Centralized management of user access rights in large organizations with heterogeneous structure

Abstract

Každá platforma, databáze, skupina aplikací apod. má svou vlastní správu, vlastní seznam uživatelů a uživatelských oprávnění, vlastní bezpečnostní politiku atd.. Správa je náročná, ovládání aplikací a přístup k datům klade nároky jak na správce systémů, tak na vlastníky dat i běžné uživatele. Ani pro celkovou bezpečnostní politiku organizace není tento stav vhodný. Proto se implementuje Identity a Access Management. Identity Management řeší centralizovanou správu uživatelů a uživatelských rolí. Uživatelské účty a další informace o uživatelích v podřízených systémech a aplikacích se tvoří, mění a mažou výhradně prostřednictvím Identity Managementu. Na druhé straně Access Management slouží jako jednotný zdroj dat o uživatelích a jejich přístupových oprávněních pro systémy a aplikace. Tato diplomová práce podrobně popisuje hierarchické uspořádání uživatelských přístupových oprávnění a způsob schvalování přidělování těchto uživatelských oprávnění. Popsané řešení je součástí skutečného rozsáhlého projektu, který byl realizován pro významnou organizaci státní správy.

Each platform, a database, a group of applications etc. have its own management, its own user list and list of user rights, its own security policy and so on. The administration is demanding, application control and data access make demands both on system administrators, data owners, and common users. This situation is not suitable even for a general security policy of an organization. That is why the Identity and Access Management is implemented. The Identity Management solves a central user management including their user roles. User accounts as well as other user information in subordinate systems and applications are created, modified and deleted exclusively through the Identity Management. On the other hand, the Access Management is the single source of information about user access rights for systems and applications. This diploma thesis describes in detail a system of hierarchy of user access rights, a way, particular user access rights are approved, and a way of their activations. The solution described, is a part of a real large project made for a big state authority.