Должен ли Microsoft Identity Integration Server быть частью вашего плана обеспечения безопасности?

Опубликовано: 14 Апреля, 2023

Вы поддерживаете тысячи пользователей в своей большой сети, и эти пользователи полагаются на десятки, а то и сотни приложений для выполнения своей работы. В современном деловом климате безопасность всегда является проблемой. Вы хотите, чтобы ваши пользователи имели доступ только к необходимой им информации, и не хотите, чтобы посторонние получили доступ к конфиденциальным внутренним данным.


Вы внедрили элементы управления доступом, чтобы этого не произошло, но эти элементы управления зависят от точной проверки личности всех пользователей, которые входят в систему, и кража личных данных становится проще в среде, где отдельные пользователи могут затеряться в толпе. Еще больше усложняет ситуацию то, что каждое приложение может иметь свою собственную базу данных пользователей или каталог, они могут использовать разные методы аутентификации, а у пользователя могут быть разные пароли для разных систем.


Управление всеми этими идентификационными данными может стать административным кошмаром. Старые учетные записи не могут быть удалены или деактивированы незамедлительно, в результате чего бывшие сотрудники и другие лица получат доступ, которого у них больше не должно быть. В то же время новые сотрудники могут не иметь возможности быстро создавать учетные записи во всех системах, поэтому они не могут выполнять часть своих должностных обязанностей.


Что еще хуже, правительственные постановления, такие как HIPAA и COPPA в США, Закон о защите данных в Великобритании и аналогичные законы, требуют от организаций соблюдения строгих стандартов, регулирующих хранение и распространение идентификационной информации.


Что необходимо, так это способ консолидировать несколько баз данных удостоверений, чтобы их можно было защитить и управлять ими из централизованного места. В этой статье мы обсудим, как Microsoft Identity Integration Server (MIIS) может помочь сетевым администраторам корпоративного уровня сделать именно это.


Что такое МИИС?


У Microsoft есть множество серверных продуктов, и легко запутаться во всех аббревиатурах и изменениях названий. Многие сетевые администраторы не знакомы с MIIS (которую вы также иногда можете увидеть для обозначения веб-сервера Microsoft Internet Information Services, более известного как IIS). В своем первоначальном воплощении он был известен как Microsoft Metadirectory Services или MMS; изменение названия произошло в версии 2003 года.



Оригинальное название более точно описывает, что такое MIIS (собственное лицо, если хотите). Это приложение, работающее как служба Windows на сервере Server 2003. Оно построено на основе метакаталога, который представляет собой каталог, объединяющий и упорядочивающий информацию из других отдельных каталогов или баз данных в одном централизованном расположении. Служба метакаталога связывает отдельные каталоги, чтобы вы могли управлять обменом данными между ними. Например, изменения, внесенные в одну базу данных, могут быть автоматически распространены на другие связанные базы данных.


MIIS специально консолидирует идентификационную информацию. Сюда могут входить идентификаторы и пароли для входа в систему, информация об учетной записи электронной почты, номера телефонов, адреса, номера социального страхования, идентификационные номера сотрудников и другая информация.


В частности, MIIS выполняет следующие действия:




  • Предоставление и удаление аккаунта


  • Синхронизация каталогов


  • Интеграция и управление идентификацией

Как работает инициализация/отмена инициализации аккаунта


Инициализация и отмена относятся к автоматическому созданию и удалению учетных записей пользователей. Например, при приеме на работу нового сотрудника информация о нем заносится в базу данных отдела кадров. С помощью MIIS эту информацию можно использовать для автоматического создания учетных записей в других подключенных базах данных для человека. Точно так же, если отдел кадров отмечает сотрудника как уволенного, его учетная запись для входа в систему, учетная запись электронной почты и другие учетные записи в базах данных по всей организации могут быть автоматически отключены или удалены.


Как работает синхронизация каталогов


Синхронизация каталогов включает обеспечение того, чтобы конкретная информация о человеке (например, его адрес электронной почты или номер социального страхования) была одинаковой в разных базах данных, в которые вводится эта информация. Это достигается путем обеспечения точности информации в метакаталоге и передачи этой информации в другие каталоги.


Как работает интеграция и управление идентификацией


Ключевым аспектом управления идентификационной информацией, которая находится во многих разрозненных базах данных, является определение того, какой источник является авторитетным. То есть, если в двух или более базах данных есть противоречивая информация, какая из них считается точной?


Различные базы данных могут быть лучше всего определены как авторитетные для разных частей информации. Таким образом, идентификационная информация делится на отдельные атрибуты; например, два атрибута, связанных с пользователем, могут включать его адрес электронной почты и должность. База данных LDAP, используемая отделом кадров, может считаться авторитетной в отношении названия должности, поскольку этот отдел, скорее всего, будет располагать самой актуальной информацией по мере продвижения сотрудников по службе или их перемещений внутри компании. С другой стороны, информация об адресе электронной почты в базе данных персонала может быть устаревшей, поскольку она, вероятно, была введена, когда сотрудник впервые пришел в организацию. Сервер Exchange компании был бы наиболее логичным авторитетным источником этой части информации.


MIIS позволяет извлекать выбранные атрибуты из подключенных баз данных, при этом конфликты разрешаются в соответствии с тем, какие атрибуты считаются авторитетными для этого атрибута, а затем эти атрибуты объединяются в метакаталоге. Затем MIIS может распознавать изменения, внесенные в одну из подключенных баз данных, и (на основе определенных вами правил) распространять изменения на другие базы данных. Эти правила определяют, будут ли, когда и как изменения распространяться по базам данных организации.


Управление идентификацией «Части и части»


Давайте кратко заглянем внутрь MIIS и на компоненты, составляющие инфраструктуру управления идентификацией.


Выделенная база данных SQL содержит набор таблиц, в которых хранятся идентификационные данные. Этот набор таблиц называется метавселенной. Для каждого объекта (человека) существует одна запись метавселенной, которая содержит атрибуты этого объекта, взятые из всех различных баз данных, подключенных к MIIS.


Каталоги, базы данных, плоские файлы и другие источники идентификационных данных, которые должны быть консолидированы в метавселенной (информация в метакаталоге), известны как подключенные источники данных. Они соединяются агентами управления, также называемыми соединителями, которые представляют собой программы, работающие на сервере MIIS. Для каждого подключенного источника данных существует отдельный агент управления. Агент управления контролирует, какие атрибуты из конкретной базы данных будут интегрированы в метавселенную.


MIIS поставляется с рядом агентов управления, в том числе для Active Directory/ADAM, NT 4.0, глобальных списков адресов Exchange (GAL), Novell eDirectory, Oracle 8i и 9i, Lotus Notes/Domino, SQL 7/2000, SunOne/iPlanet/ Netscape, IBM Informix, dBase и другие. MIIS также может подключаться к файловым системам, таким как текст с разделителями, Excel, XML.


У каждого агента управления есть выделенная область хранения в хранилище метакаталога, которая называется пространством соединителя. Здесь хранится подмножество атрибутов каждого объекта. Здесь хранятся разные версии каждого объекта (называемые разными состояниями и основанные на атрибутах в определенные периоды времени).


Что нового в MIIS 2003?


Когда Microsoft выпустила MIIS 2003, чтобы заменить старую MMS, изменилось не только название. Одним из существенных изменений стал переход от проприетарной базы данных, используемой MMS, к базе данных SQL для обеспечения лучшей масштабируемости и производительности, а также стандартизированной модели безопасности и упрощения программирования. Другие улучшения и новые функции включают в себя:




  • Поддержка инструментария управления Windows (WMI)


  • Пользовательские и операционные веб-интерфейсы


  • Интеграция с сервером BizTalk


  • Новые или улучшенные агенты управления для ряда различных баз данных, включая Active Directory (AD), Exchange, LDAP, Lotus Notes и XML.


  • Поддержка международных языков, таких как японский и немецкий.

Хотя эти изменения приносят много преимуществ, некоторые из них потребуют повторного обучения со стороны администраторов MMS. Старая проприетарная база данных MMS была основана на стандартах X.500, которые допускали доступ LDAP, а также репликацию и ссылки типа X.500. Новая база данных SQL не позволяет этого (вместо этого клиенты могут выполнять запросы SQL). Еще одно отличие — потеря встроенного HTTP-сервиса.


Одним из приятных изменений является возможность использовать Visual Basic и C# для написания сценариев вместо языка сценариев Zoomit (zscript), поскольку на многих предприятиях работают программисты, знающие VB и C#. Кроме того, с MIIS 2003 требуется меньше сценариев.



Новые возможности управления паролями включают возможность для пользователей изменять пароли, а для персонала службы поддержки сбрасывать пароли через веб-интерфейс в подключенных каталогах, включая AD/ADAM, NT 4.0, Novell eDirectory и SunOne Directory Server.


Пробуем MIIS


Если вы считаете, что MIIS может помочь получить контроль над хаотичной смесью каталогов в вашей сети, мы должны предупредить вас, что это недешево. Полная версия MIIS под названием Enterprise Edition стоит 24 999 долларов за процессор. Если вы просто заинтересованы в тестировании, нерабочая лицензия доступна для тех, у кого есть подписка MSDN Universal. Если вы не являетесь участником MSDN, не отчаивайтесь. 180-дневную пробную версию MIIS можно загрузить по адресу http://www.microsoft.com/downloads/details.aspx?FamilyId=E2CF0ECE-9F0D-4D73-BDD7-A32091AB3F30&displaylang=en.


Если все, что вам нужно сделать, это синхронизировать базы данных AD в лесах вместе с глобальными списками адресов (GAL) Exchange, рассмотрите возможность использования пакета функций интеграции удостоверений (IIFP) для Active Directory. Это работает как «MIIS Lite», обеспечивая подготовку учетных записей, синхронизацию каталогов и интеграцию удостоверений только между базами данных AD/ADAM и Exchange. Лучше всего то, что IIFP бесплатен. Его можно загрузить по адресу http://www.microsoft.com/downloads/details.aspx?FamilyID=d9143610-c04d-41c4-b7ea-6f56819769d5&DisplayLang=en.


Установка MIIS


Для установки полноценной MIIS или IIFP вам потребуется компьютер с Windows Server 2003 со следующей минимальной конфигурацией оборудования:




  • PIII 500 МГц или эквивалент (предпочтительнее P4)


  • 512 МБ оперативной памяти (желательно 1 ГБ)


  • 20 МБ свободного места на диске для приложения MIIS


  • 8 ГБ или более свободного места на диске для файлов базы данных


  • CD- или DVD-привод


  • SVGA-монитор


  • Указывающее устройство

Вам также потребуется SQL Server 2000 с пакетом обновления 3, а если вы хотите создавать расширения правил, вам потребуется Visual Basic.NET 2003 или Visual Studio.NET 2003.


Дополнительные сведения о MIIS


Есть несколько хороших источников информации о MIIS, если вы хотите узнать больше, прежде чем сделать решающий шаг:




  • Веб-сайт Microsoft MIIS: http://www.microsoft.com/windowsserver2003/technologies/directory/miis/default.mspx


  • Дискуссионная группа пользователей MIIS на Yahoo: http://groups.yahoo.com/group/mmsug/


  • Новая группа метакаталога Microsoft: http://support.microsoft.com/newsgroups/default.aspx?ICP=GSS3&NewsGroup=microsoft.public.metadirectory&SLCID=US&sd=GN&id=fh;en-us;группы новостей

Резюме


Сервер Microsoft Identity Integration Server (MIIS) и его «облегченная» версия Identity Integration Feature Pack для Windows Server 2003 (IIFP) могут помочь организациям получить доступ ко всем разрозненным базам данных в организации, которые содержат информацию об удостоверениях личности. MIIS предоставляет централизованный способ управления этой информацией и обеспечения ее точности. Точная идентификационная информация лежит в основе сетевой безопасности, и если управление идентификацией в вашей организации вышло из-под контроля, MIIS или IIFP могут стать важной частью вашего плана безопасности.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023