Image
6.4.2016 0 Comments

IT Pro: Pokročilé technológie na správu identít

Správa identít (Identity Management, IDM) je jednou z kľúčových technológií v oblasti správy identít a prístupov (Identity and Access Management, IAM). Hlavnou zodpovednosťou IDM systémov je spravovať a synchronizovať údaje o identitách v rôznych databázach. IDM systémy napríklad automaticky spravujú údaje v adresárovej službe (LDAP) a v niekoľkých samostatných aplikáciách na základe údajov získaných z personalistických (HR) systémov. Tento proces sa označuje ako „provisioning“. V ideálnom prípade by dáta mali existovať len v jednej databáze, to je však možné len v extrémne jednoduchých systémoch. V praxi je takýchto databáz niekoľko a systémy s desiatkami alebo aj stovkami databáz nie sú úplne výnimočné. Všetky tieto databázy je potrebné udržať konzistentné, inak sa celý systém rozpadne.  Konzistenciu databáz zabezpečuje IDM systém, preto je svojím spôsobom úplne najdôležitejším komponentom IAM riešenia. Okrem toho IDM systém aplikuje bezpečnostné politiky, transformuje údaje, riadi pracovné procesy, poskytuje samoobslužné služby a podobne.

IDM systém je vo svojej podstate integračným systémom. Vyspelý IDM systém musí byť možné ľahko a rýchlo pripojiť k desiatkam rôznych druhov databáz, adresárových serverov, podnikových aplikácií a podobne. Kvalitné IDM systémy využívajú na tento účel konektorové technológie. Konektor je malý komponent, ktorý sprostredkováva komunikáciu medzi IDM systémom a rozhraním cieľového systému – vykonáva preklad komunikačných protokolov. Na jednej strane je konektorové rozhranie IDM systému (SPI) a na druhej strane komunikačný protokol cieľového systému (LDAP, SQL, webové služby a podobne). Konektor zvyčajne neobsahuje žiadnu zložitú logiku – umožňuje napríklad nastavenie atribútu s e-mailovou adresou v cieľovom systéme, túto adresu však sám negeneruje; to je úloha IDM systému. Preto je vytvorenie konektora zvyčajne relatívne jednoduchá záležitosť.

Konektory sa pridávajú do IDM systému podobne, ako sa do operačného systému pridávajú ovládače. V minulosti IDM systémy používali proprietárne rozhrania konektorov, takže konektory jednotlivých systémov neboli navzájom kompatibilné. Moderné IDM systémy už využívajú spoločné rozhrania a IDM systémy druhej generácie sú čiastočne alebo úplne kompatibilné.

Hlavným prínosom IDM systémov je ich silná logika pri správe identít. Ostatné komponenty IAM riešenia zvyčajne implementujú len veľmi jednoduché modely prístupových práv. Kvalitné IDM systémy však poskytujú komplexné modely prístupov založených na roliach (RBAC), modely mapovania atribútov a flexibilné modely organizačných štruktúr. Špičkové IDM systémy poskytujú aj mechanizmy na podmienečné a parametrické role, rôzne časové a početné limity na priradenia rolí  a podobne. Tieto sofistikované modely sú založené na mnohoročnom výskume a vývoji a sú overené v praxi. Preto je použitie vyspelých IDM systémov také efektívne: bezpečnostné politiky možno efektívne konfigurovať namiesto prácneho a zdĺhavého programovania.

Automatický proces správy prístupov pracuje nasledovne: údaje o novom zamestnancovi sa zadajú do personalistického (HR) systému. IDM systém to zistí, údaje spracuje a zistí pracovné zaradenie zamestnanca. Podľa pracovnej pozície a organizačnej jednotky pre zamestnanca vyberie vhodné roly. Na základe rolí IDM systém vytvorí záznam v adresárovom systéme, schránku elektronickej pošty s jedinečnou e-mailovou adresou, prístupy do aplikácií, atď. Podobný proces nastáva pri zmene pracovného zaradenia zamestnanca a pri jeho odchode.

Automatizácia správy účtov a prideľovanie prístupových práv sú najvýraznejšie motivácie pre použitie IDM systémov. V praktických nasadeniach je možné automatizovať podstatnú časť procesov správy identít. Úplná automatizácia je však možná len vo veľmi ojedinelých prípadoch a snaha o prehnanú automatizáciu môže priniesť viac škody ako úžitku. Preto je väčšina IDM systémov navrhnutá na efektívnu podporu poloautomatických procesov. Pri takomto procese je zo zamestnancovej pracovnej pozície automaticky odvodená len časť prístupových práv a o ostatné musí zamestnanec požiadať. Po žiadosti sa naštartuje schvaľovací proces (workflow), ktorý smeruje žiadosť na správnych schvaľovateľov, rieši eskalácie a zastupovania a podobne. Po schválení požiadavky sa prístupy zriadia automaticky. Tento spôsob sa využíva veľmi často, preto väčšina IDM systémov obsahuje zabudovaný subsystém na riadenie pracovných procesov (workflow engine).

Prirodzený tok údajov je z personalistického (HR) systému cez IDM systém až do cieľových systémov. IDM systémy však vedia využiť aj opačný tok údajov a tým zabezpečiť udržateľnú konzistenciu údajov vo všetkých systémoch. IDM systém napríklad využíva takzvanú rekonciliáciu, pri ktorej porovnáva reálne údaje v cieľovom systéme so stavom daným nastavenými politikami (napríklad rolami). Ak IDM systém zistí nekonzistenciu, môže automaticky reagovať a nekonzistenciu odstrániť. Napríklad ak IDM systém pri rekonciliácii zistí, že na cieľovom systéme existuje účet, ktorý nepatrí žiadnemu používateľovi, môže taký účet automaticky zablokovať a notifikovať správcu systému. Podobne môže IDM systém opraviť príliš vysoké prístupové práva používateľa, opätovne vytvoriť omylom zmazaný účet a podobne. Takýmto spôsobom IDM systém zabezpečuje dodržiavanie bezpečnostnej politiky vo všetkých integrovaných systémoch z jedného miesta, čo robí IDM technológie nenahraditeľnými z pohľadu informačnej bezpečnosti.

Ďalšou bezpečnostnou funkcionalitou IDM systémov je audit. IDM systémy zaznamenávajú všetky vykonané akcie do auditného záznamu. Z auditného záznamu je jasné, kto komu pridelil privilégiá, kedy sa to stalo, kto o to žiadal, kto požiadavku schválil a podobne. Tieto informácie sú nenahraditeľné pri bezpečnostných štúdiách, vyšetrovaní bezpečnostných incidentov a podobne.

Rozšírením IDM systémov sú funkcie zo skupiny „governance“. Tieto funkcie implementujú rozšírené bezpečnostné politiky a pracovné procesy zamerané najmä na dlhodobo udržateľnú správu podnikových identít. Napríklad cieľom bežného schvaľovacieho procesu v IDM systémoch je zabezpečiť, aby mal každý používateľ aspoň také prístupové práva, aké potrebuje na vykonávanie svojej práce. Tento proces však nezabezpečuje odstraňovanie prístupových práv, ktoré už nie sú potrebné. Preto sa po čase prejaví tendencia používateľov akumulovať prístupové práva, čo predstavuje bezpečnostné riziko. Procesy „governance“ implementujú mechanizmy na dlhodobú udržateľnosť systému a riadenie bezpečnostného rizika. Napríklad proces recertifikácie implementuje pravidelné revízie prístupových práv používateľov s cieľom overiť opodstatnenosť pridelených prístupových práv a odstraňovať nepotrebné prístupové práva.

IDM systémy sú nenahraditeľnou časťou akéhokoľvek plnohodnotného IAM riešenia. Žiaden iný komponent neposkytuje také obsiahle modely prístupových práv, rolí a organizačných štruktúr, podporu riadenia pracovných procesov, synchronizačné a konzistenčné procesy a množstvo iných bezpečnostných a podporných procesov. Bez zveličovania sa dá povedať, že IDM systém je mozgom celého IAM riešenia.

Radovan Semancik a Ivan Noris

Evolveum


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

ITPro

Linux súkromne i pracovne v2.0 (14. časť): Small Business Server

09.11.2016 14:57

Pojem Small Business Server (malý firemný server) začala používať spoločnosť Microsoft ešte v roku 2000 na označenie servera, ktorý ­dokázal plniť úlohy niekoľkých samostatných serverov. Aplikačná vrs ...

ITPro

Industry 4.0: Fikcia alebo už realita?

09.11.2016 14:52

Štvrtá priemyselná revolúcia je pomenovanie rozsiahlych zmien prudko vstupujúcich do súčasného priemyslu. Nositeľom týchto zmien je digitalizácia výroby a optimalizácia všetkých podnikových procesov v ...

ITPro

Vývoj aplikácií UWP pre Xbox One II.

09.11.2016 14:47

V predošlej časti sme ukázali postup, ako si ­vytvoriť vývojársky účet a aktivovať vývojársky režim na hernej konzole Xbox One, aby ste mohli testovať svoje aplikácie. Výhodou hernej konzoly Xbox je v ...

Žiadne komentáre

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá