Bạn đang xem: Governance là gì
Nói thêm một chú: Governance andAdministration là 2 từkhác nhau nhưng dịch ra tiếng Việt lại thành một nghĩa – ông nào cứ bảo tiếngviệt giàu và đẹp, nhiều nghĩa nhỉ – các bạn cứ đọc đến hết bài sẽ hiểu được 2cái này khác nhau cái gì, he he, tưởng không hay mà hay không tưởng.
Có thể nói, IGA được chú ý từ năm2013 sau khi Gartner công bố bản báo cáomới với tên gọi là Magic Quadrant forIdentity Governance and Administration được gộp từ 2 báo cáocũ là Identity Governance và IdentityAdministration. Tất nhiên là với ảnh hưởng của Gartner, với hàng ngàn kháchhàng đều là những tập đoàn hàng đầu trên thế giới, thuật ngữ này đã nhanh chóngđược quan tâm chú ý.
Ngoài lề một chút: Có thể thấy ảnhhưởng của Gartner là vô cùng lớn, họ có thể không là người tạo ra công nghệ,nhưng lại đóng góp rất lớn trong việc định hướng và thúc đẩy một xu hướng củathị trường. Những năm 2009, chính Gartner là người phổ cập thuật ngữ “Next-Generation Fireewall” – một thuật ngữ xuất phát từ đội Palo Alto – vàđể sau này, ông Firewall nào cũng là NextGen :)), nhà nào cũng dùng NG FW.
Như trên đề cập, khi các giải phápliên quan đến quản lý định danh và truy cập phát triển đủ mạnh, cùng với sựphát triển của khách hàng, đặt ra những yêu cầu mới cho các nhà sản phẩm dẫnđến 2 dòng sản sản phẩm Identity Governance vàIdentity Administration được gộp chung lại thành một giải pháp lớn hơn>> và hình thành thuật ngữ IGA.
Tính năng core của các sản phẩm đều là IdentifyAdminstration, đây là tính năng quan trọng bao gồm rất nhiều các tác vụ nặngnhư : quản lý tài khoản, mật khẩu, yêucầu truy cập, cấp quyền truy cập, và quản lý quyền hạn.
>> Nói túm lại là Identity Administration mang tính chất kĩ thuật và thực thinhiều hơn, kiểm soát ông nào vào được vào cái gì thôi.
Đó chính là các giải pháp này giúp chúng ta quản lývòng đời của một định danh. Một định danh sẽ được:
tạo ra một lúc nào đóduy trì hỗ trợ trong một khoản thời gian ( ví dụ như khi chúng ta lên sếp, thì vẫn dùng email đó nhưng sẽ được thay đổi tiltle, được cho lên nhóm VIP chẳng hạn…)Và chấm dứt hoạt động khi người đó rời khỏi tổ chức.
Điều này rất dễ khi công ty bạn có 10, 20 người nhưngkhi con số nhân viên lên tới vài trăm người, hàng nghìn hay thậm chí trăm ngànngười thì sẽ là bất khả thi khi quản trị viên phải thực hiện tất cả các thaotác đó bằng tay trên hàng chục hệ thống khác nhau.
Do đó giả pháp quản lý định danh sẽ giúp quản trị viênthực hiện điều này một cách đơn giản, hiệu quả và tiết kiệm thời gian.
Để giải pháp IGA có thêrhoatj động được, rõ ràng nó sẽ cần rất nhiều thông tin như về người dùng, chứcdanh, nhiệm vụ, các tài nguyên được truy cập…
Thông thường các dữ liệu sẽ được thu thập các qua”Connector”, đó đơn giản là một phần có khả năng tích hợp với các hệthống để đọc và ghi dữ liệu.
Các “Connector” sẽ đọc dữ liệu thu thập đượcnhư ai có quyền truy cập đến hệ thống nào. Đồng thời nó cũng sẽ viết các dữliệu để quản lý các sự kiên trong vòng đời của định danh như khi nào một userđược tạo ra và cấp quyền truy cập cho nó. Các “Connector” này khôngcần đọc ghi dữ liệu ở mọi nơi mà nó chỉ cần quan tâm đến các nơi mà thông tinvề người dùng và hệ thống họ được truy câp được lưu trữ.
Mặc dù rất nhiều giải pháp đưa ra các guidline tíchhợp dài và cực kì phức tạp >> tựu chung lại cũng chỉ phục vụ hai mục đíchquan trọng nhất là đọc và ghi dữ liệu.
Rõ ràng là không ai muốn nhớ hàng tá mật khẩu khácnhau và thay đổi nó sau mỗi 90 ngày vì vậy IGA sẽ giúp chúng ta quản lý chúng.Thay vì phải log in vào hàng chục hệ thống với tài khoản và mật khẩu khác nhauthì chúng ta chỉ cần login và IGA và nó sẽ tự đồng bộ tài khoản của chúng tavới tất các các hệ thống khác.
Khi ai đó cần truy cập vào một hệ thống, họ sẽ phảiyêu cầu người quản trị hệ thống đó cập quyền. Với hệ thống nhỏ, thì ta có thểra bàn người quản trị và bảo “ây, chú cho anh vào đây xem tí : )”, hiện đại hơn chút thì ta sẽ emailvà đơi sếp approve. Mặc dù cách này có về mất time vì sếp đi vắng hay quênkhông check mail và cũng khó để audit lại khi xảy ra các vấn đề.
Cách tốt nhất để quản lý các yêu cầu truy cập này làtạo một workflow trên IGA cho cho quá trình yêu cầu cấp quyền truy cập này.Ngoài việc cung cấp WorkFlow tự đông, IGA còn ghi lại toàn bộ quá trình để phụcvụ các phân tích hoặc audit nhanh chóng khi cần.
Xem thêm: Inox Là Gì – Thành Phần Và Cấu Tạo Như Thế Nào
Khi yêu cầu yêu cầu được chấp nhận, thì sẽ phải cócách thức nào đó để cho phép truy cập đó được thực hiện. Cách đơn giản nhất làđể một người xem xét yêu cầu và sau đó cấp quyền truy cập vào hệ thống được yêucầu. Phương pháp này khó duy trì trong các tổ chức lớn, do đó để hiệu quả hơn,hệ thống IGA có thể thực hiện việc này một cách tự động thể giúp tự động hóaquy trình.
Để cấp quyền truy cập tự động, sẽ cần có Connectorđược triển khai và tích hợp vào các hệ thống trước đó. Khi yêu cầu truy cậpđược phê duyệt, hệ thống connector này sẽ tự động làm việc với các hệ thống đểcho phép kết nối từ người dùng đến tài nguyên được thực hiện.
Để mọi người có thể thực hiện yêucầu truy cập và được châp thuận, hệ thống IGA phải biết được những kiểu truycập nào nằm trong danh sách cho phép yêu cầu. Application entitlement managementlà một bộ các tính năng trên IGA cho phép quản trị thêm, bớt, thay đổi các kiểutruy cập và các thông tin mô tả về chống như chức danh, định nghĩa, người sởhữu, mức độ rủi ro….
Phần Identity Governance cung cấp các tính năngintelligence ở trong hệ thống IGA như tách biệt vai trò, chứng nhận truy câp,quản lý vai trò, ghi nhật kí toàn bộ hoạt động, phân tích các dữ liệu, đưa rabáo cáo.
>> Identity Governance: chúnày thiên về quản trị kiểu monitoring, thiết lập chính sách nhiều hơn là actiontrực tiếp như ông Administration ở trên kia. Vậy là đã clear sự khác biệt giữa Governance andAdministration
Phân chia nhiệm vụ chính là đảm bảo không có tìnhtrạng vừa đá bóng vừa thổi còi , tư yêu cầu rồi tự phê duyêt. IGA sẽ có tínhnăng cung cấp các chính sách để ngăn chặn việc một người thực hiện nhiều vaitrò trong workflow. Nhiều giải pháp có khả năng sẽ tự động phân tích và đưa racác cảnh báo cho bạn khi xảy ra các hành vi vi phạm nguyên tắc này.
Tổ chức có quy trình chặt chẽ, có bảng phân công nhiệm vụ cho các nhân viên tổ chức một cách chặt chẽ và bản thân quy trình này cũng không tồn tại các vấn đề xung đột về nhiệm vụNgười thiết kế quy trình trên IGA phải thực sự hiểu và nắm rõ toàn bộ quy trình xử lý các vấn đề trong tổ chức, vai trò chức năng nhiệm vụ của từng cá nhân để mapping chính xác vào Workflow trên IGA.Phụ thuộc nhiều vào phần ứng dụng và các hệ thống, liệu các hệ thống hay ứng dụng đó có cho phép thực hiện quy trình hay không.
Chứng nhận truy cập là một quá trình liên tục, nơingười quản lý và người phê duyệt được chỉ định xem xét ai có quyền truy cập vàonhững gì để xác nhận rằng mỗi người dùng / vai trò chỉ có quyền truy cập vàocác tài nguyên cần thiết để thực hiện chức năng công việc của họ.
Cách cơ bản nhất để làm điều này là thông qua bảngtính hoặc ảnh chụp màn hình của danh sách người dùng trong ứng dụng. Nhiều hệthống quản trị danh tính và quản trị cung cấp một cách để thực hiện các chứngnhận truy cập thông qua giao diện người dùng để kết quả có thể dễ dàng nắm bắt,thực hiện các hành động cần thiết và lưu trữ dưới dạng bằng chứng kiểm toán.Quá trình này cũng có thể được kết hợp với cấp quyền truy cập (được thảo luậntrước đó) để tự động xóa quyền truy cập vi phạm trong quá trình chứng thực.
Trong các tổ chức lớn với sốlương người dùng, ứng dùng nhiều và phức tạp, sẽ rất khó để xác định tất cả cáckiểu truy cập tồn tại trong ứng dụng và làm sao để cho phép nó thực hiện.
Tính năng tự động khám phá và tìm kiếm các kiểu truycập trong hệ thống là mộ tính năng hữu dụng trong giải pháp IGA giúp quản trịviên tiết kiệm thời gian và công sự để tự lên danh sách các kiểu truy cập. Nósẽ tự động tìm kiếm và lên danh mục các role trong tất cả các ứng dụng trong hệthống.
Tuy nhiên trong thực tế thì phần này sẽ vẫn phải cầnthông tin từ quản trị viên để thực hiện được một cách hiệu quả.
Rất nhiều tổ chức sử dụng cơ chế quản lý try cập thôngtin roles thay vì đến từng cá nhân. Roles hoạt động hiệu quả hơn khi kết hợpnhiều kiểu truy cập trên nhiều ứng dụng, do đó người dùng có thể yêu cầu quyềntruy cập trên nhiều tài nguyên chỉ với 1 roles duy nhất của mình. Mặc dù cơ chếsử dụng Role rất hiệu quả, tiết kiệm nhiều thời gian, tuy nhiên việc khó chínhlà làm sao để xây dựng được các Roles một các hiệu quả và chính xác.
Mặc dù rất nhiều giải pháp IGA cung cấp cơ chế tự đồng khám phá và xựng dựngcác dạng truy cập cho từng Roles. Nó sẽ thường dựa trên các thông tin để tìmcác dạng truy cập trung giữa các đối tượng như là dựa trên job title… Bản thântính năng này không thay thế được công việc mà chỉ hỗ trợ một phần, quản trịviên vẫn phải có hiểu biết sâu về quy trình làm việc, vai trò chức năng nhiệmvụ các đơn vị trong tổ chức để thiết lập Roles được chính xác và sát với thựctế nhất.
Một trong những thách thức khi quản lý quyền truy cậpthông qua Roles là khi bạn thay đổi bất kì quyền nào trên Roles, nó có thể ảnhhưởng đàng trăm, hàng ngàn người có Role đó. Nếu việc thay đổi là chính xác thìtốt, còn không thì hậu quả sẽ rất lớn, do đó, IGA cung cấp tính năng cho phéplập mô hình Role và mô phỏng các tác động khi bạn thay đổi các quyền trên mộtRole, giúp bạn có thể biết chính xác kết quả sẽ ra sao khi bạn thay đổi.
Xem thêm: Gaba Là Gì – Lợi ích Và Tác Dụng Của Gaba
Sau khi Role được tạo ra, quản trị viên sẽ phải liêntục thay đổi cũng như cập nhật chúng. Ví dụ như thêm hay bớt người vào Role,thay đổi các quyền truy cập. Các giải pháp IGA sẽ cung cấp giao diện vàworkflows để quản trị viên quản lý các Role một cách hiệu quả và đảm bảo mọingười sẽ luôn truy cập được tài nguyên cần thiết phục vụ công việc.
Nhiều hoạt động liên quan đến định danh và quản lýquyền truy cập diễn ra trong hệ thống của công ty bạn mỗi ngày. Mọi người đăngnhập vào các ứng dụng, truy cập thông tin và thực hiện tất cả các loại giaodịch. Hệ thống quản trị và quản trị danh tính với bộ tính năng hoàn chỉnh caosẽ thu thập thông tin từ nhiều tệp nhật ký khác nhau và thực hiện phân tích vàbáo cáo để giúp tóm tắt và diễn giải hoạt động này cho bạn.
_ _ _ ____ _ _ | | | | __ _ ___| | __ | __ ) __ _ ___| | _| | | |_| |/ _` |/ __| |/ / | _ / _` |/ __| |/ / | | _ | (_| | (__|
Chuyên mục: Hỏi Đáp
