Image
9.2.2016 0 Comments

Architektúra riešenia IAM

Správa identít a prístupov (Identity and Access Management, IAM) je oblasť zložená z množstva spolupracujúcich technológií. Neexistuje jeden „produkt IAM“, ktorý by zázračne riešil všetky problémy. IAM nie je produkt, ktorý by sa dal kúpiť. IAM je riešenie, ktoré treba zostaviť z niekoľkých produktov. A tu platí, že výsledné riešenie bude mierne iné pre bankové prostredie, iné pre telekomunikačné prostredie a výrazne iné pre akademické prostredie. Každé riešenie je postavené na mieru na konkrétne nasadenie.

Aj keď sa jednotlivé nasadenia IAM navzájom odlišujú, veľká väčšina z nich je založená na troch základných komponentoch:

  • Adresárová služba (directory service) udržiava centrálnu databázu používateľov. Takmer všetky moderné adresárové služby využívajú protokol LDAP.
  • Systém riadenia prístupu (access management) vykonáva centrálnu autentifikáciu (SSO), základnú autorizáciu, zaznamenávanie (audit) prístupov a podobne.
  • Provisioningový systém zabezpečuje správu databázy používateľov, jej synchronizáciu (napr. s personalistikou), riadi bezpečnostnú politiku a podobne.

Tieto komponenty boli bližšie opísané v predchádzajúcich častiach seriálu. V tejto časti sa budeme venovať tomu, ako sú jednotlivé komponenty zostavené do výsledného riešenia IAM. Typickú architektúru riešenia IAM ilustruje nasledujúci obrázok.

Srdcom riešenia IAM je adresárová služba, typicky implementovaná LDAP serverom. LDAP server udržiava údaje o všetkých používateľoch systému. Moderné aplikácie väčšinou majú priamu podporu pre protokol LDAP a je ľahké ich integrovať na adresárovú službu. Tu si však treba uvedomiť, že adresárový server je v podstate len databáza. Dokáže dobre ukladať a vyhľadávať údaje o identitách, ale na ich správu a použitie sú potrebné ďalšie komponenty.

Mozgom riešenia IAM je provisioningový systém (IDM). Provisioningový systém primárne spravuje údaje v adresárovom (LDAP) serveri. Okrem toho synchronizuje údaje v aplikáciách, ktoré nemajú podporu pre LDAP alebo aj napriek podpore LDAP stále potrebujú záznam používateľa v lokálnej databáze. Najdôležitejšia úloha systému IDM je však riadenie životného cyklu identity. Zamestnanci prichádzajú a odchádzajú, presúvajú sa medzi organizačnými jednotkami, odchádzajú na rodičovské dovolenky, stáže a podobne. A tak databázy identít sú prekvapivo dynamické údaje, ktoré treba udržiavať. Najbežnejší zdroj údajov o zamestnancoch sú personalistické systémy (HR). Systém IDM používa databázu HR ako zdroj údajov. Podľa databázy HR vie, kedy má vytvoriť účet LDAP pre nového zamestnanca, zablokovať účet pre bývalého zamestnanca, zmeniť členstvo v skupinách pri preradení zamestnanca a podobne. Komplexné politiky a algoritmy na správu identít sú vykonávané systémom IDM. Preto je tento systém zrejme najdôležitejší prvok celého riešenia IAM.

Tvárou riešenia je systém riadenia prístupu (AM). Toto je systém, s ktorým sa používatelia stretnú najčastejšie, pretože obsluhuje ich autentifikáciu. Systém AM typicky rieši aj jednotné prihlasovanie (SSO) a čiastočne aj autorizáciu prístupov. Základom efektívneho systému AM je konzistentná databáza identít. Preto typický systém AM väčšinou nemá vlastnú databázu, ale spolieha sa na databázu identít udržiavanú v adresárovom systéme. Najmä pri použití mechanizmov SSO je dôležité, aby identifikátor používateľa bol jednotný vo všetkých aplikáciách. V tomto smere sa systém AM spolieha na politiky a synchronizačné mechanizmy systému IDM.

Typické použitie systému sa začína príchodom nového zamestnanca alebo zákazníka. Táto identita sa najprv objaví v systéme HR alebo CRM. Systém IDM pravidelne tieto záznamy sleduje a hneď po pridaní záznamu ho začne spracúvať. Potom na základe politík rozhodne, kam má mať nový používateľ prístup, a automaticky tieto prístupy zriadi. Jeden z najdôležitejších záznamov, ktorý systém IDM vytvorí, je záznam používateľa v adresárovej službe (LDAP). Keď sa nový používateľ snaží pristúpiť do systému, je presmerovaný na systém AM. Ten overí jeho heslo a presmeruje ho na aplikáciu. Aplikácia spojí identitu poslanú systémom AM so svojou lokálnou identitou (ktorú vytvoril systém IDM) a používateľ môže plnohodnotne pracovať.

Túto architektúru možno použiť v širokom spektre nasadení. Pre každý druh nasadenia sa mierne obmieňa dôležitosť a komplexnosť jednotlivých častí riešenia. Napríklad pre podnikové nasadenia je absolútne kľúčovým prvkom systém IDM, ktorý spravuje životný cyklus identít zamestnancov, ich príslušnosť k organizačným jednotkám, pracovným rolám, prístupy do aplikácií a podobne. V telekomunikačných nasadeniach je často najdôležitejším prvkom adresárová služba s nízkymi latenciami a vysokou robustnosťou. Pre správu zákazníckych identít je zase kľúčový zákaznícky pohodlný systém SSO a jednoduchá synchronizácia so systémom CRM. Aj keď sa jednotlivé riešenia líšia svojimi požiadavkami na jednotlivé technológie, pre praktické riešenie IAM sú potrebné všetky prvky: adresárová služba, systém IDM a systém na riadenie prístupov (AM).

Autor: Igor Farinič
Evolveum

Zobrazit Galériu

Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

ITPro

Linux súkromne i pracovne v2.0 (14. časť): Small Business Server

09.11.2016 14:57

Pojem Small Business Server (malý firemný server) začala používať spoločnosť Microsoft ešte v roku 2000 na označenie servera, ktorý ­dokázal plniť úlohy niekoľkých samostatných serverov. Aplikačná vrs ...

ITPro

Industry 4.0: Fikcia alebo už realita?

09.11.2016 14:52

Štvrtá priemyselná revolúcia je pomenovanie rozsiahlych zmien prudko vstupujúcich do súčasného priemyslu. Nositeľom týchto zmien je digitalizácia výroby a optimalizácia všetkých podnikových procesov v ...

ITPro

Vývoj aplikácií UWP pre Xbox One II.

09.11.2016 14:47

V predošlej časti sme ukázali postup, ako si ­vytvoriť vývojársky účet a aktivovať vývojársky režim na hernej konzole Xbox One, aby ste mohli testovať svoje aplikácie. Výhodou hernej konzoly Xbox je v ...

Žiadne komentáre

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá