Program do zarządzania dostępami – narzędzie do zarządzania informacjami na temat użytkowników i ich uprawnień do systemów i narzędzi wykorzystywanych w organizacji. Przyspieszają proces zarządzania kontami użytkowników, pomagają oszczędzić środki i odpowiednio zabezpieczyć informacje przed naruszeniami bezpieczeństwa i kradzieżą danych.

Ludzie są reprezentowani w systemach przez obiekty określane mianem użytkowników lub kont logowania.

Przykłady różnych systemów i aplikacji:

• katalogi protokołów LDAP,
• Microsoft Active Directory i Novell eDirectory
• Systemy operacyjne, takie jak: Unix, Solaris, AIX, HP-UX, Windows Server i Linux,
• Narzędzia do zabezpieczania płyty głównej: RAC/F, CA ACF/2 i CA TopSecret,
• Aplikacje ERP, takie jak: SAP R/3, PeopleSoft, J.D. Edwards, Lawson Financials i Oracle eBusiness Suite,
• Systemy poczty e-mail, takie jak: Microsoft Exchange i Lotus Notes,
• Bazy danych, takie jak: Oracle, Microsoft SQL Server, IBM DB2 i MySQL.

Użytkownik systemu definiowany jest zazwyczaj poprzez:

• Swój unikalny identyfikator,
• Opis osoby, do której został przypisany obiekt użytkownika – zazwyczaj imię i nazwisko,
• Informacje kontaktowe tej osoby, takie jak: adres e-mail, numer telefonu, adres korespondencji itp.,
• Informacje organizacyjne, takie jak: identyfikator przełożonego użytkownika, dział, w jakim pracuje lub jego lokalizacja,
• Hasło lub inne czynniki uwierzytelniające.

Należy zwrócić uwagę na to, że użytkownik nie musi mieć możliwości zalogowania się do systemu bądź aplikacji. Dla systemu może on bowiem być wpisem w narzędziu do ewidencji czasu pracy lub w książce telefonicznej, do których użytkownik nie może się zalogować, ale który jest przez niego reprezentowany.

Użytkownicy są zazwyczaj połączeni z różnymi częściami systemów lub aplikacji poprzez nadane im uprawnienia. W większości systemów nadanie uprawnień do narzędzia odbywa się poprzez umieszczenie użytkownika w danej grupie, bądź w wielu grupach, dostępów o różnym stopniu bezpieczeństwa, z których dostają odpowiednie uprawnienia odpowiadające każdej z grup, do których zostali przypisani.

Wprowadzane przez organizacje procesy biznesowe mają na celu tworzenie, zarządzanie i usuwanie użytkowników ze swoich systemów i aplikacji w wydajny sposób, zgodnie z wymaganiami bezpieczeństwa określonymi przez RODO.

Cykl życia użytkownika w organizacji podzielony jest na kilka części:

• Onboarding – wdrożenie:

Nowo zatrudniona osoba, rozpoczynając pracę, otrzymuje dostęp do systemów i aplikacji niezbędnych do wykonywania obowiązków.

• Zarządzanie pracownikiem:

Użytkownicy są obiektami dynamicznymi – zmieniają nazwiska, adresy, stanowiska, zakres obowiązków i dane osobowe. Zmiany te muszą mieć swoje odzwierciedlenie w systemach i aplikacjach na kontach użytkownika.

• Wsparcie użytkowników:

Czasem użytkownicy mają problem z działaniem systemów i aplikacji. Mogą zapomnieć hasła, potrzebować poszerzenia zakresu obowiązków lub pomocy w przygotowaniu systemu do swoich potrzeb. Wsparcie użytkownika zapewnia możliwość zmienienia danych na temat użytkownika wewnątrz systemów, zresetowania hasła bądź przywrócenie ustawień wyjściowych w celu rozwiązania problemów użytkowników.

• Dezaktywacja:

Użytkownik jest jednostką o skończonej żywotności, której relacja z systemami i aplikacjami nie trwa zbyt długo. Gdy użytkownicy opuszczają organizację – z powodu zmiany pracy, rezygnacji, przejścia na emeryturę, zakończenia umowy itp. ich dostęp do systemów powinien zostać dezaktywowany.

Termin „cykl życia” w kontekście użytkownika nie oznacza, że dezaktywowani użytkownicy nie będą mogli zostać aktywowani ponownie. Istnieje możliwość przywrócenia użytkownika z archiwum w przypadku ponownego nawiązania współpracy.

Systemy do obsługi uprawnień mają za zadanie pomóc organizacjom w usprawnieniu procesów związanych z cyklem życia użytkowników w taki sposób, by możliwa była aktualizacja danych użytkowników wewnątrz systemów i aplikacji:

• szybciej – dzięki czemu użytkownicy nie muszą czekać na zmiany, ponieważ są automatycznie aktualizowane na bieżąco;

• bardziej wydajnie – w celu zmniejszenia kosztów związanych z zarządzaniem systemami i aplikacjami w cyklu życia użytkownika;

• bezpieczniej – by zminimalizować ryzyko naruszenia bądź złamania zabezpieczeń systemu z poziomu użytkownika; może do tego dojść z powodu nadania nieodpowiednich uprawnień lub zbyt mało skomplikowanych danych logowania.

Systemy zarządzające uprawnieniami mogą tworzyć wiele procesów mających pomóc w uzyskaniu wymienionych wyżej celów. Procesy te mogą obejmować np.:

• Automatyczne udostępnianie
  • Monitorowanie aplikacji HR i automatyczne tworzenie nowych użytkowników w pozostałych systemach, gdy w bazie danych programu do zarządzania użytkownikami pojawi się nowy rekord pracownika.

• Automatyczna dezaktywacja
  • Monitorowanie aplikacji HR i automatyczne dezaktywowanie użytkowników w pozostałych systemach i aplikacjach, gdy rekord pracownika zniknie z programu do zarządzania pracownikami lub zostanie oznaczony jako nieaktywny w jego bazie danych.
  • Automatyczna dezaktywacja użytkownika, w przypadku użytkowników takich jak kontrahenci, których planowana data zakończenia współpracy minęła.

• Synchronizacja tożsamości
  • Podczas zmieniania adresu e-mail użytkownika zmiany zostają wykryte przez system pocztowy i automatycznie aktualizują adres użytkownika w pozostałych systemach. W przypadku zmiany nazwy użytkownika, numeru telefonu czy adresu pocztowego w systemie HR, dane zostaną automatycznie zaktualizowane w pozostałych systemach.
• Zmiany w systemie samoobsługi pracowników
  • Zezwolenie użytkownikom na samodzielne aktualizowanie swoich danych kontaktowych.
• Żądanie dostępu do systemu samoobsługi pracowników
  • Zezwolenie użytkownikom na żądanie dostępu do systemów i aplikacji niezbędnych do pracy.
• Prośby o dostęp delegowany
  • Umożliwienie managerom żądania dostępu do systemów i aplikacji w imieniu podwładnych.
• Proces autoryzacji
  • Proszenie interesariuszy biznesowych o zapoznanie się i zatwierdzenie bądź odrzucenie proponowanych zmian w profilach użytkowników lub dostępach.
• Walidacja dostępów
  • Sprawdzenie, czy użytkownicy posiadający dostęp do danych są w dalszym ciągu pracownikami organizacji. Okresowe sprawdzanie, czy dostęp do systemów i aplikacji posiadają odpowiedni pracownicy i ograniczenie dostępów pracownikom, którzy nie powinni lub nie potrzebują już dostępu do wybranych narzędzi i informacji.

Systemy do zarządzania uprawnieniami muszą zawierać część lub wszystkie z wymienionych składników:

• Łącznik do odczytywania informacji ze zintegrowanych systemów i aplikacji oraz do wysyłania aktualizacji o użytkowniku z powrotem do tych systemów i aplikacji,
• Wewnętrzna baza danych, która monitoruje użytkowników i dane ze zintegrowanych systemów i aplikacji,
• System automatycznego wykrywania zmian pokrywający całą bazę danych za pomocą łączników,
• Interfejs użytkownika umożliwiający przeglądanie zawartości bazy danych, składania wniosków o zmiany, zatwierdzania lub odrzucania zmian itp.,
• Silnik używany do zapraszania użytkowników do przeglądania, zatwierdzania lub odrzucania zmian,
• Aparat zasad, który ocenia bieżące informacje o użytkownikach oraz proponowane zmiany, by zweryfikować czy spełniają zasady i przepisy organizacji,
• Silnik raportowania, który umożliwia wydobywanie informacji z wewnętrznej bazy danych.

• Casassa Mont, Marco; Baldwin, Adrian; Shiu, Simon (2009), Identity Analytics – „User Provisioning” Case Study: Using Modelling and Simulation for Policy Decision Support, s. 49
• Hommel, Wolfgang; Schiffers, Michael (2005), Supporting Virtual Organization Lifecycle Management by Dynamic Federated User Provisioning, p. 12, CiteSeerX 10.1.1.84.6068
• Becker, M; Drew, M (2005), „Overcoming the challenges in deploying user provisioning/identity access management backbone”, BT Technology Journal, BT Technology Journal (published 2006), 23 (4): 71–79, doi:10.1007/s10550-006-0009-x
• Witty, Roberta J (2003), „The Identity and Access Management Market Landscape” (PDF), s. 11