Image
15.5.2016 1 Comments

IT Pro: Nasadenie IAM technológií

Pri riešení projektov z oblasti správy identít a prístupov (Identity and Access Management, IAM) je zvyčajne potrebné nasadiť viaceré technológie – správu identít (provisioning), riadenie prístupov (access management) aj adresárovú službu, ktorá je pre riadenie prístupov nevyhnutná. Môžete byť v pokušení implementovať všetky technológie naraz, to je ale veľmi nepraktické. Medzi jednotlivými technológiami sú logické závislosti, čo výrazne komplikuje projekt ich spoločného nasadenia. Bez adresárovej služby nemožno efektívne využiť riadenie prístupov a bez provisioningu je správa účtov v adresárovej službe veľmi náročná. Navyše, riadenie prístupov nie je prakticky realizovateľné pre všetky typy aplikácií, pre tieto aplikácie je však možné spravovať účty a prístupy pomocou provisioningu.

Najlepší spôsob nasadzovania IAM technológií je použiť metódu postupných krokov. Presné poradie, veľkosť a náplň jednotlivých krokov je potrebné naplánovať pre konkrétneho zákazníka, všeobecne však odporúčame nasledujúce poradie krokov:

  • Nasadiť adresárovú službu, ktorá bude slúžiť ako centrálne úložisko identít.
  • Nasadiť provisioning.
  • Použiť provisioning na správu adresárovej služby a správu aplikačných účtov.
  • Rozvoj politík v provisioningu (správa hesiel, RBAC, napojenie na HR, synchronizácia organizačnej štruktúry).
  • Nasadenie riadenia prístupov s využitím adresárovej služby ako databázy používateľov.

Jednotlivé IAM technológie je vhodné nasadzovať postupne, v iteráciách. Pri odovzdaní každej iterácie by riešenie vždy malo priniesť nejakú novú funkčnosť, či už zvýšenie bezpečnosti pre administrátorov, zrýchlenie procesov správy používateľov alebo zjednodušenie práce pre koncových používateľov. Trvanie iterácií by malo byť primerané zložitosti riešenia, orientačne 1-6 mesiacov.

Na začiatku nasadenia je vhodné vykonať hrubú (rýchlu) analýzu všetkých aplikácií, ktoré sa majú stať jeho súčasťou. To umožní ich rozdelenie do kategórií, napr. podľa predpokladanej zložitosti integrácie, podľa počtu používateľov, dopadu na zrýchlenie procesov, bezpečnostnej citlivosti a pod. Výsledkom bude naplánovanie nasadenia do viacerých iterácií. V každej z nich sa podrobne analyzuje len príslušná skupina aplikácií, navrhne sa spôsob ich integrácie, implementuje sa, otestuje a nasadí.

Pri iteratívnom postupe získava zákazník benefity priebežne po dokončení každej iterácie a nie jednorazovo na konci projektu. Plánovanie ďalších iterácií je možné riešiť ešte pred dokončením tej aktuálnej, čo umožní nielen integrovať nové aplikácie, ale aj priebežne rozvíjať riešenie, napr. pridávať nové typy identít, nové procesy, rozširovať správu účtov aj o správu skupín a aplikačných rolí a pod. V neustále sa meniacom a zväčša heterogénnom prostredí sú možnosti neobmedzené. Iteratívne nasadenie umožňuje aj lepšie riadiť náklady.

Na stanovenie odporúčaného počtu iterácií v IAM riešeniach neexistuje všeobecné pravidlo. Závisí totiž od zložitosti riešenia, zdrojov a časových možností. IAM však netreba chápať ako projekt, ale ako program. Podobne, ako programy informačnej bezpečnosti, ani IAM aktivity nemajú svoj jednoznačný koniec. Mení sa len intenzita aktivít. Prvé kroky programu sú typicky veľmi intenzívne (nasadzovanie, prispôsobovanie). Neskoršie zmeny programu sú menej intenzívne (údržba, upgrade, prispôsobovanie zmenenému prostrediu a procesom). IAM program však nikdy úplne nekončí. Preto je potrebné naplánovať dlhodobo udržateľné tempo aktivít. Projekt, ktorý má vysoké počiatočné náklady na implementáciu, bude pravdepodobne mať aj vysoké náklady na údržbu a dlhodobý rozvoj IAM programu. Pri takýchto projektoch je dlhodobá udržateľnosť takmer nereálna. Väčšina rozpočtu sa vyplytvá na licencie a drahých zahraničných konzultantov. Na neskoršie fázy programu už nezostane rozpočet a IAM riešenie tak postupne chátra. Preto je výhodnejšie preferovať riešenia, ktoré je možné nasadzovať iteratívne a priebežne kontrolovať náklady na IAM program v pomere k benefitom ktoré prináša.

Veľa ľudí si myslí, že pri nasadení IAM riešení je potrebné integrovať všetky aplikácie bez ohľadu na ich používanie, počty používateľov, zložitosť integrácie a pod. Takáto integrácia môže mať výrazný dopad na cenu riešenia. Je celkom logické, že nebude mať veľký význam integrovať aplikáciu, ktorá bude o niekoľko mesiacov zrušená. Existujú však aj menej zjavné prípady. Skúste si napríklad predstaviť firmu s 5000 zamestnancami, ktorá má aplikáciu, do ktorej má prístup len 10 z nich. Ide o proprietárnu, zle dokumentovanú aplikáciu, o ktorej je známe len to, ukladá údaje v relačnej databáze. Snaha o integráciu takejto aplikácie do provisioningu znamená, že je potrebné naštudovať (dostupnú) dokumentáciu, pochopiť dátový model aspoň v miere potrebnej pre správu účtov a prístupov, vytvoriť konektor, otestovať ho, nakonfigurovať a nasadiť do provisioning systému.

Ešte horšia je situácia v prípade, ak sa má takáto aplikácia integrovať do riadenia prístupov. V závislosti od „proprietárnosti“ aplikácie to môže vyžadovať zmeny v aplikácií – autentifikácia a autorizácia musia využívať prostriedky riadenia prístupu. Často to môže znamenať angažovanie pôvodného dodávateľa.

Získané výhody pri 100% integrácii aplikácií teda nemusia byť vždy až také výhodné.

Naopak, mnoho aplikácií umožňuje využiť integráciu voči adresárovej službe pomocou LDAP. Vtedy aplikácia pre objekty používateľov nevyužíva svoju vlastnú (zväčša proprietárnu) databázu, ale získava informácie o používateľoch a ich aplikačných roliach z adresárovej služby pomocou štandardného a dlho používaného protokolu. Odpadá nevyhnutnosť často zložitej analýzy lokálnej databázy používateľov aj jej správa. Účty a aplikačné roly v adresárovej službe sa dajú jednoducho spravovať pomocou provisioningu bez potreby ďalších investícií do integrácie danej aplikácie. Ak je aplikáciu možné zapojiť do riadenia prístupov, jej integrácia a jednoduchosť používania pre koncových používateľov sa výrazne zlepšia. V prípade, že aplikáciu z nejakého dôvodu nie je praktické zapojiť do riadenia prístupov, dá sa využiť aspoň možnosť centrálnej správy účtov v adresárovej službe. Používateľ sa síce bude musieť prihlasovať, ale toto heslo bude rovnaké ako heslo do adresárovej služby.

Pri výbere produktov v rámci IAM riešenia je potrebné počítať s dvomi druhmi nákladov: cena za licencie použitých produktov a cena za implementačné práce. Každý IAM produkt je potrebné konfigurovať, prispôsobiť, nasadiť a testovať pre konkrétne nasadenie. Tieto práce predstavujú najväčšiu časť nákladov a ich objem je často veľmi ťažké odhadnúť. Pri komerčných produktoch platí, že náklady na práce by mali byť oveľa vyššie ako cena za licencie. Ak je v IAM projekte počítaných málo prác, je takmer isté, že potreba týchto prác sa ukáže počas projektu a spôsobí veľké problémy. Použitie komerčných IAM riešení so sebou prináša nemalé projektové a obchodné riziko.

Veľkou výhodou v tomto smere sú open source produkty. Nulová cena licencií znamená minimálne počiatočné náklady, preto sú tieto produkty ideálne na iteratívne nasadzovanie. Iteratívne nasadzovanie a nízke počiatočné náklady dokážu veľmi efektívne minimalizovať projektové a obchodné riziká.

Ivan Noris a Radovan Semancik
Evolveum


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

ITPro

Linux súkromne i pracovne v2.0 (14. časť): Small Business Server

09.11.2016 14:57

Pojem Small Business Server (malý firemný server) začala používať spoločnosť Microsoft ešte v roku 2000 na označenie servera, ktorý ­dokázal plniť úlohy niekoľkých samostatných serverov. Aplikačná vrs ...

ITPro

Industry 4.0: Fikcia alebo už realita?

09.11.2016 14:52

Štvrtá priemyselná revolúcia je pomenovanie rozsiahlych zmien prudko vstupujúcich do súčasného priemyslu. Nositeľom týchto zmien je digitalizácia výroby a optimalizácia všetkých podnikových procesov v ...

ITPro

Vývoj aplikácií UWP pre Xbox One II.

09.11.2016 14:47

V predošlej časti sme ukázali postup, ako si ­vytvoriť vývojársky účet a aktivovať vývojársky režim na hernej konzole Xbox One, aby ste mohli testovať svoje aplikácie. Výhodou hernej konzoly Xbox je v ...

1 Comments

  1. nizke vstupne investicie mozu byt klam reakcia na: IT Pro: Nasadenie IAM technológií
    15.5.2016 17:05
    Nakolko sa vo svete IAM pohybujem taktiez nejeden rok a nie len na uzemi SR, dovolim si par poznamok ku clanku, s ktoreho zaverom sa nie celkom stotoznujem. Pri naozaj rozsiahlych IAM projektoch su ceny licencii takmer zanedbatelnou polozkou. Ano, cena licencii pri takychto projektoch je mozno okolo miliona eur a viac, no naklady na implementacie su v radoch milionov. Ale aj pri podstatne mensich projektoch je cena licencii naozaj nizka. Vynimkou je mozno len IDM od SAP, ktore je oproti konkurencnym rieseniam podstatne drahsie. Obrovskou vyhodou komercneho riesenia oproti Open Source je zarucena podpora a aktivny rozvoj produktov. Toto je a bol pri Open Source vzdy problem. Velke mnozstvo Open Source projektov skor, ci neskor skoncili na financovani alebo resp. na nedostatocne velkej komunite. Uspesne Open Source projekty, ktorym naozaj fandim a podporujem ich, ziju z modelu platenej podpory. Co je v konecnom dosledku vlastne cena licencii a nemozeme hovorit o nulovej investicii za licencie. Ta cena tam niekde je a je skryta v inej forme. Dalsim obrovskym problemom pre zakaznikov je, ze je neuveritelny problem najst ludi, co Open Source IAM nasadia. Celkovo je ludi venujucim sa IAM malo a tych z Open Source este menej. Zakaznikovi sa moze lahko stat, ze ak nie je s firmou, co mu Open Source IAM nasadzuje, spokojny, tak casto nema na vyber a musi v spolupraci len pokracovat. Alebo prejde na komercne IAM riesenie, kde je ako taka sanca jednoducho vymenit dodavatela. S cim som sa uz tiez stretol. Tymto vsak Open Source IAM riesenia vziadnom pripade nezatracujem. Naopak som velmi rad, ze takato iniciativa tu je. Pre velke mznostvo firiem a organizacii moze byt naozaj tym najlepsim riesenim, je vsak potrebne si zvazit vsetky rizika s tym spojene a nenechat sa opit vidinou nulovych alebo velmi nizskych vstupnych investicii. Milan Juríček Senior IAM Consultant @ Atos Consulting Switzerland
    Reagovať

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá