Kurumsal Kimlik Yönetimi. Sinan Ramazan Dalgıç, CISA



Benzer belgeler
BİLGİ GÜVENLİĞİ. Temel Kavramlar

BioAffix Ones Technology nin tescilli markasıdır.

BioAffix Ones Technology nin tescilli markasıdır.

BioAffix Ones Technology nin tescilli markasıdır.

BioAffix Ones Technology nin tescilli markasıdır.

BÖLÜM 8. Bilişim Sistemleri Güvenliği. Doç. Dr. Serkan ADA

Kurumsal Kimlik Yönetimi ve Güçlü Kimlik Doğrulama. Yılmaz Çankaya

Nordic Edge ile kurumsal kimlik yöne4mi

MIS 325T Servis Stratejisi ve Tasarımı Hafta 7:

Mobil Cihazlardan Web Servis Sunumu

1 Temel Kavramlar. Veritabanı 1

5651 ve 5070 Sayılı Kanun Tanımlar Yükümlülükler ve Sorumluluklar Logix v2.3 Firewall. Rekare Bilgi Teknolojileri

Nagios XI Günümüzün talep gören kurumsal gereksinimleri için en güçlü BT altyapısı gözetim ve uyarı çözümüdür.

Misafirlerinize internet hizmeti sunmanın en güvenli yolu!

1 Temel Kavramlar. Veritabanı 1

Kaspersky Open Space Security: Release 2. İşletmeniz için birinci sınıf bir BT güvenliği çözümü

ÜNİVERSİTE BİLGİ SİSTEMLERİ

SAKAI Öğrenme Yönetim Sisteminde Tek Şifre Yönetimi

BİLGİ SİSTEMLERİ YÖNETİMİ TEBLİĞİ

Başlangıç; Sayfa 1. Sanal pos tanımlandığında üye numarası admin kullanıcı adı parolası ile Garanti Bankasından tarafınıza iletilecektir.

İş Sürekliliği Ve Güvenliği

Üniversite Öğrencilerinin Sosyal Ağ Bilgi Güvenlik Farkındalıkları

Yazılım-donanım destek birimi bulunmalıdır.

OTURUM AÇMA ADLARI. Tavsiye Edilen Önhazırlık Enterprise Manager'i kullanabilmek.

Bölüm 1: Veritabanı Yönetim Sistemlerine Giriş

MerSis. Bilgi Teknolojileri Bağımsız Denetim Hizmetleri

Başlangıç; Sayfa 1. Sanal pos tanımlandığında üye numarası admin kullanıcı adı parolası ile Garanti Bankasından tarafınıza iletilecektir.

Bilgi Güvenliği Farkındalık Eğitimi

İŞ SÜREKLİLİĞİ YÖNETİM SİSTEMİ İÇİN KRİTİK BAŞARI FAKTÖRLERİ

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Sistem Yönetim Uzmanı Görev Tanımı

TÜBİTAK UEKAE ULUSAL ELEKTRONİK ve KRİPTOLOJİ ARAŞTIRMA ENSTİTÜSÜ

HP kimlik doğrulamalı baskı çözümleri

VERİTABANI Veritabanı Yönetimi

ULAKAAI Kimlik Federasyonu. Serdar Yiğit ULAKNETÇE 2011

YILDIZ TEKNİK ÜNİVERSİTESİ

Web Uygulama Güvenliği Kontrol Listesi 2010

BİLGİ GÜVENLİĞİ POLİTİKASI

ÖZ DEĞERLENDİRME SORU LİSTESİ

Plus500 Ltd. Gizlilik Politikası

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Sistem Yönetim Uzman Yardımcısı Görev Tanımı

TÜBİTAK ULAKBİM ELEKTRONİK İMZA ENTEGRASYONU HİZMET ALIMI TEKNİK ŞARTNAMESİ

BIR ERP E-FATURA MODÜLÜ [BIR YAZILIM LTD ]

ARGUS Plus Version ERP Sistemi

Kurumsal Bilgi Sistemleri ve Güvenlik 1/ 36

MailStore tüm şirket e-postalarınızı uzun yıllar güvenle saklayabileceğiniz bir mail arşivleme sistemidir.

ULUSAL GRID ÇALIŞTAYI 2005

Siber Suçlarla Mücadele Şube Müdürlüğümüz, ilimiz Derince ilçesinde bulunan İl Emniyet Müdürlüğü yerleşkesinde faaliyet göstermektedir.

AB CAD CAM SİSTEMLERİ

ULUSAL GRID ÇALIŞTAYI 2005

Elektronik Bilgi Hizmetleri ve Erişim Yönetimi

Endüstriyel Kontrol Sistemleri Türk Standardları Enstitüsü Yazılım Test ve Belgelendirme Dairesi Başkanlığı

T.C. İSTANBUL ÜNİVERSİTESİ REKTÖRLÜĞÜ Bilgi İşlem Daire Başkanlığı 2012 YILI STRATEJİK PLANI DEĞERLENDİRME RAPORU

BİLGİ GÜVENLİĞİ. Bu bolümde;

Erma Yazılım EBYS Sistemi. (Elektronik Belge Yönetim Sistemi) Dijital Arşivleme. Otomasyonu

UZAKTAN EĞİTİM MERKEZİ

Veri Tabanı Yönetim Sistemleri Bölüm - 02

YAYIN TEŞVİK UYGULAMA YÖNERGESİ

Avrupa Komisyonu Kimlik Tanımlama Sistemi (ECAS) ile Kayıt İşlemi Unutulan şifre Ad-soyad veya e-posta adresi değiştirme 8

ĐSTEMCĐ SUNUCU SĐSTEMLER DERSĐ FĐNAL ÇALIŞMASI SORULAR YANITLAR

Bu doküman S.S.E.A.H. internete erişim şekillerini anlatmaktadır.

Veri Tabanı-I 1.Hafta

HATAY KHB BILGI İŞLEM BİRİMİ

HP PROCURVE SWITCHLERDE 802.1X KİMLİK DOĞRULAMA KONFİGÜRASYONU. Levent Gönenç GÜLSOY

KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI

Module 2 Managing User And Computer accounts

İstanbul Ticaret Odası Websphere Portal Çözümü ile İstanbul Trafiğini Nasıl Hafifletti?

SERVER TANFER. Yazılım Ürünleri Satış Müdürü IBM Türk

MerSis. Bilgi Teknolojileri Yönetimi Danışmanlık Hizmetleri

Güvenlik. Kullanıcı Kılavuzu

IBM Servis Yönetimi Stratejisi. Çağlar Uluğbay Ürün Yöneticisi Tivoli IBM Türk Limited Şirketi

VET ON KULLANIM KLAVUZU

Basit Mimari, Katmanlı Mimari ve doğrudan çalıştırma olarak üçe ayrılır.

BT DENETİMİ EĞİTİMİ BÖLÜM 1 Bilgi Teknolojilerinin Hayatımızdaki Yeri

U y g u l a m a A i l e s i (Abakus 360, T-Panel, T-CRM) Tarayıcı Ayarları. IPera İletişim Teknolojileri

SIRA NO SORUMLU BİRİM FAALİYET SORUMLU DURUM AÇIKLAMA

WEB E-POSTA AYARLARI. Outlook 2003 Ayarı ( Resimli Anlatım )

Tansu Kayrın. Uzman Satış Sorumlusu

Kamuoyu Duyurusu. 16 Aralık 2009

Veritabanı Güvenliği ve Savunma Algoritmaları

BİLGİSAYAR VE AĞ GÜVENLİĞİ

VERİ KAYNAKLARI. Bilgi sisteminin öğelerinden biride veri

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

Venatron Enterprise Security Services W: P: M:

Windows XP: Simple Sharing, Security ve ForceGuest Perşembe, 07 Eylül :02 - Son Güncelleme Cumartesi, 12 Eylül :36

BIM Building Information Modeling Teknolojilerine Bakış. Tarcan Kiper Şubat 2012

ARiL Veri Yönetim Platformu Gizlilik Politikası

YILDIZ TEKNĠK ÜNĠVERSĠTESĠ

Bahçeşehir Koleji, Workcube İle Süreçlerini Raporlanabilir Bir Yapıya Dönüştürdü.

ONLINE BA/BS SİSTEMİ. Tanıtım Dokümanı

Microsoft SQL Server 2008 Oracle Mysql (Ücretsiz) (Uygulamalarımızda bunu kullanacağız) Access

Tarama Özellikleri Kurulum Kılavuzu WorkCentre M123/M128 WorkCentre Pro 123/ P42171_TR

Yeni Nesil Ağ Güvenliği

1 Taşla 3 Kuş: Active Directory, Üniversite Bilgi Sistemi ve İnternet Erişimi Entegrasyonu

Ağ Nedir? Birden fazla bilgisayarın iletişimini sağlayan printer vb. kaynakları, daha iyi ve ortaklaşa kullanımı sağlayan yapılara denir.

Çankırı Karatekin Üniversitesi

Bu sorunlardan herhangi birini yaşıyor musunuz?

Profesyonel Çözümler Sunar. Profesyonel Çözümler Sunar

Yerel Ağlarda Port 139 ve Saldırı Yöntemi

BİLGİ GÜVENLİĞİ POLİTİKASI

Transkript:

Kurumsal Kimlik Yönetimi Sinan Ramazan Dalgıç, CISA Giriş Kimlik nedir? sorusunun cevabı kim olduğumuz ya da ne olduğumuzdur. Çalışma hayatımızda sık sık kim olduğumuzu ispatlamamız gerekmektedir. Bu kimlik doğrulaması parmak izi, imza ya da nüfus cüzdanı gösterilmesi gibi birçok yolla yapılabilir. Kişiyi geriye kalan topluluktan, olduğu şey (ad/soyad), yaptığı şey (görevi), bildiği şey (şifre) ya da sahip olduğu şey (parmak izi) ile ayırt edebiliriz. İşte Kimlik Yönetimi, birçok sisteme dağılmış durumda olan ve yönetmesi oldukça karmaşık olan, kişiler hakkındaki bilginin ele alındığı teknolojik bir konudur. İş dünyasını bilgisayarların kapladığı dijital ortamlarda artık kişiler görünmezdir. Kurumlar görünmez, kim olduklarını bilmedikleri hatta gerçekte var olmayabilecek kişilere nasıl güvenecekler? Bu kritik noktada güven zinciri (chain of trust) kullanılmalıdır, güven zinciri sayesinde kimliğini beyan eden kişinin doğru kişi olduğunu söyleyecek araçlara güvenilecektir. Bu sayede de kaynaklara erişime izin verilecektir. Günümüzde ağ tabanlı bilgi işlem ortamlarının güvenliğinin sağlanmasında kullanıcılara atanan yetkilerin yönetimi gittikçe karmaşık bir yapıya dönüşmektedir. Ağ ortamını, çalışanlarının yanı sıra müşterileri ve tedarikçileriyle paylaşan kurumlar için kimlik bilgilerinin yönetimi güvenlik açısından zorunlu hale gelmektedir. Tüm bunlara çözüm olarak sunulan Kurumsal Kimlik Yönetimi, tüm kullanıcıların kimlik bilgilerinin ve yetkilerinin tek bir noktadan yönetilmesine imkan tanıyarak, kurumların güvenlik politikalarının etkin bir şekilde uygulanabilmesine önemli katkılar sağlamaktadır. Her Uygulama İçin Ayrı Kimlik Yönetimi 1

Entegre Kimlik Yönetimi Kimlik Yönetimi ile beraber kullanıcıların sistemlere girişleri daha rahat yönetilebilir ve yaşanan aksaklıklar büyük oranda azaltılabilir. Merkezi yönetim sayesinde kimin hangi verilere ulaşabileceğinin sınırları kesin olarak konulabilir ve kontrol edilebilir. Yeni işe alınan birinin giriş işlemlerini yapmak dakikalar alacağından Bilgi Sistemlerinin üzerindeki iş yükü de hafiflemiş olacaktır. Kimlik Bilgilerinin Tutulduğu Ortamlar Kimlik Yönetimi nin konusu olacak alanlar gelişen teknolojiyle paralel olarak büyük bir hızla artmaktadır. Bilgi Teknolojilerini iş süreçlerinde yoğunlukla kullanan kurumlar yüksek iş hacimleri ve farklı uygulamalardan oluşan karmaşık bir Bilgi Teknolojileri (BT) alt yapısına sahiptir. Bu alt yapıda; Ağ (Network) Sistemleri Çeşitli Sunucular Kullanıcı Dizinleri (Directory) İnsan Kaynakları, Maaş Ödemeleri ve Kontrat Yönetimi Sistemleri İş Birimleri Tarafından Kullanılan Uygulamalar (ERP) CRM (Customer Relationship Management) Sistemleri Elektronik Ticaret (e-commerce) Uygulamaları bulunmaktadır. Tüm bu alt yapının uyum içerisinde işlemesi ve çalışanlara en verimli biçimde sunulabilmesi kurumlar için kritik öneme sahiptir. 2

Söz konusu ortamlara erişim sağlayanlar; Personel, Sözleşmeli Çalışanlar, İş Ortakları, Tedarikçiler, Müşterilerdir. Hemen hemen her sistem geçerli kullanıcıları takip etmeli, erişebildiği kaynakları ve bu kaynaklarda neleri yapmaya yetkili olduklarını kontrol etmelidir. Erişim Yönetimi süreci; Kullanıcı kimliği (identity) Kullanıcı onaylaması (authentication) Veri ve fonksiyonlarda erişim kontrolleri (access control) alanlarının yönetimini kapsamaktadır. Bu sistemlerin farklılığı her birinin ayrı yönetim yazılımı, kullanıcıları ve süreçlerinin olmasıve kullanıcıların normal olarak birden fazla sisteme erişmesi gerekliliği bu verinin yönetimini zorlaştırmaktadır. Kimlik Yönetimi kurumun BT sistemleri kullanıcılarına ait dağınık, üst üste geçmiş ve zaman zaman birbiriyle çakışan verinin yönetimini sağlamak amacındadır. Kurumsal Kimlik Yönetimi Kurumlar kimlik yönetimi verisini 2 ana başlıkta yönetmektedir; İç Kullanıcılar İç kullanıcılar mesailerinin büyük bölümünü kurum içinde geçirmektedirler. Doğal olarak kuruma ait birçok iç sisteme erişmektedirler ve kimlik profilleri detaylandırılmıştır. Dış Kullanıcılar Normal olarak bir kurumun iç kullanıcısından çok dış kullanıcısının olduğu varsayılır. Dış kullanıcılar kurumun belirli sistemlerine seyrek olarak erişmektedirler (CRM, elektronik ticaret vb). Bu kullanıcıların kimlik bilgileri daha az detaylı ve daha az güvenilirdir. İç-dış kullanıcı farkı ve bunun kimlik yönetimine etkileri bir örnekle daha iyi açıklanabilir; 15.000 personeli, 5.000 sözleşmeli çalışanı ve 500.000 müşterisi olan bir banka düşünelim, İç kullanıcılar personel ve sözleşmeli çalışanlardan oluşan 20.000 kişidir. İç kullanıcılar ağ sistemlerinde, kurumsal intranette, iş uygulamalarında, kurumsal ana bankacılık 3

sisteminde, e-posta uygulamalarında ve internet çıkışlarında oturum açmaktadır. Kimlik profillerinde iş tanımları ve çeşitli iç sistemlere erişim için kullandıkları farklı kullanıcı adı (login ID) bilgileri bulunmaktadır. İç kullanıcılar kimlik profilleri doğrultusunda gün içinde çeşitli sistemlere birçok defa erişmektedirler. Dış kullanıcılar ise ağırlıkla mevcut yada potansiyel müşterilerdir. Kimlik profilleri genelde 1 ila 3 kullanıcı adı ve parolasından oluşmaktadır (internet bankacılığı, telefon bankacılığı ve ATM için). Profillerinde posta adresleri ve hesap numaraları gibi müşteri bilgileri yer alabilir. Dış kullanıcılar sık sık oturum açmaz ve tam isimleri, telefon numaraları, e-posta adresleri gibi kişisel bilgileri yanlış olabilir. Farklı Kimlik Verileri Kimlik yönetimi için açıklanan iç ve dış kullanıcıların yönetimi için de 3 başlık bulunmaktadır: Kişisel bilgi isim, iletişim bilgileri, demografik veri (cinsiyet, yaş gibi), Yasal bilgi TC kimlik numarası, sözleşme başlangıç ve bitiş tarihi gibi, Sistemler için kimlik kanıtlaması Birçok sistemde bu kullanıcı adı ve paroladır. Bunun dışında karşılıklı kimlik doğrulaması (PKI : public key infrastructure), şifre tokeni, biyometik doğrulama ya da kullanıcının yanıtlaması gereken kişisel soru seti olabilir. Kimlik Yönetimi bu 3 başlıktan ağırlıkla sistemler için kimlik tanımlanması ile ilgilenmektedir. Hızla gelişen teknoloji ve değişen iş süreçleri doğrultusunda artık firmaların merkezde ve kullanıcıların onun etrafında olduğu yapıdan, kişilerin merkezde olduğu ve uygulamaların kişinin etrafında olduğu bir yapıya geçiş (identity 2.0) gözlenmektedir. Bu geçiş sağlıklı kimlik doğrulanmasının önemini daha iyi anlamamızı sağlamaktadır. 4

Information Security dergisinin Nisan 2004 tarihli sayısında Fortune 1000 listesinde yer alan firmaların en çok harcama yaptığı BT alanlarının kimlik yönetimi, kullanıcı tanımlanması ve tek giriş (Single Sign-On) olduğu ortaya konulmaktadır. Kimlik Yaşam Döngüsü Kurumda kimlik yönetimi verisi ile ilgili yaşanan problemleri anlamak için kimlik profilinin yaşam döngüsünü incelemek gerekir. Başlangıç Kullanıcı kuruma katıldığında kimlik profili oluşturulmalıdır. Kullanıcı eklenmesi süreci kullanıcının iç kullanıcı ya da dış kullanıcı olmasına göre farklılık göstermektedir. Her iki durumda da verinin tam ve doğru olarak tanımlanması ve girilmesi kritiktir. Değişiklik ve Saklama Kullanıcı hesapları tanımlandıktan sonra yönetilmelidir. Bu aşamada rutin parola değişiklikleri ve isim değişiklikleri, yeni kullanıcı hesapları eklenmesi ve kullanılmayan hesapların çıkartılması, var olan hesaplardaki yetki değişiklikleri gibi yönetimsel faaliyetler bulunmaktadır. Geri Alma Kullanıcı kurumu terk ettiğinde hesapları uygun bir şekilde belirlenmeli ve bu sistemlere erişimi engellenmelidir. Bu aşamadaki önemli konu bir an önce ve güvenilir şekilde bu hesaplara ait erişim yetkilerini kaldırmaktır. Kimlik Yönetimi nin Zorlukları Kurum çapında uygulanması hedeflenen kimlik yönetimi bazı zorlukları da beraberinde getirmektedir. Tutarlılık Farklı sistemlere girilen kullanıcı verileri bir birleri ile tutarlı olmalıdır. Bu veriler isim, kullanıcı adı, iletişim bilgileri, sona erme tarihi gibi verilerden oluşur. Her sistem içerisinde ayrı bir kullanıcı profil yönetimi sistemi bulunması süreci zorlaştırmaktadır. Etkinlik Kullanıcıyı her sistem için tek tek tanımlamak tekrara yol açar. Her sistem için bunu belirlenmiş araçla yapmak gereksiz yere maliyet yaratacaktır. 5

Kullanılabilirlik Birden fazla sisteme erişmesi gereken kullanıcılara her sistem için kullanıcı adı, parola ve erişim ekranı tanımlanması gerekebilir. Bu karmaşıklık kullanıcılar için külfet yaratmakta, erişimlerde sorun yaşanmasına, etkinliğin azalmasına ve BT destek maliyetlerinin artmasına yol açmaktadır. Güvenilirlik Kullanıcı profili verileri, özellikle hassas veri ve kaynaklara erişim sağlanıyorsa, güvenilir olmalıdır. Bu da, tüm sistemler için kullanıcı bilgilerini güncelleyen sürecin tam, zamanlı ve doğru olması gerektiği anlamına gelmektedir. Ölçeklenebilirlik Kurumlar çok fazla kişi için kullanıcı profilleri yönetmektedirler. Normal olarak kurumsal şirketlerde binlerce iç kullanıcı ve on binlerce dış kullanıcı bulunmaktadır. Bu kadar büyük verilerin bulunduğu bir ortamda kullanılacak kimlik yönetimi sisteminin, veri yoğunluğunu kaldıracak ve bu büyük kullanıcı popülasyonunun yarattığı işlemlerin zirve yaptığı anlarda kesintiye uğramayacak bir alt yapıya sahip olması gerekmektedir. Çözümler Kurum çapında kullanıcı kimlik verisi yönetimi sağlayan çeşitli yöntemler ve araçlar bulunmaktadır. Genel olarak bu sistemler kimlik yönetimi sürecinin verimliliğini artırmak ve dağınık sistemlerde bulunan verinin bütünlüğünü sağlamak üzerine odaklanmaktadır. Dizinler Kurumsal dizinler, aynı kurumda bulunan diğer objeler (kullanıcı grupları-sunucular-yazıcılar) gibi, kullanıcılar hakkındaki verilerin yönetimini konsolide etmek için yaratılmaktadır. Veriler bir yada daha fazla sunucu üzerinde tutulmaktadır. Bu sunucular verilerin tümünü ya da bir kısmını kendi içlerinde karşılıklı kopyalayarak ölçeklenebilirliği ve erişilebilirliği artırmaktadır. İstemci uygulamaları genel olarak standart protokollerle (LDAP, X.500 vb.) veriye erişmektedir (yazma-okuma). Dizinler kullanılarak kullanıcılar hakkındaki veriyi, her sistem içinde ayrı ayrı takip etmek yerine birden fazla sistem için kullanılabilir hale getirmek ve paylaşmak mümkündür. Bu konudaki en büyük sıkıntı eski sistemlerin bu tip bir kullanıcı bilgisi paylaşımına uygun olmamasıdır. Ana 6

bankacılık sistemleri, eski uygulamalar, ağ operasyon sistemleri ve diğer birçok sistem, bir dış sistemin kullanıcılarını yönetmesine izin vermemektedir. Dizin ürünleri bulunan başlıca tedarikçiler şunlardır; IBM / Tivoli. Microsoft / NT-Active Directory. Apple Open Directory. Novell. Oracle. Fedora. Sun Java. Web Yetki Yönetimi Dizin kullanımı bulunan bir ortamda WAM (web access management ) aracılığıyla web tabanlı kimlik yönetimi, kimlik doğrulama ve yetkilendirme gerçekleştirmek mümkündür. Bu sistemler ön uçta bulunan web sunucusundaki bir uygulama ile çeşitli web uygulamalarında bulunan oturum açma süreçlerini birleştirmektedir. Kullanıcıyı bir kez doğrulamakta ve kullanıcının farklı uygulamalarda dolaşmasına izin vermektedir. Bu sistemler aynı zamanda kullanıcı grupları yaratmakta ve kullanıcılara bu gruplara tanımlanmış yetkileri vermektedir. Bu sistemler etkin bir erişim yönetimi ve web uygulamalarına tek giriş (Single Sign-On) sağlamaktadır. Ancak bu sistemler, genel olarak, eski ve büyük sistemleri (ağ operasyon sistemleri, istemci-sunucu sistemleri, e-posta sistemleri, ana bankacılık sistemleri) desteklememektedir. Bu sistemler web tabanlı uygulamalara odaklandığı için ağırlı olarak dış kullanıcılar için geliştirilmiştir. Erişim yönetimi ürünleri bulunan başlıca tedarikçiler şunlardır; Entegrity AssureAccess. Entrust. IBM. Novell. Oblix NetPoint. BMC. RSA Cleartrust. Wipro. Şifre Yönetimi Kullanıcılar çoğu sistemde kullanıcı adı ve şifre ile oturum açmaktadırlar. Zaman içine bu şifreler başkaları tarafından ele geçirilebildiği için (kullanıcılar şifreleri kağıda yazabilir, şifreler tahmin edilebilir, şifre kırıcı araçlarla saldırıya maruz kalınabilir vb.) şifrelerin periyodik olarak değiştirilmesi gerekmektedir. Birçok modern sistemde, özellikle iç kullanıcılar için olan 7

sistemlerde, şifrelerin periyodik olarak değiştirilmesi zorunlu kılınmaktadır. Çoğu kurum bu periyodu 30 ila 90 gün arasında belirlemektedir. Kullanıcıların farklı sistemler için farklı şifreleri bulunuyorsa ve bu şifrelerin geçerlilik süreleri farklı zamanlarda bitiyorsa, kullanıcılar bunları kağıda yazarak saklamaya meyilli olmakta ya da unutmaktadır. Bu tip problemlerden kurtulmak için kullanıcıların farklı sistemler için sahip oldukları şifrelerin bir sistem aracılığı ile yönetilmesi tercih edilmektedir. Şifre yönetim sistemleri genellikle aşağıda yer alan konulardan bir yada birkaçını desteklemektedir: Farklı sistemlerdeki şifrelerin senkronize edilmesi Şifrelerini unutan kullanıcılara şifrelerini sıfırlamasına izin vermesi ya da kötü niyetli 3. kişilerin erişimi tespit edildiğinde hesabın kilitlenmesinin sağlanması BT destek ekiplerinin şifrelerini unutan ya da geçersiz hale gelen kullanıcıların kimlik doğrulamasını sağlaması ve bu şifrelerin sıfırlanmasını sağlaması Kullanıcılara şifre harici doğrulamalar için kullanmak üzere kendi kullanıcı adlarını tanımlamaya izin verilmesi ya da kendileri ile ilgili kişisel soru ve cevaplar girmelerine izin verilmesi Dış kullanıcılardan daha fazla şifreye sahip oldukları ve şifrelerini daha sık değiştirmek zorunda oldukları için şifre yönetimi çözümleri iç kullanıcılara hitap etmektedir. Dış kullanıcılar genellikle bir kullanıcı adına ve şifreye sahiptirler ve çoğunlukla bu şifre zaman aşımına uğramamaktadır. Web yetki yönetimi ürünleri genel olarak, kullanıcıya bir doğrulama sorusu aracılığı ile şifre sıfırlamasına izin veren basit bir şifre yönetimi özelliği barındırmaktadır. Bu dış kullanıcılar için genellikle yeterli olmaktadır. Şifre yönetimi ürünleri bulunan başlıca tedarikçiler şunlardır; Blockade Password Synchronization Services. Courion PasswordCourier. M-Tech. Net Magic Pro. Proginet SecurPass. Tek Giriş (Single Sign-On) Birden fazla sistemde oturum açması gereken kullanıcılar tek bir ana sistemde oturum açarak tekrar tekrar kimlik tanımlaması ve doğrulamasına gerek kalmadan sistemlere erişmek isteyebilirler. 8

Birçok ana sistem dış kimlik tanımlama ve doğrulama araçlarına erişim izni vermemektedir. Ancak kullanıcı kimlik bilgilerini ana sistem dışında saklamak ve oturum açtıklarında otomatik olarak uygulamalara yönlendirmek mümkündür. SSO sistemlerine giriş yapıldığında kullanıcının yetkili olduğu tüm uygulamalara erişimi mümkün olmaktadır. Kullanıcı, SSO istemci yazılımları aracılığı ile arka planda birçok uygulamayı çalıştırmaktadır. Bu istemci yazılımı temel olarak, bir istemci programı çalıştırıp simülasyon yaratarak kullanıcının ilgili program için kullanıcı adı ve parola bilgilerini doldurup oturum açmasını sağlamaktadır. SSO sistemi, gerekli yazılımın kullanıcı bilgisayarlarına yüklenmesini gerektirdiği için iç kullanıcılar için uygundur. Yüksek sayıda kullanıcısı bulunan ana sistem ortamlarında SSO kullanımı zaman zaman sıkıntılara yol açabilecektir. Bunun sebepleri a. geliştirme ve uygulama maliyetlerinin fazlalığı, b. güvenlik konularında oluşacak endişeler (SSO sistemi her kullanıcının yetkili olduğu tüm sistemlerin şifrelerini saklayacaktır ve saldırılara maruz kalabilir) ve c. erişilebilirlik konularında oluşacak endişelerdir (SSO akışında meydana gelebilecek bir kesinti kimsenin oturum açamamasına ve işlem yapamamasına sebep olabilecektir). SSO ürünleri bulunan başlıca tedarikçiler şunlardır; Computer Associates. IBM / Tivoli. Novell. Passlogix. Infogenic. Hesap (Account) Yönetimi Kurumlar için en maliyetli süreç yeni kullanıcılara en kısa zamanda erişim yetkisi tanımlanması, kullanıcının sorumlulukları değiştiğinde erişim yetkilerinin de paralel olarak değişmesi ve işten ayrılanların erişim yetkilerinin kapatılmasıdır. Daha önce bahsettiğimiz gibi birçok ana sistem farklı sistemlere erişmesi gereken kullanıcılarının yönetimine ana sistem dışından müdahaleye izin vermemektedir. Bu yüzden bu kullanıcıların erişimlerinin her sistem için ayrı ayrı tanımlanması, değiştirilmesi ve silinmesi gerekebilmektedir. Bu aşamada çözüm olarak devreye Hesap Yönetimi araçları girmektedir. Hesap Yönetimi araçları bu tip farklı sistemlerde kimlikleri bulunan kullanıcıların yönetimini verimli hale getiren araçlardır. Bu araçlar genellikle aşağıda yer alan özelliklerden bir ya da birkaçına sahip olabilirler; Kullanıcıların erişmek istedikleri sistemlere bir an önce ulaşmasını sağlayan bir araya getirilmiş araçlar 9

Kullanıcılar tarafından yeni yetki, yetki değişikliği ve yetki kısıtlanması talepleri için ortak bir sistem kullanılması, bu sistem aracılığıyla talebin onaylayacak kişiye hızlı bir şekilde gitmesi ve talebin onaylanması sonucu yeni hesabın otomatik olarak yaratılması ya da ilgili değişikliklerin otomatik olarak etkin hale gelmesi Farklı sistemlere ve dizinlere, otomatik olarak, önceden belirlenmiş verilerin ve kullanıcı kayıtlarının kopyalanması Kullanıcı dizinlerinde meydana gelmiş değişikliklerin yığın işlerle yüklenmesini sağlayan araçlar Önceden belirlenen kurallar ve şirket politikaları çerçevesinde belirli bir sistemde yapılan değişikliğe (İnsan Kaynakları sistemi vb.) istinaden otomatik olarak yaratma, değiştirme ve silme işlemlerinin gerçekleşmesi Hesap Yönetimi sistemleri ağırlıkla, dış müşteriler WAM ile belirli araçlarla (LDAP gibi) yönetildikleri için, iç kullanıcılara yöneliktir. Hesap Yönetimi sistemlerinde zaman zaman şifre yönetimi özellikleri bulunsa da uygulanabilirliği kısıtlıdır. Hesap Yönetimi sistemlerinin en önemli olumsuzluğu uygulama süresinin uzunluğu (yıllar süren uygulamalar bulunmaktadır) ve dolayısı ile maliyetidir. Hesap Yönetimi ürünleri bulunan başlıca tedarikçiler şunlardır; IBM / Tivoli. BMC ITSM. Business Layers. Computer Associates. M-Tech. Sun Waveset. Ya Gelecek? Kurumun Ötesini Düşünmek Kimlik yönetimi sürecini tek bir kurumla sınırlamak da zaman zaman doğru olmayabilir; müşteriler birçok internet sitesine ayrı ayrı oturum açmadan giriş yapabilmek isteyebilir, çalışanlar tedarikçilerin sitelerine üye olmadan ve tekrar tekrar oturum açmadan erişmek isteyebilir, firmalar kendi kullanıcılarının, iş ortaklarının ve tedarikçilerinin sitelerine bağlanmalarını isteyebilir. Bu gibi durumlarda tek bir kurumu aşan kimlik yönetimi uygulamaları, organizasyonların Bilgi Teknolojileri alt yapılarının birbirleri ile uyumlu olmasını gerektirmektedir. Bu uygunluk ise bir takım standartlar gerektirmektedir ve bu tip standartlar oluşmaya başlamıştır bile. SSO ile birden fazla siteye erişim sağlanması; http://www.passport.com/, http://www.projectliberty.org/ 10

Gizlilik politikalarının standartlaşması; http://www.w3.org/p3p/ Kurumlar arası kaynakları kullanıcılara açan protokoller(xrpm); http://xml.coverpages.org/xrpm.html Bir kurumun güvenlik sunucusunun başka bir kurumun kullanıcılarına hizmet verebilmesi (SAML); http://www.oasis-open.org/committees/security/#documents Yeni ihtiyaçlar yeni teknolojileri, yeni teknolojiler de yeni pazarları yaratmaktadır. Kurumlar hızla artan bu ihtiyaçları tespit edebilmek ve bu ihtiyaçları karşılayacak uygulamalara açık olmak zorundadır. Sonuç Kimlik Yönetimi hem kurum içi hem kurum dışı kullanıcıların kimlik bilgilerinin toplu bir şekilde yönetilmesini sağlayan ve hızlı gelişen bir BT hizmet alanıdır. Kimlik Yönetimi araçları olgunluklarına göre farklılık göstermektedir. Bazı araçlar yaygın bir kullanım alanı bulmakta ve yaygın olarak kurumlarca kullanılmaktadır. Gerçek ve ölçülebilir çıktılar veren; LDAP kullanan dizinler, Şifre Yönetimi, WAM ve SSO bunlara örnektir. Bunun yanında henüz gelişmekte olan ve ileride yaygınlaşması beklenen araçlar da yavaş yavaş oluşmakla beraber nispeten masraflı görülmektedir. Bu yeni araçlara örnekler Erişim Yönetimi ve profil güncelleme hizmetleridir. Ayrıca büyük ana sistemlerde tek girişe olanak veren (SSO) teknolojileri de gelişmekte olup uygulama ve geliştirme maliyetleri halen çok yüksektir. Türkiye de dünya ile paralel olarak, BT alt yapıları güçlü olan kurumlar uluslararası kabul görmüş standartlarda kimlik yönetimi uygulamalarına sahiptir. Ancak hala kimlik yönetiminin kuruma sağlayacağı katma değeri fark edememiş ya da demode ve ağır işleyen ilkel kimlik yönetimi araçlarına mahkum olan kurumlar da azımsanmayacak kadar çoktur. Bu yüzden Bilgi Teknolojilerini iş süreçlerinde kullanan kurumlar için gelişen teknolojileri takip etmek, teknolojiye paralel olarak gerekiyorsa iş süreçlerini yeniden dizayn etmek ve dolayısı ile içinde bulunulan sektörde hem iç hem de dış hizmet kalitesinde geride kalmamak çok önemlidir. Sinan Ramazan Dalgıç Deloitte, Kurumsal Risk Hizmetleri Makale, www.tele.com.tr da (Ekim 2007) yayınlanmıştır. 11

2026 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim