facebook
Exkluzivní partner sekce
Tematické sekce
 
Branžové sekce
Přehledy
 
Tematické seriály
Nové!

GDPR

General Data Protection Regulation zásadně mění zpracování osobních údajů a zavádí nové povinnosti...

články >>

 
Nové!

Jak uřídit IT projekt a nezbláznit se

Užitečné tipy a nástroje pro řešení problémů řízení inovací a vývoje produktů...

články >>

 
Nové!

Industry 4.0

Průmysl 4.0

Jaký vliv bude mít čtvrtá průmyslová revoluce na výrobu a výrobní firmy?

články >>

 

Komplexní svět eIDAS

O nařízení eIDAS již bylo mnoho řečeno i napsáno. A proto jediné, o čem...

články >>

 

Trendy v CRM

Systémy pro řízení vztahů se zákazníky (CRM) prochází v posledních letech výraznou změnou. Zatímco dříve...

články >>

 

Příručka úspěšného IT manažera

Dnes je řada IT manažerů opomíjena. Úspěšní bývají brouci Pytlíci a Ferdové...

články >>

 

Pokročilá analýza provozu datových sítí

V tomto čtyřdílném seriálu vás seznámíme s různými metodami a přístupy...

1. až 4. díl >>

 

Cesta k efektivnímu identity managementu

Správa identit a přístupů (IAM) je klíčová oblast pro zaručení bezpečnosti...

1. až 9. díl >>

IT SYSTEMS 6/2015 , Správa IT

Cesta k efektivnímu identity managementu (5. díl)

Architektura IAM řešení



EvolveumSpráva identit a přístupů (Identity and Access Management, IAM) je oblast složená z množství spolupracujících technologií. Neexistuje jediný „IAM produkt“, který by zázračně řešil všechny problémy. IAM není produkt, který byste si mohli koupit. IAM je řešení, které je nutné sestavit z několika produktů. Výsledné řešení bude mírně odlišné pro bankovní, telekomunikační či akademické prostředí. Každé řešení je sestaveno na míru pro konkrétní nasazení.


I když se od sebe jednotlivá nasazení odlišují, většina z nich je založena na třech základních komponentách:

  • Adresářová služba (Directory Service) udržuje centrální databázi uživatelů. Téměř všechny moderní adresářové služby využívají protokol LDAP.
  • Systém řízení přístupu (Access Management) vykonává centrální autentifikaci (SSO), základní autorizaci, zaznamenává přístupy (provádí jejich audit) apod.
  • Provisioning systém zabezpečuje správu databáze uživatelů, její synchronizaci (např. s personalistikou), řídí bezpečnostní politiku apod.

Tyto komponenty byly blíže popsané v předcházejících částech seriálu. V této části si povíme, jak jsou tyto komponenty sestaveny do výsledného IAM řešení. Typickou architekturu IAM řešení ilustruje následující obrázek.

Obr. 1: Typická architektura IAM řešení
Obr. 1: Typická architektura IAM řešení


Srdcem IAM řešení je adresářová služba

Typicky je tato služba implementovaná LDAP serverem. LDAP server udržuje údaje o všech uživatelích systému. Moderní aplikace většinou mají přímou podporu pro LDAP protokol, a je proto snadné je integrovat na adresářovou službu. Zde je však potřebné si uvědomit, že adresářový server je ve své podstatě jen databáze. Dokáže dobře ukládat a vyhledávat údaje o identitách, ale pro jejich správu a použití jsou potřebné další komponenty.

Mozkem IAM řešení je provisioning (IdM) systém

Provisioning systém primárně spravuje údaje v adresářovém (LDAP) serveru. Kromě toho synchronizuje údaje v aplikacích, které nemají podporu pro LDAP, nebo i přes LDAP podporu stále potřebují záznam uživatele v lokální databázi. Nejdůležitější úlohou IdM systému je však řízení životního cyklu identity. Zaměstnanci přicházejí a odcházejí, přesouvají se mezi organizačními jednotkami, odcházejí na rodičovské dovolené, stáže apod. A tak jsou v databázích identit překvapivě dynamické údaje, které je potřebné udržovat. Nejběžnějším zdrojem údajů o zaměstnancích jsou personalistické systémy (HR). IdM systém používá HR databázi jako zdroj údajů. Podle HR databáze ví, kdy má vytvořit LDAP účet pro nového zaměstnance, zablokovat účet pro bývalého zaměstnance, změnit členství ve skupinách při přeřazení zaměstnance apod. Komplexní politiky a algoritmy na správu identit jsou vykonávané IdM systémem. Proto je tento systém zřejmě nejdůležitějším prvkem celého IAM řešení.

Tváří IAM řešení je systém řazení přístupů (AM)

Je to systém, se kterým se uživatelé setkají nejčastěji, protože obsluhuje jejich autentizaci. AM systém typicky řeší i jednotné přihlašování (SSO) a částečně i autorizaci přístupů. Základem efektivního AM systému je konzistentní databáze identit. Proto typický AM systém většinou nemá svoji vlastní databázi, ale spoléhá se na databázi identit udržovanou v adresářovém systému. Zejména při používání SSO mechanismů je důležité, aby identifikátor uživatele byl jednotný ve všech aplikacích. V tomto směru se AM systém spoléhá na politiky a synchronizační mechanismy IdM systému.

Typické použití systému začíná příchodem nového zaměstnance nebo zákazníka. Tato identita se nejprve objeví v HR nebo CRM systému. IdM systém pravidelně tyto záznamy sleduje a hned po přidání záznamu je začne zpracovávat. Potom na základě politik rozhodne, kam má mít nový uživatel přístup a automaticky tyto přístupy přidělí. Jedním z nejdůležitějších záznamů, který IdM systém vytvoří, je záznam uživatele v adresářové službě (LDAP). Když se nový uživatel snaží přistoupit do cílového systému, je přesměrovaný na AM systém se svojí lokální identitou, kterou vytvořil IdM systém, a uživatel může plnohodnotně pracovat.

Tuto architekturu je možné použít v širokém spektru nasazení. Pro každý druh nasazení se mírně liší důležitost a komplexnost jednotlivých částí řešení. Například pro podnikové nasazení je absolutně klíčovým prvkem IdM systém, který spravuje životní cyklus identit zaměstnanců, jejich příslušnost k organizačním jednotkám, pracovním rolím, přístupům do aplikace apod. V telekomunikačních nasazeních bývá nejdůležitějším prvkem adresářová služba s nízkými latencemi a velkou robustností. Pro správu zákaznických identit je zase klíčovým zákaznicky pohodlný SSO systém a jednoduchá synchronizace s CRM systémem. I když se jednotlivé řešení liší svými požadavky na jednotlivé technologie, pro praktické IAM řešení jsou potřebné všechny prvky: adresářová služba, IdM systém a systém řízení přístupů (AM).

Ing. Radovan Semančík, PhD., Evolveum Ing. Radovan Semančík, PhD.
Autor pracuje ve společnosti Evolveum na pozici softwarového architekta a specialisty na správu identit. Navrhoval jedno z prvních řešení správy identit ve střední Evropě a podílel se na návrhu a nasazení mnoha komplexních řešení v oblasti správy identit. Momentálně věnuje většinu svého času vedením projektu midPoint, který je nejrozsáhlejším volně dostupným open source systémem pro správu identit.
 
Stanislav Grünfeld, MBA
Spoluautor působí ve společností AMI Praha jako ředitel realizace a je zodpovědný za projekty v oblasti identity managementu.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.
POINT.X


Inzerce

Nezapomněli jste si prodloužit předplatné časopisu IT Systems?

IT SystemsZačátek nového roku je nejen obdobím, kdy už se pomalu začínají rozplývat mnohá novoroční předsevzetí. Je také obdobím, kdy je třeba provést řadu každoročně se opakujících činností. V případě všech IT manažerů a IT profesionálů by mezi nimi nemělo chybět prodloužení předplatného časopisu IT Systems.