت‏‌ها و حساب‌‏های کاربری مرتبط با آن‌ها در سیستم‏‌های مختلف را مدیریت می‌‏کند و مدیریت دسترسی را عرصه‏‌ای می‌‏داند که دسترسی به اطلاعات را مدیریت می‏‌کند و بنابراین مدیریت دسترسی بخشی از استراتژی امنیت اطلاعات است.

بیشتر بخوانید: واژه‌‌های رایج مدیریت هویت و دسترسی

اهمیت Identity and access management

مدیریت هویت و دسترسی خوب می‌تواند یک عامل کلیدی برای موفقیت کسب‌وکار در عصر تحول دیجیتال باشد. مدیریت هویت و دسترسی، نیازهای حیاتی مأموریت را به منظور اطمینان از دسترسی درست به منابع در محیط‌های فناورانه ناهمگن را مشخص کرده و امکان برآورده‌سازی الزامات انطباق‌پذیری را فراهم می‌نماید. IAM به عنوان یک روش امنیتی، یک مسئولیت حیاتی در سازمان‌های امروزی به شمار می‌رود. مدیریت هویت و دسترسی به طور فزآینده‌ای هم‌راستا با اهداف کسب‌وکار است و علاوه بر تخصص فنی، نیازمند مهارت‌های تجاری است.

اهمیت Identity and access management از دو جنبه اصلی می‌باشد:

    • امنیت: در عصر اینترنت و شبکه‌های باز که دسترسی به منابع را از خارج از سازمان امکان‌پذیر می‌کنند، IAM اولین لایه و مرحله امنیت است. در واقع با شناسایی و احراز هویت موجودیت‌های انسانی و غیرانسانی امنیت برقرار می‌شود. می‌توان اذعان داشت «هویت قلب امنیت است».
    • ارائه خدمت: برای ارائه خدمات الکترونیکی، گام اول احراز هویت و شناسایی کاربر خواهد بود. تا احراز هویت انجام نشود بسیاری از خدمات امکان ارائه نخواهند داشت. بر اساس جمله‌ای معروف هویت درگاه ارائه خدمات الکترونیک است.

بر همین مبنا است که بسیاری از دولت‌ها و حاکمیت‌ها برای Identity and access management راهبرد و معماری جامع ارائه کرده‌اند که از جمله می‌توان به ایالات‌متحده، کانادا، انگلستان، اتحادیه اروپا، سوییس، استونی و استرالیا اشاره نمود. IAM بر تمامی سطوح خرد و کلان امنیت (به‌ویژه امنیت سایبری) و ارائه خدمت (هم دولت الکترونیک و هم کسب‏وکار الکترونیک) اثرگذار بوده و در آنها نقش دارد.

مدیریت هویت و دسترسی

دلایل اهمیت مدیریت هویت و دسترسی برای سازمان‌ها

راهبری مؤثر دسترسی کاربران به داده‌ها و منابع حساس به یکی از چالش‌های امنیتی سازمان‌های امروز بدل شده است. سازمان‌ها در گذر زمان باید مدیریت امتیازهای دسترسی طیف گسترده‌ای از کاربران را انجام دهند. اکثر کاربران به دلیل ناکارآمدی سیستم‌های مورد استفاده سازمان با انباشت امتیازات دسترسی در حساب‌های کاربری خود مواجه هستند. فعالیت سازمان‌ها در محیط‌های غیرمتمرکز بر شدت این مشکلات افزوده است.

سازمان‌ها برای حل این چالش‌ها به سمت پیاده‌سازی سیستم‌های Identity and access management در سراسر سازمان به منظور مدیریت متمرکز هویت‌های دیجیتال روی آورده‌اند. سیستم‌های IAM به سازمان‌ها اجازه می‌دهد تا یک فرآیند چرخه عمر کاربر استاندارد ایجاد نموده، آسیب‌پذیری‎‌های امنیتی را کاهش داده و انطباق‌پذیری با مقررات ملی و بین‌المللی را افزایش دهند.

دسته‌بندی فرآیندهای مدیریت هویت

فرآیندهای مدیریت هویت و دسترسی به صورت‌های مختلف دسته‌بندی می‌شوند که مشهورترین آن‌ها، فرآیندها را به سه دسته فرآیندهای مدیریت هویت، فرآیندهای مدیریت اعتبارنامه و فرآیندهای مدیریت دسترسی تقسیم می‌کند. منظور از مدیریت اعتبارنامه این است که برای شخص یک اعتبارنامه (سندی سخت‌افزاری یا نرم‌افزاری که موید هویت شخص است) صادر می‌شود و این اعتبارنامه در چرخه حیات خود مدیریت و نگهداری می‌شود.

هر یک از فرآیندها در سطح اطمینان متفاوتی قابل‌اجرا هستند. زیرا سرویس‌ها و اطلاعات مختلف، اهمیت و ریسک‌های متفاوتی دارند و ارزش آن‌ها باعث می‌شود که نیازمند سطح اطمینان متفاوتی نسبت به هم باشند. مدیریت هویت شامل فرآیند ایجاد هویت است. ایجاد هویت می‌تواند بر اساس اطلاعاتی باشد که کاربر به‌صورت آنلاین و نوشتاری وارد می‌کند (مانند ثبت‌نام در سرویس‌های ایمیل) هم می‌تواند صرفاً به‌صورت حضوری انجام شود (مانند افتتاح حساب بانکی).

بیشتر بخوانید: استانداردهای مدیریت هویت و دسترسی

نقش مدیریت هویت و دسترسی در تأمین امنیت

با توجه به آنچه گفت شد، در عصر فراگیر شدن اینترنت و عصر دیجیتالی شدن جهان، IAM یکی از ارکان تامین امنیت و ارائه خدمت خواهد بود و نپرداختن به موضوعات و مسائل آن هزینه‌های مالی و غیرمالی متعددی را در پی خواهد داشت. بنابراین باید موضوعات آن در سطوح مختلف راهبردی، قانونی، عملیاتی و فنی مورد بررسی قرار بگیرند تا راهکارهایی مناسب ارائه شوند و مخاطرات احتمالی را تا حد ممکن و مطلوب کاهش دهند.

مدیریت هویت و دسترسی پیوسته و تحول دسترسی امن

ما روزانه کارهای مشخصی را با تلفن همراه خود انجام می‌دهیم، از مکان‌های مشخصی عبور کرده، کارهای یکسانی را تکرار می‌کنیم. این کارها به‌نوعی روتین در زندگی روزمره تبدیل‌ شده‌اند و حتی دیگر افراد نیز از انجام منظم برخی کارها توسط اطرافیان خود خبر دارند. این ویژگی می‌تواند کاربرد بالایی در Identity and access management به‌ویژه احراز هویت پیوسته داشته باشد. پیوسته (Continuous) سومین ویژگی از ویژگی‌های سه‌گانه احراز هویت در کنار فراگیر (Pervasive) و متصل (Connected) است که برای تحول دسترسی امن و برآورده‌سازی الزامات جریان‌های کاری مدرن موردنیاز می‌باشند.

احراز هویت پیوسته نیازمند حضور پایدار فرد و یادگیری از سیستم‌های متصل است. این نوع احراز هویت به‌صورت مداوم و بدون وقفه اطلاعاتی را جمع‌آوری می‌کند که راه‌حل‌های مدرن احراز هویت با گذر زمان می‌توانند از آن یاد گرفته و برای ارائه دسترسی امن و هوشمند مورد استفاده قرار دهند. کسب‌وکارهای امروزی دوران مربوط به ارائه درخواست‌های دسترسی ایزوله و منفرد برای هرکدام از درخواست‌های دسترسی را پشت سر گذاشته‌اند.

مدیریت هویت و دسترسی

با بهره‌گیری از احراز هویت پیوسته تنها زمانی نیاز به ارائه اطلاعات وجود دارد که تضمین بیشتری برای انجام کار مشخصی وجود داشته باشد. سیستم‌های IAM هوشمند که از توانایی احراز هویت پیوسته برخوردار می‌باشند به‌صورت مداوم نسبت به جمع‌آوری اطلاعات کاربر و بهبود هوشمندی نسب به کاربران و رفتارهای آن‌ها ادامه می‌دهند؛ بنابراین در هرلحظه می‌توانند هویت کاربر را تأیید کرده و دسترسی او را تضمین نمایند. احراز هویت پیوسته به بینش‌های هویتی ، هوشمندی تهدیدات و زمینه کاری وابسته است که از منابع مختلف سازمان قابل‌ دستیابی می‌باشند.

این نوع احراز هویت برای اتخاذ تصمیمات دسترسی درست باید بتواند با دیگر منابع اطلاعاتی سازمان ارتباط داشته باشد. بینش هویتی شامل اطلاعات پروفایل کاربر است که از سیستم مدیریت هویت به دست می‌آید. هوشمندی تهدیدات اطلاعات مربوط به رفتارهای مشکوک است که در سیستم‌های شناسایی تهدید قرار دارند. زمینه کاری شامل داده‌های ضروری به‌ویژه از سیستم‌های یکپارچه مدیریت ریسک است که درجه ریسک مربوط به برنامه‌ها و داده‌های مختلف را مشخص می‌نماید.

نویسنده: تورج اکبری

برخی از منابع

[1]       Aaron Brown, Les Addison, “Cloud and Identity and Access Management,” Deloitte, جلد 1, شماره Identity and Access Management , pp. 1-8, 2019.

[2]       Martin Kuppinger, “Major Trends in Identity Management Guidelines for an IAM roadmap,” Kuppinger Cole , جلد 1, شماره IAM, pp. 1-27, 2007.

[3]       Ram Sewak Sharma , “Digital Identity Road Map Guide,” ITU, جلد 1, شماره Digital identity, pp. 1-60, 2018.

[4]       James Perry, “IDENTITY AND ACCESS MANAGEMENT PROGRAM OVERVIEW,” university of south Carolina, جلد 1, شماره digital identity, pp. 1-37, 2020.