Wyzwania i ryzyka związane z zarządzaniem oprogramowaniem licencjonowanym w oparciu o użytkowników

Wśród wielu istniejących miar licencyjnych model licencjonowania oprogramowania oparty o użytkownika jest jednym z bardziej popularnych. Producenci oprogramowania oferują w tym modelu wiele miar licencyjnych, co z jednej strony oferuje dużą elastyczność w zakresie dopasowanie sposobu licencjonowania do potrzeb klienta, ale z drugiej strony znacznie komplikuje proces zarządzania licencjami. Mnogość oferowanych miar rodzi też inne problemy, związane zarówno z brakiem jednolitych standardów, jak i precyzyjnych, uniwersalnych i ogólnie akceptowalnych definicji miar. W rezultacie identycznie nazwane miary licencyjne u dwóch różnych producentów mogą w rzeczywistości działać na zupełnie różnych zasadach. Ponadto, w niektórych scenariuszach użytkownik końcowy musi sam, manualnie lub przy użyciu autorskich rozwiązań, monitorować poziom wykorzystania licencyjnego, co jest kluczowe dla zapewnienia zgodności licencyjnej.

Postaram się pokrótce omówić najbardziej popularne miary licencyjne oparte o użytkownika, jak i najbardziej typowe problemy licencyjne z nimi związane. Z uwagi na brak spójności w zakresie warunków licencjonowania u różnych producentów oprogramowania nie jest możliwe stworzenie uniwersalnej klasyfikacji miar licencyjnych opartych o użytkownika, dlatego też na potrzeby niniejszego artykułu proponuję autorską klasyfikację miar licencyjnych opartych o użytkownika w podziale na dwie poniższe grupy. Część pierwsza artykułu skupi się na miarach sklasyfikowanych ze względu na sposób liczenia użytkowników, podczas gdy część druga będzie poświęcona miarom sklasyfikowanym ze względu na nałożone ograniczenia lub przeznaczenie licencji. Przedstawiona klasyfikacja i jej omówienie w niniejszym artykule stanowi przekrojowe zarysowanie problemu – w kolejnych artykułach zostaną szczegółowo omówione kwestie licencyjne dotyczące poszczególnych dostawców oprogramowania.

1) Klasyfikacja ze względu na sposób liczenia użytkowników:

a) miary licencyjne oparte o użytkownika imiennego,

b) miary licencyjne oparte o jednoczesnego użytkownika.

2) Klasyfikacja ze względu na nałożone ograniczenia lub przeznaczenie licencji:

a) miary licencyjne ograniczone geograficznie,

b) miary licencyjne ograniczające funkcjonalność programu,

c) miary licencyjne uwzględniające relacje użytkownika z firmą,

d) miary licencyjne uwzględniające częstotliwość użytkowania programu.

Klasyfikacja ze względu na sposób liczenia użytkowników: miary licencyjne oparte o użytkownika imiennego:

Named User (Użytkownik Imienny) / Authorized User (Użytkownik Autoryzowany). W przypadku tej miary licencyjnej, unikalny użytkownik (osoba fizyczna) ma przypisaną dla siebie na stałe licencję na używanie danego programu lub dostęp do niego. Kluczowe jest tutaj rozróżnienie, czy licencja jest wymagana w zależności od tego, czy program jest używany, czy też wymóg licencyjny jest implikowany poprzez sam dostęp do oprogramowania lub jego poszczególnych funkcji. Warto również wspomnieć o tym, że szczegółowe zapisy licencyjne mogą narzucać dodatkowe ograniczenia. Przykładem może być np. SAP BusinessObjects BI Platform, które od wersji 4.1 Support Pack 10 lub BI 4.2 Support Pack 4 umożliwia każdemu użytkownikowi imiennemu otwarcie maksymalnie do dziesięciu sesji.

Wyzwania i ryzyka licencyjne:

• Nadanie dostępu zbyt dużej liczbie użytkowników: w przypadku, jeśli dana licencja jest wymagana dla każdego użytkownika, który posiada dostęp do oprogramowania (bez względu na to czy jest jego użytkownikiem czy też nie), bieżąca konfiguracja środowiska na poziomie mechanizmów uwierzytelniających może przyczynić się do przekroczeń licencyjnych. Dobrym przykładem może być tutaj zastosowanie mechanizmów SSO (single sign-on) dla aplikacji webowych (np. IBM Cognos), gdzie w przypadku braku zastosowania dodatkowych restrykcji dostępowych (np. dodatkowe uwierzytelnianie na poziomie programu, lub ograniczenia sieciowe) może dojść do sytuacji, w której wszystkie osoby posiadające aktywne konta w usłudze katalogowej będą wymagać licencji na dany program, pomimo iż z oprogramowania korzysta jedynie wąska grupa użytkowników.

• Konta generyczne: częstą praktyką, zwłaszcza w przypadku użytkowników pełniących np. funkcję administratora systemu, jest współdzielenie jednego konta przez kilka osób. Choć praktyka ta jest wygodna z punktu widzenia użytkownika, stwarza ryzyko na poziomie licencyjnym – może tutaj bowiem dojść do sytuacji, w której organizacja wykorzystuje w rzeczywistości większą liczbę licencji aniżeli by to wynikało z liczby kont, poprzez które użytkownicy posiadają dostęp do programu.

• Zmiana użytkownika: w większości przypadków licencja, która jest przydzielona konkretnemu użytkownikowi, nie może być wykorzystywana przez innych użytkowników, jednak w przypadku zmian organizacyjnych, czy też odejścia pracownika z firmy, raz przydzieloną licencję można przenieść na innego użytkownika po spełnieniu wymagań określonych przez producenta. Jednym z bardziej typowych podejść licencyjnych jest konieczność odczekania określonego czasu od ostatniego użycia (np. 90 dni w przypadku Citrixa) zanim licencja może zostać ponownie przypisana innemu użytkownikowi. Podobny okres musi minąć, zanim używana licencja może zostać uznana za nieaktywną i przestać być wliczana do puli wszystkich licencji używanych przez firmę (w przypadku Micro Focus jest to np. 120 dni). Niedostosowanie się do tych zasad stwarza ryzyko zaistnienia sytuacji, w której organizacja będzie wymagać większej liczby licencji aniżeli wskazywałaby na to liczba użytkowników, która faktycznie posiada dostęp do oprogramowania.

Klasyfikacja ze względu na sposób liczenia użytkowników: miary licencyjne oparte o jednoczesnego użytkownika:

Concurrent User (Użytkownik Jednoczesny) / Floating User (Użytkownik Sieciowy) – jest to miara licencyjna określająca liczbę użytkowników, którzy mogą jednocześnie używać dane oprogramowanie. W przypadku wielu dostawców oprogramowania nazwa Concurrent User oraz Floating User są używane wymiennie, ale nie jest to regułą – np. w przypadku oprogramowania IBM, są to dwie osobne miary – w przypadku licencji Floating User jeżeli użytkownik ma jednoczesny dostęp do kilku instalacji programu (bezpośrednio lub pośrednio), dla każdej z nich wymagana jest oddzielna licencja, podczas gdy w przypadku miary Concurrent User różne sesje tego samego użytkownika w tym samym czasie (również na różnych maszynach) nie wymagają oddzielnych licencji. Co istotne, w tym modelu licencyjnym wielu producentów oferuje zautomatyzowany system zarządzania licencjami. Przykładem może być dedykowany serwer licencyjny, który jest odpowiedzialny za dystrybucję licencji pomiędzy użytkownikami – w takim przypadku każdy zalogowany użytkownik otrzymuje licencję z dostępnej puli zainstalowanych licencji, a po zakończeniu użytkowania licencja ta jest zwracana i może zostać wykorzystana przez kolejnego użytkownika. Może ona być dostępna do użycia natychmiast lub też po upływie określonego czasu (np. 24 godziny), wskazanego przez dostawcę oprogramowania w warunkach licencyjnych. Należy jednak mieć na uwadze, że wbudowany system monitorowania nie jest regułą, a jego brak może stwarzać ogromne ryzyko licencyjne dla organizacji.

Wyzwania i ryzyka licencyjne:

Licencje niezarządzane przez serwer licencyjny:

• Brak wbudowanego mechanizmu monitorowania wykorzystania licencyjnego: w przypadku części produktów oferowanych przez dostawców oprogramowania (np. IBM), producent nie dostarcza żadnego gotowego rozwiązania pozwalającego monitorować poziom wykorzystania licencyjnego, a niekiedy również brak jest mechanizmu, który informowałby o zbliżeniu się do limitu licencji, nie mówiąc już o jego przekroczeniu. Sytuacja taka stwarza poważne ryzyko z punktu widzenia licencyjnego, w szczególności biorąc pod uwagę fakt, iż licencje Concurrent / Floating User są zazwyczaj kilkukrotnie droższe od odpowiadających im licencji Named / Authorized User. Zminimalizowanie takiego ryzyka możliwe jest poprzez wprowadzenie własnych metod monitorowania bieżącego użycia licencyjnego (np. z wykorzystaniem zewnętrznego oprogramowania do zarządzania i monitorowania licencji).

Licencje zarządzane przez serwer licencyjny:

• Nieprzekraczalny limit licencji: po osiągnięciu limitu dostępnych licencji, serwer może zablokować dostęp do oprogramowania kolejnym użytkownikom – nie będą oni mogli korzystać z programu do czasu zwolnienia zajętych licencji (np. ·         Micro Focus Asset Manager). Rozwiązanie takie jest bezpieczne z punktu widzenia ryzyka zaistnienia przekroczeń licencyjnych, jednak może stwarzać ryzyko biznesowe, np. w przypadku niedoszacowania liczby potrzebnych licencji w przypadku aplikacji kluczowych z punktu widzenia operacyjnej ciągłości działania organizacji.

UWAGA: Producenci oprogramowania różnorodnie podchodzą do kwestii przekroczenia liczby dostępnych licencji. W niektórych przypadkach (np. Citrix), użytkownik ma możliwość przekroczenia liczby dostępnych licencji o 10 procent. Zgodnie z warunkami licencyjnymi użytkownik końcowy jest wtedy zobowiązany do zakupu brakujących licencji w przeciągu 30 dni od wystąpienia przekroczenia.

• Nieprawidłowości w działaniu serwera: problem tzw. „licencji wiszących” (także: „licencji zombie”) (np. Micro Focus) związany z brakiem możliwości zwrócenia licencji do serwera licencyjnego, np. w przypadku, gdy maszyna użytkownika zawiesi się. Powyższe okoliczności mogą doprowadzić do sytuacji, w której organizacja ma w efekcie dostęp do mniejszej liczby licencji, aniżeli zakupiła.

Powyższe rozważania podsumowują jedne z najistotniejszych ograniczeń i zagrożeń licencyjnych związanych z miarami licencyjnymi typu Authorized / Named oraz Concurrent / Floating User. Choć omówione powyżej kwestie adresują najpopularniejsze wyzwania w tym obszarze, z pewnością istnieje materiał do głębszych rozważań na temat innych wyzwań wynikających bezpośrednio ze szczegółowych zapisów umów licencyjnych poszczególnych producentów oprogramowania.

W drugiej części artykułu skupimy się na wyzwaniach i ryzykach związanych z zarządzaniem oprogramowaniem licencjonowanym w oparciu o użytkowników w kontekście miar licencyjnych sklasyfikowanych ze względu na nałożone ograniczenia lub przeznaczenie licencji oraz dokonamy podsumowania kluczowych wniosków płynących z obu części artykułu.

Zarządzanie oprogramowaniem (ang. Software Asset Management) jest istotnym elementem obszaru IT każdej firmy, nie tylko ze względu na optymalizację kosztów, ale także poprawienie bezpieczeństwa systemów i aplikacji. SAM to połączenie technologii, kompetencji, procesów i wiarygodnych danych.