Roolipohjainen käyttöoikeuksien hallinta

Abstract

Tässä opinnäytetyössä tutkitaan roolipohjaista käyttöoikeuksien hallintaa käyttöoikeuksien hallintajärjestelmissä. Käyttöoikeudella tarkoitetaan mitä tahansa henkilön työssään tarvitsemaa tietojärjestelmää tai fyysistä laitetta, jonka käyttämiseksi tarvitaan lupa. Rooli on vastaavasti joukko käyttöoikeuksia, joita henkilö tarvitsee suoriutuakseen työtehtävistään. Roolipohjaisessa käyttöoikeuksien hallinnassa käyttöoikeuksia haetaan, myönnetään tai poistetaan kerralla roolien avulla sen sijaan, että käyttöoikeuksia hallittaisiin yksittäisinä.

Työn tavoitteena on selvittää, mitä roolipohjaisella käyttöoikeuksien hallinnalla tarkoitetaan ja mitkä tekijät vaikuttavat siihen, millainen roolipohjaisen käyttöoikeuksien hallinta sopii erilaisille organisaatioille. Työssä kerrotaan yleisesti käyttöoikeuksien hallinnan aihepiiristä ja syvennytään tarkemmin roolipohjaisen käyttöoikeuksien hallinnan ominaispiirteisiin ja käsitteisiin. Lisäksi perehdytään aihepiirin keskeisimpiin lakeihin ja säädöksiin, standardeihin, menetelmiin ja malleihin. Työn lopputuloksena syntyvää tietoa voidaan käyttää apuna perehtyessä aihealueeseen ennen käyttöoikeuksien hallintaprojektin aloittamista, laajennettaessa olemassa olevaa käyttöoikeuksien hallintaa roolipohjaisuuteen tai suunniteltaessa roolipohjaisia käyttöoikeuksien hallintasovelluksia.

Tutkimuksen asiakastapauksena toimii tietojärjestelmäprojekti, jossa Salon kaupungille toimitettiin roolipohjainen käyttöoikeuksien hallintajärjestelmä. Salon kaupunki tavoitteli projektissa keskitettyä käyttöoikeuksien hallinnan prosessia ja järjestelmää, jonka avulla se pystyisi hallitsemaan roolipohjaisesti kaikkia kaupungin sekä terveydenhuollon työntekijöiden käyttöoikeuksia. Tutkimuksen lopputuloksena selviää, mitä varten roolipohjainen käyttöoikeuksien hallinta on luotu ja mitä käsitteellä rooli tarkoitetaan eri asiayhteyksissä. Rooleista puhuttaessa on tärkeää erottaa työ- ja järjestelmäroolien merkitys. Roolien avulla pyritään tuomaan hallittavuutta, nopeutta, johdonmukaisuutta, kustannussäästöjä ja tietoturvallisuutta käyttöoikeuksien hallintaan. Tavoitteisiin pääsemiseksi on huomioitava on kaikki toimintaympäristöön liittyvät tekijät ja arvioitava tapauskohtaisesti oikeat menetelmät roolien määrittämiseksi. Käyttäjien määrä, hallittavien käyttöoikeuksien määrä, tietojärjestelmien laajuus, organisaatiorakenne, liiketoimintaan ja toimialaan liittyvät ominaispiirteet, säädökset ja tietoturvavaatimukset vaikuttavat kaikki oikean toimintatavan valintaan.

This study deals with role-based access rights management in access rights management systems. Access right here means any information system or physical device to which a person needs a permission, to use it in their job. In role-based access rights management systems access rights are requested, approved or removed by using roles rather than managing access rights separately.

The aim of this study was to find out the meaning of the role-based access rights management and the factors which influence what kind of role-based access rights management suits different organizations. First there is a general description of access rights management and then the focus is on the concept of role-based access control. After that common laws, standards, models and methods of rolebased access rights management are described. The results of the study can be used for getting familiar with the subject before an identity management project, changing current system to role-based access control or planning the role-based identity management software.

The customer case in this study is a project where role-based access rights management software was delivered to the city of Salo. The aim of the city was to create a centralized process for handling access rights. The project included the identity management software which can be used to handle all the access rights of the personnel of the city and its healthcare service.

The study shows why the role-based access rights management was created and what the definition of role means in different contexts. It is very important to separate the meaning of the task roles and system roles. By using roles, access right management can be more manageable, faster, more consistent, more cost-effective and more secure. To achieve these goals all factors related to the operational environment have to be taken into account and the right methods for defining roles must be chosen. The number of users, the number of access rights, the size of system environment, the organization structure, the special characteristics of the business area, laws and demands for security do have an effect on how to choose the right way to use role-based access rights management.