facebook
Exkluzivní partner sekce
Tematické sekce
 
Branžové sekce
Přehledy
CeBIT 2018
 
Tematické seriály
Nové!

GDPR

General Data Protection Regulation zásadně mění zpracování osobních údajů a zavádí nové povinnosti...

články >>

 
Nové!

Jak uřídit IT projekt a nezbláznit se

Užitečné tipy a nástroje pro řešení problémů řízení inovací a vývoje produktů...

články >>

 
Nové!

Industry 4.0

Průmysl 4.0

Jaký vliv bude mít čtvrtá průmyslová revoluce na výrobu a výrobní firmy?

články >>

 

Komplexní svět eIDAS

O nařízení eIDAS již bylo mnoho řečeno i napsáno. A proto jediné, o čem...

články >>

 

Trendy v CRM

Systémy pro řízení vztahů se zákazníky (CRM) prochází v posledních letech výraznou změnou. Zatímco dříve...

články >>

 

Příručka úspěšného IT manažera

Dnes je řada IT manažerů opomíjena. Úspěšní bývají brouci Pytlíci a Ferdové...

články >>

 

Pokročilá analýza provozu datových sítí

V tomto čtyřdílném seriálu vás seznámíme s různými metodami a přístupy...

1. až 4. díl >>

 

Cesta k efektivnímu identity managementu

Správa identit a přístupů (IAM) je klíčová oblast pro zaručení bezpečnosti...

1. až 9. díl >>

IT SYSTEMS 1-2/2015 , Správa IT

Cesta k efektivnímu identity managementu (1. díl)

Základy správy identit a přístupů



EvolveumSpráva identit a přístupů (Identity and Access Management, IAM) je klíčová oblast pro zaručení bezpečnosti a efektivity téměř jakékoliv organizace. Podnikové prostředí nedokáže efektivně existovat bez těchto technologií, jsou nevyhnutelné jak pro telekomunikaci, tak i pro profesionálně navrhnutý „cloud“. Navzdory tomu, že jsou tyto technologie tak důležité, jen velmi málo lidí jim opravdu rozumí. Za více než deset let práce s těmito technologiemi jsme se setkali s množstvím mýtů a polopravd, které velmi často ohrožují a předražují implementační projekty. Přitom samotné technologie správy identit a přístupů nejsou komplikované a je možné je efektivně nasadit, pokud se použijí správně. Proto jsme se rozhodli sestavit seriál o jejich principech a efektivním použití.

Alvao

Základem porozumění celé IAM oblasti je fakt, že IAM není jedna konkrétní technologie, ale soubor několika spolupracujících technologií. Jednotlivé prvky řešení se kombinují přesně podle potřeb konkrétního prostředí, proto mají projekty vysokou variabilitu. Navzdory této variabilitě existují tři technologie, které je možné najít v téměř jakémkoliv řešení:

  • Adresářová služba (directory service) udržuje centrální databázi uživatelů.
  • Systém řízení přístupů (access management) vykonává centrální autentifikaci (SSO), základní autorizaci, zaznamenávání (audit) přístupů atp.
  • Provisioning systém zabezpečuje správu databáze uživatelů, její synchronizaci (např. s personálním), řídí bezpečnostní politiku atp.

Tyto tři technologie se navzájem doplňují. Jakékoliv netriviální IAM řešení nutně potřebuje všechny tři technologie, aby bylo kompletní. Ani jednu z nich není možné vynechat nebo zanedbat. Například adresářová služba může sloužit na autentifikaci uživatelů a často se tak v jednoduchých řešeních používá. Tato metoda je však značně omezená a pro profesionální řešení je třeba nahradit ji plnohodnotným systémem na správu přístupů. Dalším příkladem je synchronizace uživatelských databází. Téměř každá organizace má alespoň dvě uživatelské databáze: personalistiku a doménu (Active Directory). V jednoduchých řešeních se tyto databáze synchronizují ručně, což je pomalé, chybové a potencionálně otvírá velká bezpečnostní rizika. Zapojení provisioning systému do IAM řešení tyto problémy odstraní. Proto jen kombinace všech třech technologií vytváří uspokojivé řešení.

Adresářová služba (directory service) je komponenta, kterou je možné najít snad v každém nasazeném systému. U menších podnikových nasazeních je to často známé Active Directory. U větších škálovatelných systémů se často používá systém dedikovaných LDAP serverů. Ať už je použitý jakýkoliv produkt, základní princip je stejný: adresářová služba je specializovaná databáze uživatelů a je už svým návrhům přizpůsobená údajům o identitách. Výkon systému je vyladěný na údaje, které se zřídka mění, ale za to velmi často čtou, jsou tu speciální atributy pro heslo, fotografii a podobně. Použití vhodné adresářové služby je základem snad každého IAM řešení. Ale i když je adresářová služba specializovaná na údaje o identitách, stále je to jen databáze - služba ukládá a efektivně vyhledává údaje, ale možnosti transformace údajů téměř neexistují. Adresářová služba ukládá heslo a podobné „credentials“, ale možnosti použití těchto údajů na přímou autentifikaci jsou omezené. Klíčovým bodem při efektivním IAM řešení je uvědomit si, že adresářová služba je jen databáze a složitou logiku přenechává ostatním komponentům.

Některé nedostatky adresářových služeb řeší systémy na správu přístupů (access management, AM). Tyto systémy spolupracují s aplikacemi nebo aplikačními bránami tak, aby dokázaly zpracovat jakýkoliv přístup k aplikacím. Ve světě webových aplikací je toto řešeno převážně přesměrováním autentifikačních stránek aplikace na AM systém. AM vykoná autentifikaci uživatele (a to i více faktorovou) a přesměruje spojení zpět na aplikaci. AM systém dokáže vykonat i částečnou autorizaci přístupu, i když granularita autorizace je většinou omezená jen na úroveň aplikace jako celku. Událost vykonání autorizace se na straně AM systému zaznamená, což slouží pro účely auditu, ale i pro zjednodušení přihlašování. Uživatel přihlášený do jedné aplikace může přistoupit na další aplikaci bez nutnosti přihlašovat se znova. Moderní AM řešení implementují federaci identit mezi organizacemi, integraci na sociální sítě atp.

Služby poskytované AM systémy jsou pověstným svatým grálem IAM technologií. Tyto služby jsou to, co uživatelé vidí a čeho chtějí společně s vedením firmy dosáhnout. Jak to už obyčejně bývá, ani toto není tak jednoduché, jak by se na první pohled mohlo zdát. Na to, aby AM systém dobře pracoval, musí mít k dispozici sjednocenou databázi uživatelů. To možná zní triviálně, ale v praxi to není jednoduché. Pro mnoho organizací jsou náročné i zdánlivě tak jednoduché věci, jako je zabezpečení jednotných identifikátorů (login name) pro přihlášení do všech aplikací. Některé aplikace používají příjmení, jiné osobní číslo, další kombinaci prvních písmen příjmení a náhodným číslem atp. Přitom pokud se nesjednotí identifikátor, systém na řízení přístupu je téměř bezmocný. Ani sjednocením identifikátoru problémy nekončí. Pokud je identifikátor založený na příjmení, mění se překvapivě často a to zejména kvůli sňatkům. V tomto případě je potřebné zabezpečit synchronní změnu identifikátoru mezi centrální databází (adresářovou službou) a databázemi všech relevantních aplikací. I tato úloha je v praxi mnohem složitější, než jak se jeví na první pohled.

Zde přichází do hry poslední komponent: provisioning systém. Hlavní zodpovědností provisioning systému je synchronizovat údaje v adresářové službě, aplikacích, personalistických systémech atp. V ideálním případě by data měla existovat jen v jedné databázi. Toto je však možné jen v extrémně jednoduchých systémech. V praxi je takových databází několik a systémy s desítkami nebo i stovkami databází nejsou úplně výjimečné. Všechny tyto databáze je potřeba udržovat konzistentní, jinak se celý systém rozpadne. Konzistence databází je přesně to, co provisioning systém zabezpečuje, proto je tento systém svým způsobem úplně nejdokonalejší komponentou IAM řešení. Kromě toho aplikuje bezpečnostní politiky, transformuje údaje, řídí pracovní procesy, poskytuje samoobslužné služby atp.

Je téměř nemožné sestavit plnohodnotné IAM řešení bez kterékoliv z těchto komponent. Adresářový systém, řízení přístupu a řízení identit pomocí provisioning systému jsou klíčové prvky IAM řešení. Samotný název „Identitiy and Access Management“ hovoří sám za sebe.

V dalších částech seriálu podrobněji popíšeme každou z těchto třech technologických oblastí a poté se budeme věnovat i tomu, jak z nich sestavit efektivní řešení.

Ing. Radovan Semančík, PhD., Evolveum Ing. Radovan Semančík, PhD., Evolveum
Autor pracuje ve společnosti Evolveum na pozici softwarového architekta a specialisty na správu identit. Navrhoval jedno z prvních řešení správy identit ve střední Evropě a podílel se na návrhu a nasazení mnoha komplexních řešení v oblasti správy identit. Momentálně věnuje většinu svého času vedením projektu midPoint, který je nejrozsáhlejším volně dostupným open source systémem pro správu identit.
Spoluautor Stanislav Grünfeld, MBA
působí ve společností AMI Praha jako ředitel realizace a je zodpovědný za projekty v oblasti identity managementu.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.
SprinxCRM


Inzerce

Hledání jehly v kupce dat

Visibilita a řízení přístupu v síti: Detekce a řízení vnitřních hrozeb
Hackeři to mají čím dál jednodušší. Ve stále rostoucí IT infrastruktuře firem, do které se připojují další a další uživatelé a zařízení, internetoví zločinci snadno skryjí své aktivity. Kvůli menší přehlednosti sítě mají spoustu času na krádež dat, financí nebo poškození firmy dříve, než je bezpečnostní systémy odhalí. Řešením je zavedení bezpečnostní politiky uvnitř sítě. Navštivte seminář společnosti Dimension Data, který vám pomůže se v této problematice zorientovat.

BND
Časopis IT Systems / Odborná příloha Archiv časopisu IT Systems
IT Systems 3/
IT Systems 1-2/
IT Systems 12/
IT Systems 11/
Oborové a tematické přílohy
příloha #1 3/
příloha #1 1-2/
příloha #1 11/
příloha #1 10/
IT Systems - předplatné
Kalendář akcí