عملت العولمة السريعة للتجارة العالمية على تحويل الشركات والمؤسسات التقليدية التي تعتمد على معاملات قائمة على عمليات تتم وجهاً لوجه إلى أشكال إلكترونية جديدة للتجارة تتم فيها المعاملات بصورة غير شخصية ضمن مناطق جغرافية مختلفة. وقد تم هذا التحول بفضل النمو الهائل في تكنولوجيا المعلومات والاتصالات (ICT) فالشركات اليوم تعتمد بقوة على أنظمة تكنولوجيا المعلومات والاتصالات لتسيير عملياتها يوما بعد يوم.
وقد أجبرت تحديات العمل وضرورة الوصول إلى الزبائن والعملاء في شتى بقاع الأرض المنظمات إلى إتاحة نظمهم الداخلية للغرباء مثل الموردين والعملاء، و الشركاء مما عمل على كسر مفهوم الحدود الخارجية كجزء من استراتيجيات أمن المنظمات.
وتأسيسا على ذلك بدأت المنظمات في القطاعين العام والخاص تدرك قيمة إدارة الهوية والوصول إلى المعلومات كضرورة لتلبية الاحتياجات ذات المهام الحرجة وضمان الوصول الملائم إلى الموارد عبر بيئات تكنولوجيا غير متجانسة، وتلبية المتطلبات الدقيقة، مما تطلب مؤسسات أكثر انفتاحا قادرة على إنشاء هويات لهؤلاء المستخدمين والتأكد من هوية هذه الكيانات المتواجدة على البعد، وتوفير ضمانات لهذه الهوية وضمانات إذن الوصول. على الرغم من أن أولويات إدارة الهوية تختلف من قطاع إلى آخر، إلا أن هناك أساس مشترك لإدارة الهوية والوصول يتكون تدريجيا من خلال بناء الثقة بين العملاء والمؤسسة.
تعريف إدارة الهوية (IDM) Identity Management
تعني إدارة الهوية السيطرة والتحكم بالمعلومات الخاصة بالمستخدمين على أجهزة الكمبيوتر. إدارة الهوية هي العملية المسئولة عن السماح للمستخدمين باستعمال خدمات تكنولوجيا المعلومات و البيانات وغيرها من الأصول. وتساعد إدارة الوصول في حماية السرية والسلامة وتوفّر الأصول، وذلك بالتأكد من إمكانية المستخدمين المصرح لهم فقط الوصول إلى تلك الأصول والتعديل فيها.
الهوية الرقمية هو وجود كيان على الإنترنت، وتشمل المعلومات الشخصية (PII) والمعلومات الإضافية. ويمكن أن تفسر على أنها تدوين أسماء هوية وسمات مماثلة للكيانات المادية بطريقة تسهل المعالجة.
وظائف إدارة الهوية:
تنطوي إدارة الهوية على الإنترنت على ثلاث وظائف أساسية:
هوية نقية Pure Identity:
إنشاء وإدارة وحذف الهويات دون النظر إلى خصائص إدارة الوصول أو الاستحقاقات؛ التي يمكن استخدامها خارجيا لأغراض أمن المعلومات, حيث يتم تخزينها ببساطة والمحافظة عليها واسترجاعها.
وصول المستخدم User Access :
وصول المستخدم يفترض امتلاكه الهوية الرقمية واستخدامها عبر تطبيقات محددة. استخدام هوية واحدة لمستخدم معين عبر نظم متعددة يسهل المهام للمسئولين والمستخدمين. ويسهل من عملية الرصد والتحقق والوصول ويسمح للمنظمة الحد من الامتيازات المفرطة الممنوحة لمستخدم واحد. كما يمكن تتبع المستخدم ابتداءً من لحظة وصوله حتى انتهاء مهمته.
الخدمة Services:
وتعني نظم تسليم الخدمة استناداً للدور على الإنترنت، وبناء على الطلب، والمحتوى. فمواصلة المنظمات تقديم الخدمات لكلا المستخدمين الداخليين والعملاء الخارجيين, يتطلب تقديم العديد من الخدمات التي توفرها إدارة الهوية بشكل صحيح. وقد تم تقسيم تطبيقات وظائف إدارة الهوية بحيث يمكن لهوية واحدة أن تخدم عدة أنشطة أو جميع أنشطة المنظمة.
استخدام إدارة الهوية الداخلي يقتضي التحكم والوصول إلى جميع الأصول الرقمية، بما في ذلك أجهزة، ومعدات الشبكات والخوادم، والبوابات، والمحتوى، والتطبيقات و / أو المنتجات. وغالبا ما تتطلب هذه الخدمات الحصول على معلومات شاملة حول المستخدم، بما في ذلك دفاتر العناوين، والأفضليات، والاستحقاقات ومعلومات الاتصال؛ لأن الكثير من هذه المعلومات يخضع لخصوصية و / أو متطلبات السرية، ومن الطبيعي أن يكون التحكم في الوصول إليها أمرا حيويا.
نظم التحقق من الهوية Identity Verification Service
رغم وجود العديد من تقنيات التحقق من الهوية مثل حضورك بنفسك للتحقق من هويتك أو أساليب التحقق البيولوجي من الهوية بالاعتماد على الصفات الشخصية والسمات الجسدية للأشخاص مثل فحص حمض DNA الخاص بك أو بصمة الإبهام أو بصمة العين، تبقى كلمات السر وأسماء المستخدمين هي الوسيلة الأكثر شيوعا للتحقق من الهوية. وتعتمد هذه الوسائل أساسا على تحديد حقوق نفاذ المستخدمين إلى الشبكات، وحصرها بما يحتاجه كل مستخدم. تتطلب هذه التقنيات الكثير من المهارة والتخطيط الواعي قبل تطبيقها كي تحقق النجاح فالمستخدم هو الأساس user centric في ضبط الإنترنت. كما أنه لا يوجد تشريعات تؤمن الحماية بالكامل في عدم وجود جهة تملك الإنترنت، فما يطبق في دولة لا يطبق في دولة أخرى.
تتكون نظم التحقق من الهوية من ثلاث تقنيات هامة هي:
خدمات الأدلة Directory Services
برمجيات خدمات الأدلة هي عبارة عن قواعد بيانات خاصة، ذات مستو عال من الأمان عادة، ومصممة لجمع، وإدارة المعلومات المتعلقة بمستخدمي الشبكات. ولا يقتصر دور هذه البرمجيات على جمع كلمات السر وأسماء المستخدمين، بل تطورت اليوم لتشمل السمات البيولوجية للمستخدمين. ويتم استخدام هذه المعلومات لتحديد حقوق المستخدمين على الشبكة بجميع مكوناتها كالتطبيقات، والأجهزة الخادمة، والمجلدات، وحتى شكل الشاشة التي يستعملها المستخدم. وتُدار هذه كلها بشكل مركزي من مكتب مدير الشبكة دون الحاجة للقيام بأية زيارات إلى الأجهزة أو المستخدمين.
البنية التحتية للمفاتيح العامة Public Key Infrastructure-PKI
تعتمد هذه التقنية على تقنيات تشفير البيانات، أو تعميتها scrambling اعتمادا على علاقات رياضية خاصة تجمع ما بين مفتاحين (أو بالأحرى كلمتين سريتين) أحدهما عام والآخر خاص. فعند إرسال رسالة message (كلمة رسالة هنا تشمل أي نوع من المعلومات المتناقلة بين النظم الإلكترونية بما في ذلك الأوامر التي تتناقلها التطبيقات بين بعضها البعض) يقوم التطبيق الموجود على جهازي بتشفيرها، أو تعمية بياناتها، باستخدام كلمة سر غير معروفة لأحد سواي، ثم تشفيرها ثانية بالمفتاح العام للمُستقبِل. والسبيل الوحيد الذي يمكن به للمُستقبِل أن يتعامل مع هذه الرسالة يتمثل في فك تشفيرها، أو الكشف عن بياناتها، باستخدام مفتاحه الخاص (أو كلمته السرية) أولا، ومن ثم استخدام مفتاحي العام لفك شيفرتي الخاصة.
الشبكات الافتراضية الخاصة Virtual Private Networks
وهذه الطريقة أكثر أمنا للتحكم في الأشخاص الذين يمكنهم النفاذ إلى شبكتك. وتتلخص هذه التقنية بإقامة قناة خاصة وسيطة عبر الشبكة العامة، لا ينفذ من خلالها إلا من يقوم بتحديده مدير الشبكة. وفي هذه الحالة يمكن للمستخدمين المعينين النفاذ إلى الشبكة عبر الإنترنت وإسقاط الحزم الواردة من أية جهات أخرى غير هؤلاء المستخدمين.
تشكل هذه التقنيات الثلاث بنية تحتية شاملة للتحقق من هوية المستخدمين، وضمان تحديد حقوق النفاذ.
نظم إدارة الهوية والوصول Identity and Access Management System
أصبحت الهوية نقطة محورية جديدة في الاقتصاد العالمي, حيث أخذت تشكل حجر الأساس في التفاعلات الاجتماعية والتجارية والتعليمية. مما يفرض على أي من أنظمة الهوية بناء "إطار الطمأنينة" الذي يستطيع تلبية المتطلبات من الأنظمة التنفيذية والقواعد القانونية اللازمة لتحديد نظام هوية جدير بالثقة. ومع ذلك، فإن المسألة الحاسمة تكمن في حقيقة أن هناك عدد قليل من النظم التي توفر قدرات قوية ومستويات عالية من الثقة والاطمئنان مع الإدراك بأن الثقة تتكامل بشكل معقد مع إدارة الثقة مما يدعو للقول بأن الهوية الموثوق بها هي المفتاح الأساس لحماية الخصوصية.
تعتبر نظم إدارة الهوية والوصول الإطار العام للأعمال التي تسهل إدارة الهويات الإلكترونية. يشمل هذا الإطار التكنولوجيا اللازمة لدعم إدارة الهوية. توفر تقنيات إدارة الهوية والوصول إلى المعلومات، أنظمة حماية متقدمة لحماية الأنظمة والتطبيقات والبيانات الحساسة، ولتحسين وتبادل المعلومات، ولتعزيز حماية الخصوصية. نورد هنا بعض الشركات والنظم الرائدة في هذا المجال:
- CA Technologies IdM
- Oracle IM 11g
- Nakina Systems NI-Guardian.
- Fischer International Identity
- Hitachi ID IdM
- SailPoint
- Microsoft Forefront IM 2010
حلول إدارة الهوية والوصول في بيئة التعليم العالي
تشكل بيئة التعلّم في مؤسسات التعليم العالي عاملاً أساسياً في تطوّرها ونموها. مما يتطلب توظيف أحدث ما توصلت إليه تكنولوجيا المعلومات والاتصالات لتعزيز العملية التعليمية .
تقدم إدارة الهوية والوصول (Identity and Access Management (IAM الخدمات الموجهة للجامعات بكل سلاسة ويسر عبر أقسام الجامعات باختلاف أحجامها، ويمكن تنفيذها إما داخل مقار الجامعة أو عن طريق "الهوية كخدمة في بيئة استضافة خارجية" أو كليهما.
عند توجه الجامعات والكليات لبرامج إدارة الهوية، نراها عادةً ما تفضل اختيار تطبيقات الإدارة الذاتية القادرة على إدارة وتوسيع نطاق الحلول دون الرجوع إلى الخدمات المهنية للمزودين أو التعاقد مع مبرمجين مما يزيد التكلفة.
نستعرض هنا بعض الحلول التي تندرج تحت فئة إدارة الهوية و التي يمكن أن تشمل على:
بوابة الخدمة الذاتية Self-Service Portal:
تتيحها كثير من تطبيقات إدارة الهوية مثل فيشر Fischer أو أوراكل Oracle أو غيرها من الشركات المتخصصة، وهي وسيلة فعالة لإتاحة نقاط الوصول بحيث تسهل وصول المستخدم إلى المعلومات والأصول التجارية عبر طلبات الخدمة الذاتية للمستخدم. ويمكن تجميع الأصول وعرضها حسب الاحتياج أو حسب الوظيفة أو الدور.
يمكن للمديرين والذين يتمتعون بصلاحيات القيام بطلب الإضافة أو التغيير أو إزالة الوصول إلى الموارد من خلال بوابة الخدمة الذاتية التي تعرض الموارد المتاحة لكل مستخدم (المدراء عادة يحددون الموارد التي ينبغي لموظفيهم الوصول إليها) ولديهم تخويل بالموافقة أو الرفض، والسؤال عن معلومات إضافية.
توحيد المعايير سواء للموظفين الداخلين أو العملاء أو المتعاقدين يسهل من عمليات الوصول إلى الموارد بسرعة واسترداد الأصول المادية والحفاظ على بيانات المستخدم وسجلات التدقيق والإجراءات التي تم أداؤها من قبل المستخدمين السابقين.
أتمتة الأدوار وإدارة الحساب Automated Role & Account Management
الأدوار المؤتمتة وإدارة الحساب هي حلول مُثلى في العمليات المتكررة والتي عادة ما تكون مكلفة، تتطلب الوقت والموارد. وهي تعمل على تمكين وصول المستخدم إلى مصادر الجامعة والمعلومات والأصول المادية أو إجرائُه العمليات مثل: استئجار، إنهاء الخدمة، والترقية، إضافة عميل جديد؛ وذلك وفق السياسات الأمنية للمؤسسة التعليمية. كما يتم الكشف عن الأحداث الجارية في الوقت الحقيقي لتحديد الإجراءات اللازمة و القيام بالعمليات المترتبة لضمان تلقي المستخدمين خدماتهم بأسرع وقت. تتم جميع العمليات من خلال واجهة المستخدم الرسومية دون الحاجة إلى الترميز أو البرمجة أو المتطلبات التي قد تكون أكثر تعقيدا، مما يمكن المنظمات من تقديم الدعم بسرعة وفعالية والاستجابة للتغيرات الغير المتوقعة.
إعادة تعيين كلمة المرور والتزامن Password Reset and Synchronization
إعادة تعيين كلمة المرور والتزامن يحسن رضا المستخدمين ويخفض من تكاليف إعادة تعيين كلمة المرور مع حفاظ المستخدمين على الإنتاجية عن طريق السماح لهم بإعادة تعيين كلمات المرور الخاصة بهم التي تم نسيانها.
العديد من المنظمات تناضل من أجل تحقيق التوازن بين التكلفة العالية لإعادة كلمات السر المنسية وتأمين أصول تكنولوجيا المعلومات الخاصة بهم عن طريق اشتراط كلمة مرور قوية بما فيه الكفاية. وغالبا ما تتفاقم المشكلة عن طريق السياسات التي تجبر المستخدمين على تغيير كلمات المرور الخاصة بهم بشكل دوري، كما يلجأ بعض المستخدمين إلى كتابة كلمات المرور الخاصة بهم في مواقع غير آمنة، حتى في بعض الأحيان في مرمى الجميع. وقد يعني هذا فقدان الإنتاجية والمبيعات أو تأخر إنجاز المهام سواء للطلبة أو المسئولين عند اضطرارهم الانتظار بفارغ الصبر لمكتب المساعدة أو للمسئولين لإعادة تعيين كلمات المرور الخاصة بهم.
إعادة تعيين كلمة المرور والتزامن هي حلول مثالية لمثل هذه المشاكل وتتم من خلال مجموعة شاملة من قدرات إدارة المرور بما في ذلك خدمة كلمة المرور الذاتية password self-service ، وإنفاذ السياسات policy enforcement ومزامنة كلمات المرور password synchronization. يمكن للمستخدمين إعادة تعيين كلمات المرور الخاصة والتي نسوها من دون الاتصال بمكتب المساعدة، إما من خلال الاستجابة لمجموعة من الأسئلة، أو من قبل مصادقة مع وثائق تم تفويض الحصول عليها من حساب في نظام اتصال آخر.
إدارة امتياز الوصول Privileged Access Management
الامتياز Privilege هو حق يعطي المستخدم إجراء عمليات أو استخدام بعض وظائف النظام اعتمادا على الصلاحيات الممنوحة له. ذلك يعني حصر الوصول إلى بعض المصادر على الكيانات المخولة أو ذات الامتياز. وعادة ما يكون الشخص صاحب الامتياز هو المستخدم الذي يعاون المستخدمين الآخرين ويساعد في الاتصال بمكتب الخدمة أو أجزاء أخرى لدى مقدم خدمة تكنولوجيا المعلومات، غالبا ما يكون لدى المستخدم المميز خبرة في عمليات العمل المدعومة من خدمات تكنولوجيا المعلومات، ويقوم عادة بتقديم الدعم في حالات الحوادث البسيطة، وفي التدريب.
إدارة امتياز الوصول هي حلول للخروقات الأمنية، والاحتيال، والانتهاكات التي يمكن أن تنجم عن وصول غير منضبط إلى الإدارة، إدارة امتياز الوصول يتميز برقابة إضافية، وصلاحية لمراجعة الحسابات والوصول إلى حسابات مشتركة متميزة وغيرها من أي أنظمة متصلة؛ وخاصة في الظروف الطارئة التي تحتاج لإجراءات لا يمكن تأجيلها لضمان عدم المساس بمصالح المستخدم أو المؤسسة.
الحوكمة وإدارة المخاطر والامتثال Regulatory Compliance and Access Governance
تضمن التنفيذ الفعلي للسياسات والخطط الاستراتيجية ، والتأكد من أن العمليات المطلوبة يتم اتباعها بشكل صحيح. تشمل الحوكمة تعريف الأدوار والمسئوليات، والقياس ورفع التقارير واتخاذ الإجراءات لحل أي من المسائل المكتشفة.
تسهم الحوكمة وإدارة المخاطر والامتثال في دفع عمليات التقييم الاستباقية للمخاطر والضوابط لتعزيز برامج الامتثال حيث تأتي حلول الحوكمة والمخاطر والامتثال مع أدوات تحكم محددة ومميزات أمنية تصحح المخاطر والتهديدات الناجمة عن التقنيات السحابية والافتراضية والاجتماعية والقدرات التي تسمح للمنظمات بدمج أمن المعلومات ومخاطر تكنولوجيا المعلومات وحوكمة ومخاطر وامتثال الشركة والتي تسيّر أداء الشركة.
تسجيل الدخول الأحادي الآمن Federated and Web Single Sign-On
تسمح حلول تسجيل الدخول الأحادي الآمن للمستخدمين بالتنقل بين الموارد الداخلية ومجموعة النظراء دون الحاجة لتسجيل الدخول عدة مرات. يمكنك إضافة حلول تسجيل الدخول لمرة واحدة إلى مدخل الويب.
تسجيل الدخول الأحادي يمكن المنظمات من إعلاء رضى المستخدمين النهائيين والحد من النفقات العامة الإدارية للوصول. ويمكن للمنظمات أيضا توسيع نطاق عملياتها التجارية، والخدمات، وأصول المعرفة لمستخدم آخر موثوق به دون تكبد تكلفة وجهد لإنشاء وإدارة العديد من الحسابات والمعرفات الخاصة بالمستخدم.
اعداد: هيام حايك
المصادر:
http://www.fischerinternational.com/industries/higher_education.htm
http://www.emiratesid.gov.ae/ar/research-and-studies.aspx
li