Automatisoitu käyttäjänhallinta (IAM)
Valkila, Ville (2023)
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2023092526249
https://urn.fi/URN:NBN:fi:amk-2023092526249
Tiivistelmä
Tavoitteena oli tutustua IAM-järjestelmien keskeisiin ominaisuuksiin ja kehittää kevyt ja tehokas automatisoitu ratkaisu käyttäjän- ja pääsynhallinnan integroimiseen ERP-järjestelmän ja Active Directoryn sekä Azure AAD:n välillä. Toimeksiantajana oli Qvantel Finland Oy, jolla oli käytössään Midpointin IAM-järjestelmä. Alkuperäinen järjestelmä oli kuitenkin raskas ja kallis, joten toiveena oli tutkia ja kehittää mittatilaustyönä toimivaa järjestelmää, joka integroitaisiin jo valmiiksi käytössä oleviin ympäristöihin.
Toteutus tehtiin kahdella eri Python-prosessilla joista toinen synkronoi ERP-järjestelmän päivittämästä tietokannasta muutoksia ja tallentaa ne tehtäviksi Azure Service Bus:n tehtäväjonoon. Toinen prosessi käy läpi näitä tehtäviä ja tekee Active Directoryyn tarvittavat muutokset ja merkkaa tehtävät valmiiksi. Tavoitteet täyttyivät ja tuloksena saatiin toimiva ja yksinkertainen ratkaisu, josta voidaan jatkokehittelyllä saada tuotantovalmis järjestelmä, joka helpottaa ja keskittää identiteetinhallintaa.
Identiteetin- ja pääsynhallinnan automatisointi ja keskittäminen niille tarkoitettuihin järjestelmiin helpottaa huomattavasti sekä loppukäyttäjien, sekä IT-henkilöstön työarkea, sillä loppukäyttäjien vastuulle jää muistaa käyttäjätunnuksia ja salasanoja vain muutamiin, tai mahdollisesti vain yhteen, järjestelmiin. Myös järjestelmistä vastuussa oleville henkilöille työtaakka helpottuu, kun tunnuksia ei tarvitse tehdä jokaiseen eri palveluun, vaan ne voidaan hoitaa integraatioilla keskitettyyn identiteetinhallintapalveluun. Keskitetystä IAM-järjestelmästä on hyötyä myös tietoturvan kannalta, sillä on helpompaa pitää turvassa yksi tili, joka vaatii vahvaa tunnistautumista, kuin huolehtia monesta eri tilistä, joista voi olla vaikea pysyä perässä. Myös pääsynhallinnan auditointi ja tietoturvariskit pienenevät, kun esimerkiksi poistuvia käyttäjiä hallinnoidaan automaation avulla.
Toteutus tehtiin kahdella eri Python-prosessilla joista toinen synkronoi ERP-järjestelmän päivittämästä tietokannasta muutoksia ja tallentaa ne tehtäviksi Azure Service Bus:n tehtäväjonoon. Toinen prosessi käy läpi näitä tehtäviä ja tekee Active Directoryyn tarvittavat muutokset ja merkkaa tehtävät valmiiksi. Tavoitteet täyttyivät ja tuloksena saatiin toimiva ja yksinkertainen ratkaisu, josta voidaan jatkokehittelyllä saada tuotantovalmis järjestelmä, joka helpottaa ja keskittää identiteetinhallintaa.
Identiteetin- ja pääsynhallinnan automatisointi ja keskittäminen niille tarkoitettuihin järjestelmiin helpottaa huomattavasti sekä loppukäyttäjien, sekä IT-henkilöstön työarkea, sillä loppukäyttäjien vastuulle jää muistaa käyttäjätunnuksia ja salasanoja vain muutamiin, tai mahdollisesti vain yhteen, järjestelmiin. Myös järjestelmistä vastuussa oleville henkilöille työtaakka helpottuu, kun tunnuksia ei tarvitse tehdä jokaiseen eri palveluun, vaan ne voidaan hoitaa integraatioilla keskitettyyn identiteetinhallintapalveluun. Keskitetystä IAM-järjestelmästä on hyötyä myös tietoturvan kannalta, sillä on helpompaa pitää turvassa yksi tili, joka vaatii vahvaa tunnistautumista, kuin huolehtia monesta eri tilistä, joista voi olla vaikea pysyä perässä. Myös pääsynhallinnan auditointi ja tietoturvariskit pienenevät, kun esimerkiksi poistuvia käyttäjiä hallinnoidaan automaation avulla.