I když se od sebe jednotlivá nasazení odlišují, většina z nich je založena na třech základních komponentách:

• Adresářová služba (Directory Service) udržuje centrální databázi uživatelů. Téměř všechny moderní adresářové služby využívají protokol LDAP.
• Systém řízení přístupu (Access Management) vykonává centrální autentifikaci (SSO), základní autorizaci, zaznamenává přístupy (provádí jejich audit) apod.
• Provisioning systém zabezpečuje správu databáze uživatelů, její synchronizaci (např. s personalistikou), řídí bezpečnostní politiku apod.

Tyto komponenty byly blíže popsané v předcházejících částech seriálu. V této části si povíme, jak jsou tyto komponenty sestaveny do výsledného IAM řešení. Typickou architekturu IAM řešení ilustruje následující obrázek.

Obr. 1: Typická architektura IAM řešení

Srdcem IAM řešení je adresářová služba

Typicky je tato služba implementovaná LDAP serverem. LDAP server udržuje údaje o všech uživatelích systému. Moderní aplikace většinou mají přímou podporu pro LDAP protokol, a je proto snadné je integrovat na adresářovou službu. Zde je však potřebné si uvědomit, že adresářový server je ve své podstatě jen databáze. Dokáže dobře ukládat a vyhledávat údaje o identitách, ale pro jejich správu a použití jsou potřebné další komponenty.

Mozkem IAM řešení je provisioning (IdM) systém

Provisioning systém primárně spravuje údaje v adresářovém (LDAP) serveru. Kromě toho synchronizuje údaje v aplikacích, které nemají podporu pro LDAP, nebo i přes LDAP podporu stále potřebují záznam uživatele v lokální databázi. Nejdůležitější úlohou IdM systému je však řízení životního cyklu identity. Zaměstnanci přicházejí a odcházejí, přesouvají se mezi organizačními jednotkami, odcházejí na rodičovské dovolené, stáže apod. A tak jsou v databázích identit překvapivě dynamické údaje, které je potřebné udržovat. Nejběžnějším zdrojem údajů o zaměstnancích jsou personalistické systémy (HR). IdM systém používá HR databázi jako zdroj údajů. Podle HR databáze ví, kdy má vytvořit LDAP účet pro nového zaměstnance, zablokovat účet pro bývalého zaměstnance, změnit členství ve skupinách při přeřazení zaměstnance apod. Komplexní politiky a algoritmy na správu identit jsou vykonávané IdM systémem. Proto je tento systém zřejmě nejdůležitějším prvkem celého IAM řešení.

Tváří IAM řešení je systém řazení přístupů (AM)

Je to systém, se kterým se uživatelé setkají nejčastěji, protože obsluhuje jejich autentizaci. AM systém typicky řeší i jednotné přihlašování (SSO) a částečně i autorizaci přístupů. Základem efektivního AM systému je konzistentní databáze identit. Proto typický AM systém většinou nemá svoji vlastní databázi, ale spoléhá se na databázi identit udržovanou v adresářovém systému. Zejména při používání SSO mechanismů je důležité, aby identifikátor uživatele byl jednotný ve všech aplikacích. V tomto směru se AM systém spoléhá na politiky a synchronizační mechanismy IdM systému.

Typické použití systému začíná příchodem nového zaměstnance nebo zákazníka. Tato identita se nejprve objeví v HR nebo CRM systému. IdM systém pravidelně tyto záznamy sleduje a hned po přidání záznamu je začne zpracovávat. Potom na základě politik rozhodne, kam má mít nový uživatel přístup a automaticky tyto přístupy přidělí. Jedním z nejdůležitějších záznamů, který IdM systém vytvoří, je záznam uživatele v adresářové službě (LDAP). Když se nový uživatel snaží přistoupit do cílového systému, je přesměrovaný na AM systém se svojí lokální identitou, kterou vytvořil IdM systém, a uživatel může plnohodnotně pracovat.

Tuto architekturu je možné použít v širokém spektru nasazení. Pro každý druh nasazení se mírně liší důležitost a komplexnost jednotlivých částí řešení. Například pro podnikové nasazení je absolutně klíčovým prvkem IdM systém, který spravuje životní cyklus identit zaměstnanců, jejich příslušnost k organizačním jednotkám, pracovním rolím, přístupům do aplikace apod. V telekomunikačních nasazeních bývá nejdůležitějším prvkem adresářová služba s nízkými latencemi a velkou robustností. Pro správu zákaznických identit je zase klíčovým zákaznicky pohodlný SSO systém a jednoduchá synchronizace s CRM systémem. I když se jednotlivé řešení liší svými požadavky na jednotlivé technologie, pro praktické IAM řešení jsou potřebné všechny prvky: adresářová služba, IdM systém a systém řízení přístupů (AM).

Ing. Radovan Semančík, PhD. Autor pracuje ve společnosti Evolveum na pozici softwarového architekta a specialisty na správu identit. Navrhoval jedno z prvních řešení správy identit ve střední Evropě a podílel se na návrhu a nasazení mnoha komplexních řešení v oblasti správy identit. Momentálně věnuje většinu svého času vedením projektu midPoint, který je nejrozsáhlejším volně dostupným open source systémem pro správu identit.

Stanislav Grünfeld, MBA Spoluautor působí ve společností AMI Praha jako ředitel realizace a je zodpovědný za projekty v oblasti identity managementu.