facebook
Exkluzivní partner sekce
Tematické sekce
 
Branžové sekce
Přehledy
 
Tematické seriály
Nové!

GDPR

General Data Protection Regulation zásadně mění zpracování osobních údajů a zavádí nové povinnosti...

články >>

 
Nové!

Jak uřídit IT projekt a nezbláznit se

Užitečné tipy a nástroje pro řešení problémů řízení inovací a vývoje produktů...

články >>

 
Nové!

Industry 4.0

Průmysl 4.0

Jaký vliv bude mít čtvrtá průmyslová revoluce na výrobu a výrobní firmy?

články >>

 

Komplexní svět eIDAS

O nařízení eIDAS již bylo mnoho řečeno i napsáno. A proto jediné, o čem...

články >>

 

Trendy v CRM

Systémy pro řízení vztahů se zákazníky (CRM) prochází v posledních letech výraznou změnou. Zatímco dříve...

články >>

 

Příručka úspěšného IT manažera

Dnes je řada IT manažerů opomíjena. Úspěšní bývají brouci Pytlíci a Ferdové...

články >>

 

Pokročilá analýza provozu datových sítí

V tomto čtyřdílném seriálu vás seznámíme s různými metodami a přístupy...

1. až 4. díl >>

 

Cesta k efektivnímu identity managementu

Správa identit a přístupů (IAM) je klíčová oblast pro zaručení bezpečnosti...

1. až 9. díl >>

IT SYSTEMS 4/2015 , IT Security

Cesta k efektivnímu identity managementu (3. díl)

Řízení přístupů



EvolveumSpráva identit a přístupů (Identity and Access Management, IAM) je relativně široká oblast, složená z mnoha spolupracujících technologií. Jedna z nich však silně vystupuje do popředí: řízení přístupů (Access Management, AM). Není to proto, že by byla důležitější než ostatní. Ale na rozdíl od ostatních IAM technologií, které si pokojně žijí někde v pozadí informační infrastruktury, technologie na řízení přístupů vstupují uživateli přímo do cesty. Do této skupiny patří zejména technologie jednotného přihlašování (Single Sign On, SSO) a částečně i různé autentizační a autorizační technologie. Pokud se nemůžete přihlásit do informačního systému, může za to zřejmě některá z komponent, o kterých je tento článek.


V tradičních aplikacích si většinou autentizaci, autorizaci a podobné bezpečnostní mechanismy implementuje každá aplikace samostatně. Tento přístup je zjevným plýtváním zdrojů, jelikož provozovatel musí platit za tu samou funkcionalitu několikrát – a to nejen za její vývoj, ale i za její konfiguraci a provoz. Navíc jednotlivé aplikace o sobě navzájem nevědí a uživatel se musí přihlásit do každé aplikace zvlášť. Řešením právě těchto problémů se zabývají technologie správy přístupů.

Zjednodušeně by se dalo říci, že základním principem řízení přístupů je oddělení autentizace uživatele od aplikací. Přihlášení (autentizace) uživatele v tomto případě zabezpečuje centralizovaná komponenta většinou označovaná jako SSO nebo AM server. Ta zabezpečí, aby uživatel nemusel zadávat svoje přihlašovací údaje pro každou aplikaci zvlášť, ale jen při prvním přístupu k některé z integrovaných aplikací.

Proces jednotného přihlášení zabezpečovaný centrálním autentizačním serverem by se dal popsat následovně. V případě prvního přístupu k aplikaci je uživatel přesměrován na SSO server, kde se pomocí svých přihlašovacích údajů autentizuje. Po úspěšném přihlášení je následovně přesměrován zpět na aplikaci spolu s „tokenem“ obsahujícím informace o přihlášení uživatele. V případě, že se tento uživatel rozhodne přistoupit k jiné aplikaci, je znovu přesměrovaný na SSO server. Nyní už SSO server ví, že uživatel byl autentizován a je okamžitě přesměrován zpět na aplikaci, která na základě existujícího „tokenu“ umožní uživateli přístup. Dokud se uživatel neodhlásí z některé aplikace nebo nepřekročí definovaný čas nečinnosti, může pracovat s aplikací bez nutnosti opětovného přihlášení.

Částečně může SSO server zabezpečit i autorizaci. Granularita této autorizace je většinou jen na úrovni povolení/zamítnutí přístupu úspěšně autentizovaného uživatele k dané aplikaci. O jemnější granularitě autorizací, jako je například oprávnění vykonávat konkrétní akci nebo možnost zobrazit určitý prvek v menu, už rozhoduje každá aplikace samostatně.

Tento jednoduchý princip má svoje výhody. Mezi nejvýraznější z nich patří flexibilita. Představme si, že se změní bezpečnostní požadavky na autentizaci. Zatímco v případě klasického řešení je potřebné upravovat každou aplikaci zvlášť, při využití jednotného přihlášení stačí pouze změnit způsob autentifikace na straně SSO serveru. Kromě toho SSO server může vyhodnotit odkud a v jakém čase se uživatel přihlašuje, porovnat to s předcházejícími přístupy a vynutit silnější autentifikaci, pokud se jeho zvyky najednou změní. Ať už jde o změnu bezpečnostní politiky, globální autorizace nebo je potřebná implementace dvoufaktorové autentizace, všeho se dá dosáhnout jen změnou SSO serveru bez zásahu do aplikací.

Z dlouhodobého hlediska správa přístupů šetří nemalé prostředky, přesto nemůžeme zapomínat, že i to má svou cenu. Menší část celkové ceny projektu představuje nasazení a přizpůsobení samotného SSO serveru, tu větší potom integrace jednotlivých aplikací. Aplikace, které mají být součástí řešení, je potřebné přizpůsobit a to modifikovat nebo překonfigurovat jejich nativní autenzizační mechanismus. Cena těchto modifikací, potřebného testování a organizačních nákladů často několikanásobně převýší cenu SSO serveru.

Při nasazování systémů řízení přístupů je tu však jeden kritický moment a tím je potřeba spolehlivé centrální databáze uživatelů. Tento požadavek se zdá být triviální, ale ve většině případů je to obrovský problém. Přesto, že množství aplikací umožňuje jednoduché připojení na systémy řízení přístupů, častokrát používají své databáze uživatelů a velmi často používají různé identifikátory pro stejné uživatele. Proto je nepravděpodobné, že by bylo možné nasadit technologie řízení přístupu přímo na existující informační systém bez předcházející přípravy.

Nasazení systému na řízení přístupů proto předchází nasazení systému na správu identit (IdM). IdM systém je využit právě na unifikaci databází uživatelů jednotlivých aplikací a vytvoření centrální databáze, většinou reprezentované adresářovým systémem. Po „uklizení“ identit je možné nasadit systém pro správu přístupů.

Produktů na řízení přístupů je mnoho. Jsou to nákladné komerční produkty, dostupné produkty s otevřeným zdrojovým kódem, jednoduché i přespříliš komplikované produkty a téměř každý zákazník si najde to svoje. Problémem je však jejich vzájemná kompatibilita a proto je potřebné vybírat produkt velmi zodpovědně. V neposlední řadě je důležité si uvědomit celkové náklady nasazení systému na správu přístupů. Jak už bylo řečeno, ty se váží zejména na poznání současného stavu, potřebu unifikace databází jednotlivých aplikací, potřebu vytvoření centrální databáze a potřebu přizpůsobit autentizační mechanismy připojených aplikací.

Technologie řízení přístupu jsou pověstnou špičkou ledovce v IAM řešení. Jednotné přihlášení, centrální vynucování autentizačních politik a další vlastnosti těchto technologií jsou tím, co běžný člověk (ne zcela správně) vnímá pod názvem „správa identit“. Aby tato špička ledovce dokázala efektivně plnit svůj účel, jsou potřebné i další technologie, které jsou skryté pod hladinou vnímání běžného uživatele. Proto, pokud chcete efektivně implementovat tyto technologie, je vhodné požádat o pomoc zkušeného odborníka s širokým přehledem v celé IAM oblasti.

Ing. Radovan Semančík, PhD., Evolveum Ing. Radovan Semančík, PhD.
Autor pracuje ve společnosti Evolveum na pozici softwarového architekta a specialisty na správu identit. Navrhoval jedno z prvních řešení správy identit ve střední Evropě a podílel se na návrhu a nasazení mnoha komplexních řešení v oblasti správy identit. Momentálně věnuje většinu svého času vedením projektu midPoint, který je nejrozsáhlejším volně dostupným open source systémem pro správu identit.
Ing. Katarína Valaliková, Evolveum Ing. Katarína Valaliková
Autorka pracuje ve společnosti Evolveum na pozici softwarového vývojáře a specialisty na správu identit. Většinu svého času investuje do vývoje systému midPoint. Kromě toho se věnuje nasazování systémů zabezpečujících jednotné přihlášení.
 
Spoluautor Stanislav Grünfeld, MBA
působí ve společností AMI Praha jako ředitel realizace a je zodpovědný za projekty v oblasti identity managementu.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.
POINT.X


Inzerce

Monitoring eventů a logů ušetří čas i peníze

C SYSTEM CZJe mnoho důvodů, proč by se každá firma měla starat o to, co se děje s jejími daty a jak pracují její systémy. Je to podstatné pro zajištění stabilního běhu všech komponent vlastní IT infrastruktury, informačních systémů a pracovních stanic, ale je to důležité třeba z pohledu zajištění bezpečnosti dat.