Image
6.4.2016 0 Comments

IT Pro: Pokročilé technológie na správu identít

Správa identít (Identity Management, IDM) je jednou z kľúčových technológií v oblasti správy identít a prístupov (Identity and Access Management, IAM). Hlavnou zodpovednosťou IDM systémov je spravovať a synchronizovať údaje o identitách v rôznych databázach. IDM systémy napríklad automaticky spravujú údaje v adresárovej službe (LDAP) a v niekoľkých samostatných aplikáciách na základe údajov získaných z personalistických (HR) systémov. Tento proces sa označuje ako „provisioning“. V ideálnom prípade by dáta mali existovať len v jednej databáze, to je však možné len v extrémne jednoduchých systémoch. V praxi je takýchto databáz niekoľko a systémy s desiatkami alebo aj stovkami databáz nie sú úplne výnimočné. Všetky tieto databázy je potrebné udržať konzistentné, inak sa celý systém rozpadne.  Konzistenciu databáz zabezpečuje IDM systém, preto je svojím spôsobom úplne najdôležitejším komponentom IAM riešenia. Okrem toho IDM systém aplikuje bezpečnostné politiky, transformuje údaje, riadi pracovné procesy, poskytuje samoobslužné služby a podobne.

IDM systém je vo svojej podstate integračným systémom. Vyspelý IDM systém musí byť možné ľahko a rýchlo pripojiť k desiatkam rôznych druhov databáz, adresárových serverov, podnikových aplikácií a podobne. Kvalitné IDM systémy využívajú na tento účel konektorové technológie. Konektor je malý komponent, ktorý sprostredkováva komunikáciu medzi IDM systémom a rozhraním cieľového systému – vykonáva preklad komunikačných protokolov. Na jednej strane je konektorové rozhranie IDM systému (SPI) a na druhej strane komunikačný protokol cieľového systému (LDAP, SQL, webové služby a podobne). Konektor zvyčajne neobsahuje žiadnu zložitú logiku – umožňuje napríklad nastavenie atribútu s e-mailovou adresou v cieľovom systéme, túto adresu však sám negeneruje; to je úloha IDM systému. Preto je vytvorenie konektora zvyčajne relatívne jednoduchá záležitosť.

Konektory sa pridávajú do IDM systému podobne, ako sa do operačného systému pridávajú ovládače. V minulosti IDM systémy používali proprietárne rozhrania konektorov, takže konektory jednotlivých systémov neboli navzájom kompatibilné. Moderné IDM systémy už využívajú spoločné rozhrania a IDM systémy druhej generácie sú čiastočne alebo úplne kompatibilné.

Hlavným prínosom IDM systémov je ich silná logika pri správe identít. Ostatné komponenty IAM riešenia zvyčajne implementujú len veľmi jednoduché modely prístupových práv. Kvalitné IDM systémy však poskytujú komplexné modely prístupov založených na roliach (RBAC), modely mapovania atribútov a flexibilné modely organizačných štruktúr. Špičkové IDM systémy poskytujú aj mechanizmy na podmienečné a parametrické role, rôzne časové a početné limity na priradenia rolí  a podobne. Tieto sofistikované modely sú založené na mnohoročnom výskume a vývoji a sú overené v praxi. Preto je použitie vyspelých IDM systémov také efektívne: bezpečnostné politiky možno efektívne konfigurovať namiesto prácneho a zdĺhavého programovania.

Automatický proces správy prístupov pracuje nasledovne: údaje o novom zamestnancovi sa zadajú do personalistického (HR) systému. IDM systém to zistí, údaje spracuje a zistí pracovné zaradenie zamestnanca. Podľa pracovnej pozície a organizačnej jednotky pre zamestnanca vyberie vhodné roly. Na základe rolí IDM systém vytvorí záznam v adresárovom systéme, schránku elektronickej pošty s jedinečnou e-mailovou adresou, prístupy do aplikácií, atď. Podobný proces nastáva pri zmene pracovného zaradenia zamestnanca a pri jeho odchode.

Automatizácia správy účtov a prideľovanie prístupových práv sú najvýraznejšie motivácie pre použitie IDM systémov. V praktických nasadeniach je možné automatizovať podstatnú časť procesov správy identít. Úplná automatizácia je však možná len vo veľmi ojedinelých prípadoch a snaha o prehnanú automatizáciu môže priniesť viac škody ako úžitku. Preto je väčšina IDM systémov navrhnutá na efektívnu podporu poloautomatických procesov. Pri takomto procese je zo zamestnancovej pracovnej pozície automaticky odvodená len časť prístupových práv a o ostatné musí zamestnanec požiadať. Po žiadosti sa naštartuje schvaľovací proces (workflow), ktorý smeruje žiadosť na správnych schvaľovateľov, rieši eskalácie a zastupovania a podobne. Po schválení požiadavky sa prístupy zriadia automaticky. Tento spôsob sa využíva veľmi často, preto väčšina IDM systémov obsahuje zabudovaný subsystém na riadenie pracovných procesov (workflow engine).

Prirodzený tok údajov je z personalistického (HR) systému cez IDM systém až do cieľových systémov. IDM systémy však vedia využiť aj opačný tok údajov a tým zabezpečiť udržateľnú konzistenciu údajov vo všetkých systémoch. IDM systém napríklad využíva takzvanú rekonciliáciu, pri ktorej porovnáva reálne údaje v cieľovom systéme so stavom daným nastavenými politikami (napríklad rolami). Ak IDM systém zistí nekonzistenciu, môže automaticky reagovať a nekonzistenciu odstrániť. Napríklad ak IDM systém pri rekonciliácii zistí, že na cieľovom systéme existuje účet, ktorý nepatrí žiadnemu používateľovi, môže taký účet automaticky zablokovať a notifikovať správcu systému. Podobne môže IDM systém opraviť príliš vysoké prístupové práva používateľa, opätovne vytvoriť omylom zmazaný účet a podobne. Takýmto spôsobom IDM systém zabezpečuje dodržiavanie bezpečnostnej politiky vo všetkých integrovaných systémoch z jedného miesta, čo robí IDM technológie nenahraditeľnými z pohľadu informačnej bezpečnosti.

Ďalšou bezpečnostnou funkcionalitou IDM systémov je audit. IDM systémy zaznamenávajú všetky vykonané akcie do auditného záznamu. Z auditného záznamu je jasné, kto komu pridelil privilégiá, kedy sa to stalo, kto o to žiadal, kto požiadavku schválil a podobne. Tieto informácie sú nenahraditeľné pri bezpečnostných štúdiách, vyšetrovaní bezpečnostných incidentov a podobne.

Rozšírením IDM systémov sú funkcie zo skupiny „governance“. Tieto funkcie implementujú rozšírené bezpečnostné politiky a pracovné procesy zamerané najmä na dlhodobo udržateľnú správu podnikových identít. Napríklad cieľom bežného schvaľovacieho procesu v IDM systémoch je zabezpečiť, aby mal každý používateľ aspoň také prístupové práva, aké potrebuje na vykonávanie svojej práce. Tento proces však nezabezpečuje odstraňovanie prístupových práv, ktoré už nie sú potrebné. Preto sa po čase prejaví tendencia používateľov akumulovať prístupové práva, čo predstavuje bezpečnostné riziko. Procesy „governance“ implementujú mechanizmy na dlhodobú udržateľnosť systému a riadenie bezpečnostného rizika. Napríklad proces recertifikácie implementuje pravidelné revízie prístupových práv používateľov s cieľom overiť opodstatnenosť pridelených prístupových práv a odstraňovať nepotrebné prístupové práva.

IDM systémy sú nenahraditeľnou časťou akéhokoľvek plnohodnotného IAM riešenia. Žiaden iný komponent neposkytuje také obsiahle modely prístupových práv, rolí a organizačných štruktúr, podporu riadenia pracovných procesov, synchronizačné a konzistenčné procesy a množstvo iných bezpečnostných a podporných procesov. Bez zveličovania sa dá povedať, že IDM systém je mozgom celého IAM riešenia.

Radovan Semancik a Ivan Noris

Evolveum


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

ITPro 1

Rozšírená realita pomôže školám

17.12.2016 00:05

Raz vidieť je lepšie ako stokrát počuť a v školstve to platí ešte mnohonásobne viac. Čo však v prípade, ak si študenti majú pozrieť, ako v reálnom čase pracuje jadrový reaktor? Alebo by chceli vidieť, ...

ITPro

Linux súkromne i pracovne v2.0 (15. časť): SIP (Session Initiation Protocol)

13.12.2016 11:58

Je priam neuveriteľné, aké množstvo užitočných informácií a faktov súvisiacich s IP telefóniou (VoIP) sa skrýva za takou jednoduchou skratkou, ako je SIP. Nejde pritom iba o protokol, ale o mnoho ďalš ...

ITPro

Výzvy a perspektívy mobilných sietí

13.12.2016 11:52

Dostupnosť kvalitného mobilného pripojenia vrátane dostatočnej kapacity na prenos dát považujeme v súčasnosti za samozrejmosť.  O niektorých špecifikách a  perspektívach služieb mobilných operátorov v ...

Žiadne komentáre

Vyhľadávanie

ITSMF jar

Najnovšie videá