Kimlik yönetimi, herhangi bir kimliğin bilgi teknolojileri  ekosisteminde denetlenmesi, izlenebilmesi ve raporlama gereksinimlerinin uluslararası regülasyonlara (örn. SOX, HIPAA) uygunluğu  açısından kamu yada özel oluşumların yönetimsel kademelerini yakından ilgilendirebileceği gibi, kullanmış olduğu konseptler ve teknolojiler açısından da bilgi teknolojileri ile ilgilenenleri de kapsamı içine alacaktır. Bu makale her iki gruba da hitap etmektedir.

Verimlilik, takip, denetleme, raporlama, veri güvenliği ve daha sofistike iş ortamları hazırlayabilmek gibi konuları güncesinde üst sıralara koyan kamu kuruluşları ya da özel birçok şirket, her geçen gün mevcut iş akışlarının ve iş süreçlerinin dijital ortama taşınması, diğer bir ifadeyle bir uygulama  yardımıyla yönetilmesi yönünde adım atmaktadır.  Daha önce değersiz olarak görülen veriler, bugün raporsal anlamda ve bunun sonucu olarak da kontrol imkanlarını artırması sebebiyle, değerli ve takip edilmesi gereken veriler haline gelmektedir. 

Diğer taraftan;  zaman paradır yaklaşımı,  projelerin  imkansız denecek sürelerde sonlandırılmasının yönetim tarafından talep edilmesi,  Kurumsal Uygulamaların  Entegrasyon ve Uyum Yönetimi konusunun ülkemizde halen bir iş dalı olarak görülmeyip, projeyi yöneten kişiler tarafından, projeye dahil edilecek önemli bir madde olarak değerlendirilmiyor olması gibi nedenler, prematüre denecek sürelerde hazırlanan uygulamalar,  analiz, geliştirme, test ve  nihayi kullanıma alma süreçlerini tamamlamak ve  aktif olarak kullanılmaya başlanmasından sonra ortaya çıkan sorunların tecrübe olarak kabul edilmesi ile ufak değişiklikler yapılıp, iş ihtiyacını örtecek  seviyeye getirilmesini sağlamakla beraber,  önemli olarak tasnif edilen verinin fragmente olması, ortak olarak yönetilmesi ve güvenliğinin temin edilmesi gereken bilgilerin, her sistemde aynı ayrı yönetilmesi gerekliliği zorunlu sonucunu doğurmuştur.

Bu sorunsal güncelliğini korumakta ve özellikle kamu kuruluşlarının kağıt üzerinde saklı verileri dijital ortama taşıması ve bu bilgilerin gerekli şartlar yerine getirilmek koşulu ile AB birliği uyum süreci çerçevesinde, sorgulanabilir hale getirilmesi ereğini aksiyona çevirmesi sonucunda, hassas verinin yönetimi ve  güvenliği kritik bir konu olarak karşımıza çıkmıştır. 

Kimlik yönetimi ihtiyacını, böyle bir ortamda daha profesyonel bir yaklaşımla mercek altına almak hayati bir önem taşıyacaktır.  Dağınık uygulamalı BT ekosistemlerinde, aynı kullanıcı birden fazla  uygulamayı kullanmak durumunda kalmakta ve bu kişiye ait kimlik bilgileri ile uygulamaya giriş yetkileri, farklı uygulamalarda farklı şekillerde saklanmaktadır. Dolayısıyla hesap oluşturma, silme, güncelleme gibi işlemler ciddi bir yönetimsel iş yükü doğuracaktır. Bunlara ek olarak da,  konu edilen yönetimsel iş süreçleri ve işlemler, Kimlik Yönetimi kapsamında, veri güvenliğinin sağlanmasında zayıf bir halka haline dünüşmektedir. Nitekim, verinin merkezi olarak yönetilmemesi, birden fazla iletişim kanalı ile kimlik oluşturma, silme ve güncelleme süreçlerinin tamamlanıyor olmasına, her uygulamanın kimlik doğrulama, kimlik yetki tesbiti ve yetki grup yönetimi  gibi konularda, kendine özgü veri saklama ve veri erişim güvenliği politikaları uygulamak zorunda kalmasına neden olmuş, bunun  da doğal bir sonucu olarak şirket bazında uygulaması, güncellemesi ve raporlaması kolay bir politikanının oluşturulamıyor olması,  karşımıza acil müdahale gerektiren  bir sorun çıkarmıştır.

Kurumsal bazda  kimlik yönetimi raporlaması ve hesap verilebilirlik kriterlerinin sağlamasının sürekli olarak yapılabiliyor olması için anlık cevaplanabiliyor ve doğru veriler döndürüyor olduğuna emin olmamız gereken soruların bir kısmı aşağıda listelenmiştir.

• Kim, neye, ne zaman, nasıl ulaştı?

• Herkes sadece kendisine verilen yetki seviyesinde mi işlem yapıyor?

• Kullanıcıya yetki atanması ve yetki güncellemeleri raporlanabiliyor mu?  İşlemler kimin tarafından yapılmış?

• Kimlik oluşturma, güncelleme ve silme işlemlerinde prosedürler uygulanıyor mu?

• Birkaç uygulamadan ortak derlenen raporların doğruluk derecesi nedir?

Tanımlamalar

 Kimlik yönetimi ile ilgili literatürün daha iyi anlaşılabilmesi ve bu makalede üzerinde durulacak konuların referans olarak kullanacağı birkaç anahtar kelimenin tanımlarıın verilmesi faydalı olacaktır.

• Kaynak (Resource), uygulamaları oluşturan ve  kullanılması hedeflenen bütün yetki seviyelerinin kontrolünü sağlayabilecek nesnelerdir. Örneğin uygulamaya ait herhangi bir JSP sayfası ya da PHP sayfası, bir kaynak olabilir.  Kimlik yönetiminin kullanım amaçlarından biri de kimliğe uygun kaynak kullanımının yönetilmesidir.     

• Kimlik (Identity),  Uygulama yada kullanıcıyı, daha genel anlamda bir nesneyi, sınırları bizim tarafımızdan belirlenen bir BT ortamında tanımlayan iyeliktir.  Örnegin, birden fazla uygulamanın çalıştığı bir BT ekosisteminde, kullanıcıya özel ya da hassas bilgilerin tutulmadığı (herkese açık) bir uygulamanın, sisteme kendisini tanıtma ve bütün sistemde sadece bu uygulamaya ait özelliklerin aktive edilmesini sağlamak  için kimliğinin bulunması gerekebilir. Daha olağan olarak kullanılan anlamda ise, uygulamayı kullanıyor olacak kullanıcıların kimlikleri yönetilir.

• Kimlik Doğrulama (Authentication),  sistemi kullanmak isteyen kimliğin bilgilerinin, sistemde tutulan kimlik bilgileri ile doğrulanmasıdır. Bu doğrulama kullanıcı ismi ve şifre olabileceği gibi,  IRIS, smart card, eli izi yada daha kuvvetli doğrulamalar için bunlardan birkaçının birleşimi de olabilir.

• Dizin, kimliklerin ( identity ve genel anlamda entity)  niteliklerinin tanımlanmasını, ait olduğu grupların hiyerarşik bir şekilde saklanmasını ve yönetilmesini sağlayan sistemdir.  Dizinler,  içerdikleri API'ler ve  adaptörler yardımıyla kolay bir şekilde veri oluşturulmasını, yönetimini ve sorgulanması  temin ederler.  Dizinlerin büyük bir çoğunluğu yönetim arayüzü sunarlar.   

• Tümleşik Oturum (Single Sign-On, SSO) ,  birden fazla uygulamanın bulunduğu bir BT ekosisteminde, kimlik doğrulama işleminin, ekosistem dahilindeki bütün uygulamalar için merkezileştirilmesi olarak tanımlanabilir.  Uygulamalar kullanıcı yönetimlerini farklı arayüzlerden yapıyor iseler,  SSO yapısına hizmet veren bir dizin ile senkronize edilmeleri gereklidir.  SSO, genel anlamda, uygulamaların kimlik referansını sakladığı oturum bilgisinin,  merkezi olarak saklanması mantığı üzerine oturtulmuştur.

• Kimlik Yetkilendirme (Authorization), kimlik doğrulaması yapmış olan  bir kimliğe,  uygulamaların belirlemiş olduğu rol ve kaynak erişimi atamasının yapılmasıdır.  Kimlik yönetiminin merkezileştirildiği sistemlerde,  genel olarak her kaynak erişim talebi için kimlik yetkileri tekrar sorgulanmalıdır.

• Kimlik Bilgilerinin Koordinasyonu (Provisioning), kimlik oluşturulması, silinmesi, bilgi güncellenmesi , kimlik yetkilerinin atanması ve rol atamaları gibi işlemlerin iş olarak tanımlanması, bu işlemler için onay zincirlerini içerebilecek iş akışlarının oluşturulması sağlar. Kimlik yetkilendirme altyapısının otomatize edilmesini temin eder. Örneğin kimlik oluşturma, e-posta yardımıyla kimlik süreçleri takip kurallarının yazılması ve birden fazla kimlik kaynağının senkronizasyon kuralları bu sistemin kapsamında değerlendirilir.

• Kimlik Yönetimi (Management of Identity). Herhangi bir nesnenin yada kullanıcının

  • Kimliğin tekilliği, kimliği tekil olarak belirleyen ve bütün sistemde tekilliğinden emin olduğumuz belirteçtir. (çalışan no, user_id, application_id vs)

  • Rol Kimliği ( Araştırmacı, yetkili kullanıcı, Finansal Uygulama) 

    Not: Uygulamalar genelde Rol Kimliği üzerinden kaynak talebinde bulunan nesne yada kullanıcıyı tanımlamayı ve ilgili kaynakları hizmete sunmayı öngörür.

  • Hakkında Kimliği  (Isim,Soyisim, email adresi, sicil no, uygulama ana sayfası) gibi özelliklerinin yönetildiği yapıdırr.

    Not: Kimlik Yönetimi, terim olarak sadece kimliğe ait niteliklerin yönetilmesi anlamında gelmesine karşın, kimlik kelimesinin çok geniş anlam alanı kapsamasından dolayi, bütün bu ekosistemi açıklayan kelime olarak da  Kimlik Yönetim Sistemi kullanılmıştır.

• Kimlik Yönetim Sistemi (Identity Management System),   kaynakların, kimlik bilgilerinin saklandığı dizinlerin,  kimlik yetki atamalarının  yönetimini  sağlayan sistemdir.

Teşvik Edici Etmenler

Daha az şifre ve kullanıcı rahatlığı.  Kullanıcı sadece bir tane kullanıcı ismi ve şifre hatırlamak durumunda olacak ve bunun doğal sonucu olarak şifre unutma, birden fazla şifre arasından doğrusunu hatırlama,  şifre kilitlenmeleri gibi zaman kaybına neden olan konulardan uzaklaşılıp zamandan tasarruf sağlanabilecektir.

Bununla ilintili diğer bir nokta da, destek merkezi ( call center) çalışanlarının yada sistem yöneticilerinin, daha az şifre (kimlik hesabı) yönetiyor olması sebebiyle, şifre sıfırlama ya da benzeri kullanıcı işlemleri için çok daha az zaman harcayacak olmalarıdır.

Program geliştirme ve güvenlik program geliştiriciler, kod geliştirme sırasında, kullanıcı yetkileri ve yetkiye uygun servislerin sunumu konusuna çok fazla zaman yatırımı yapmaktadır.Kod içinde güvenlik tabakasının oluşturulması yükünün, programcının omuzlarından alınmış olması işte hızlanma ve verimlilik getirecektir.

Uygunluk kriterleri ve denetim. Kim ne zaman hangi kaynaklara erişti? sorusunun cevabını, kolay erişilebilecek bir rapor çalıştırıp, çıktısını görüntüleyerek verebiliyor olmak, uluslararası uygunluk kriterlerini sağlama yolunda atılan sağlam bir adım olacaktır. Ayrica, kullanıcıların herhangi bir zaman aralığında hangi kaynaklara eriştiğini görmek, sistem denetleme yönetimi için büyük bir rahatlık sunmaktadır.

Tasarruf imkanları. Klasik yöntemde, her uygulama kendi kimlik yönetimini gerçekleştirmektedir.  Öncelikle bir kimlik güncelleme yada kimlik yetki artırım talebi çağrı merkezine ya da bu işten sorumlu kişilere gönderilmekte, yetkili kullanıcılar bu talebi onaya sunmakta (bunu matbu bir iş akışı prosedürü ya da e-posta yardımıyla yapabilir) ve onaylanan talebin  uygulama yöneticisi tarafından uygulamada etkinleştirilmesi sağlanmaktadır. Böyle bir yapıda  her uygulama için ayrı belli hiyerarşiye göre atanmış yetkili kişiler ve ek iş gerektiği açıktır. Kimlik yönetim sisteminin etkinleştirilmesi sonrası, veriler merkezileşeceği ve iş akışları otomatize edileceği için iş gücü tasarrufu sağlanacaktır.

Uçtan uca otomasyon.  Kimlik yönetiminin uygulanmamış olduğu bir sistemde, insan faktörünün etkin olması sebebiyle, takip, izleme, denetleme ve hesap sorabilme konularında raporlama sürecinde zaman kaybı, yanlışlıklar ve sonucu doğru olmayan raporlamalar karşımıza çıkabilecektir.  Olması gereken ise, bütün bu iş akışında müdahil nesnelerin (kullanıcı,departman yöneticisi, program yöneticisi)  talep , onay ve bilgi giriş işlemlerinin tek bir sistem üzerinden yapılması ve istenildiğinde doğrudan işlem süreç durumunun görüntülenmesinin sağlanmasıdır. Kimlik koordinasyon (Provisioning) sistemleri bu ihtiyacı karşılamak amaçlı tasarlanmışlardır.

Kullanıcı destekli yönetim Bir önceki maddede belirtilen onay iş akışının otomasyonu gerçekleşmiş olsa bile, dışarıdan katılımcı roller bulunmaktadır. (Örn. Call center, departman yöneticisi, program yöneticisi). Şifre değiştirmek, hesabın silinmesini talep etmek, yeni hesap talep etmek gibi işlemlerin doğrudan kullanıcı tarafından yapılması toplam işlemi hızlandıracak ve iş yükünü azaltacaktır.  Kimlik Yönetimi Sistemleri, self-servis  öğeleri sayesinde bu işlemi desteklemektedir.

Kimlik kopyalarının çokluğu. Şirket bünyesinde, her uygulamanın farklı bir kimlik doğrulama, yetki sorgulama yöntemi ve veri kaynağı olması istenmeyen bir durumdur. Bu hem yönetimsel, denetimsel ve raporsal iş yükünü artırır, hem de verinin merkezileştirilmesi prensibine aykırıdır.

İzleme mekanizmalarının sağlıklı çalışması. Kimlik yönetim sistemine geçiş ile beraber, birçok noktada kopyası olan kimliklerin konsolidasyonu ve bu sayede, kütük bilgisi tutan bütün uygulamalarda  aynı kimliğin aynı tekil değerler ile izlenebilmesi, raporlanacak verilerin de kolaylıkla konsolidasyonunu sağlayacaktır. Kimlik bilgilerinde yapılacak güncellemeler uygulamalar tarafından hızlıca görüntülenebilecektir.

Kimlik verilerinin konsolidasyonu. Farkli sistemlerde aynı varlık (kişi yada uygulama)  birden fazla kimliğe sahip olabilir. Bu verilerin konsolidasyonu kimlik yönetimi sayesinde mümkün olmaktadır.

Olası Riskler

Maymuncuk anahtarı.   Tek şifre ile bütün sistemleri yönetiyor olmak, bu şifrenin istenmeyen bir kişinin eline geçmesi durumunda, birkaç sistemin birden erişilebiliyor olması anlamına gelecektir. Aynı zamanda oturumun saldırganın eline geçmesi durumları da tehlikeli sonuçlar doğurabilecektir. Bunu engellemek için

• önemli işlemler öncesinde şifrenin tekrar onayı

• hassas veri işlemleri için ekstra güvenlik (dijital sertifika, biometrik doğrulama)

gibi uygulamalar kullanılabilir.

Mevcut uygulamaların aktarımı. SSO'ya geçiş aşamasında en sancılı ve maliyetli kalem, varolan sistemlerin SSO yapısına geçirilmesi olacaktır. Kimlik yönetimi paket uygulamalarının, birçok uygulama geliştirme platformu için adaptörleri mevcut olup, bu adaptörlerin etkin kullanılamayacağı yerlerde, uygun olarak uygulamanın güncellenmesi, uygulamanın yazılış metodolojisi ve çoklu geliştirme kurallarına uygun geliştirilmiş olması gibi etmenler hem yüksek maliyetli hem de yorucu işlemler olabilir.

İş akışlarının yönetimi. Kimlik yönetimine geçiş ile beraber, kimlik oluşturma, güncelleme  ve kimlik yetkilendirme  iş akışlarının oluşturulması ile bu işlemlerin bireyler yerine otomatize edilmiş prosedürler tarafından gerçekleştirilebiliyor olması, süregelen şirket içi alışkanlıkların yıkılması ve özellikle yönetimin onay zincirine dahil olması  dolayısıyla da BT ekosisteminde kimlik yönetimine doğrudan etki ediyor olması anlamına geleceğinden, oluşacak extra iş yükü ilgili prosedürlerin askıya alınmasına, özellikle de kamu kuruluşları için kemikleşmiş bazı klasik iş akışlarının yıkılamaması sebebiyle, uygulanamaz iş akışlarının oluşmasına sebeb olabilmektedir. 

Uygulamalar ve Kimlik Yönetimi

Merkezi bir kimlik yönetimine geçişte, uygulamanın sadece internet tarayıcısı üzerinden çalışan bir uygulama olması ya da  istemci-sunucu iki katmanlı mimarisinde geliştirilmiş  olması bir sorun oluşturmayacaktır. Kimlik doğrulama ve kimlik yetkilendirme kontrollerinin yapılabilmesi için, en genel anlamda, bütün uygulamaları kapsayacak bir çerez bilgisinin saklanması, yönetilmesi ve  uygulamaların LDAP sorguları yapabiliyor olmaları başlangıç için gerek ve yeter koşullardır. Kimlik yönetimini başarım için satın alınabilecek birçok paket uygulama, kimlik yönetimi sistemine geçiş işlemini kullanılan uygulamalarda çok az bir değişiklik ile yada hemen hemen hiçbir değişiklik yapmadan temin edebilecek bileşenler hizmete sunmaktadırlar.  Örneğin aktif olarak kullanılan bir JBoss uygulaması için JAAS kimlik doğrulama modülleri kullanılarak, uygulamanın güvenlik modelinin tamamen OpenSSO ile entegre edilmesi sağlanabilir. Bu durumda, sadece kullanıcı göçü yapılarak ya da halihazırda karmaşık bir dizin yapısı kullanılıyor ise, dizin yapılarının senkronizasyonu gerçeklenerek, kimlik yönetimi tamamen ve kolayca OpenSSO ve openPTK uygulamaları ile sağlanabilecektir.

Örneğin PHP dilinde yazılmış bir uygulama, sadece HTTP Header ( Başlık) bilgilerinin uygun şekilde güncellenmesi  ile tümleşik oturuma dahil olabilmekte, kimlik doğrulama işlemini  gerçekleştirebilmektedir.  Aynı firma içinde JAVA ve PHP ile yazılmış iki farklı uygulama, aynı kullanıcı ismi ve sifre bilgilerini kullanabilmekte ve kullanıcı yönetimi tamamen merkezi bir kimlik yönetimi yapısına devredilebilmektedir.  Uygulama bazında oturum bilgisi tutmak yerine,  tümleşik oturuma yapısına dahil edilen uygulamaları kapsayan bir oturum  bilgisi tutulmakta ve global bir çerez aracılığıyla, oturum bilgisi yönetilebilmektedir.

Kimlik yetkilendirme için de programlama dili bazında yada uygulama sunucusu bazında programlama arayüzleri yada eklentiler kullanılıp, ilgili uygulamanın yetkilendirme yapısında değişikliğe gitmeden Kimlik Yönetim Sistemi'ne geçiş mümkün olabilmektedir. Bu yöntemin tercih edilmediği durumlar için bile, kimlik verilerinin saklandığı LDAP dizinlerinin doğrudan sorgulanması da yetkilerin kontrolü için yeterli olabilecektir.

Kimlik yönetimine bu bakış açısından  bakabilmiş şirketlerin birçoğu, uygulamaların kuluçka döneminde kendileri tarafından geliştirilmiş bir merkezi yapıyı öngörmüş fakat bütün yönleriyle devreye alınmak istendiğinde çok karmaşık olan bu yapının doğru olarak uygulanamaması sonucu, verilerin merkezileştirilmiş olmasından dolayı, tek bir hata merkezi oluşturmuş ve bilgilerin öncesine nazaran çok daha rahat manipule edilmesine yada veri hırsızlığına kapı aralamışlardır. Iş akışları yerine, bireyler tarafından yönetilen kimlik süreçleri, gereğinden fazla yetkili kullanıcılar ortaya çıkarmış ve  yetkilerin dağıtılması-yeterli çalışan sayısı-yetki yönetimi dengesini kurmakta zorluk çekmektedirler.

Kimlik yönetimi  çok bilinen anlamında, kimlik bilgilerin merkezi bir yapıda tutulması değil, kimlik bilgilerinin yönetilebilir, denetlenebilir ve raporlanabilir hale getirilmesidir. Bugünlerde gündemi daha sık meşgul eden, dijital sertifika, akıllı kart ve biometrik bilgilerin kullanımı  gibi  ikincil kimlik doğrulama mekanizmalarının doğrudan destekleniyor olması ve yönetiminin sağlanması, kimlik yönetim sistemlerinin sunmuş olduğu ileri seviyedeki avantajlardır.

Bütün fonksiyoneliteleri ile devreye alınan bir Kimlik Yönetim Sistemi'nde, kullanıcılar akıllı kartlarını, kart okuyucularına takıp, hem işletim sistemi hem de kullanmasına izin verilen uygulamaları herhangi bir şifre girişi yapmadan kendilerine atanan yetki sınırlarında kullanabilirler.  Gerekli ayarların yapılması sonrası, istenilen kimlik özelliklerinin doğrudan kimliğin sahibi kullanıcı tarafından güncellenmesi ya da girilmesi sağlanabilir.  Yöneticiler, matbu kağıtlarda yetki atamalarını imzalamak yerine, dijital imza ( istenirse şifreleme  kullanarak yada kendi kullanıcı isimleri ile sisteme girerek gerekli yetkilendirmeleri yapabilir, onay için bekleyen kimlik taleplerini onaylayabilir.  Uygulama ya da sistem yöneticileri de bu sistemin ayakta kalmasını ve kimlik nitelikleri ile Kimlik Yönetim Sistemi'nin sağlıklı çalışmasını  sağlamaktan sorumlu olacaklardır.

Sadece kayıtlı kullanıcılar yorum yazabilir.
Lütfen sisteme giriş yapın veya kayıt olun.