Кризис идентификации (управления) (часть 4): выбор комплексного решения для управления идентификацией

Введение

В частях с 1 по 3 этой серии мы рассмотрели эволюцию концепции «идентификации», неправильные представления об идентичности в мире ИТ и некоторые современные решения для управления идентификацией с акцентом на цифровые подписи. В этой части 4 мы более подробно рассмотрим критерии выбора комплексного решения по управлению идентификацией для организации или федеративного решения по управлению идентификацией.

Один размер не подходит всем

Цель системы управления идентификацией — гарантировать, что только аутентифицированные и авторизованные пользователи имеют доступ к сетевым ресурсам. Хорошая система управления идентификацией максимально автоматизирует этот процесс и позволит пользователям осуществлять самообслуживание (например, возможность сбрасывать собственные пароли).

Существует большое количество решений для управления идентификацией, доступных от разных поставщиков, некоторые из которых более сложные (и дорогие), чем другие. Не существует единой «правильной» системы, которая соответствовала бы потребностям каждой организации. При выборе решения для вашей организации необходимо учитывать:

• Область применения (управление идентификацией в рамках одной организации или большой федерации)
• Набор функций (простота против более детального управления)
• Простота развертывания
• Масштабируемость
• Бюджет

Первый шаг — точно определить, что вы хотите, чтобы система делала. В федеративной системе доверие устанавливается между различными организациями. Система может обеспечивать единый вход (SSO), с помощью которого пользователи могут входить в систему поставщика удостоверений и получать доступ к ресурсам в любом месте доверительного отношения без необходимости входа в несколько систем (при условии, что его учетная запись имеет разрешения на доступ к этим ресурсам). Это позволяет организациям в федерации делиться услугами с пользователями друг друга.

Существуют как открытые, так и проприетарные системы управления идентификацией для использования в организациях. Чем более полный набор функций, тем более сложным будет развертывание и администрирование системы, что влечет за собой потребность в квалифицированном/обученном персонале и/или найме специалистов для настройки системы.

Возможности системы управления идентификацией

Большинство систем управления идентификацией (IDM) предоставляют стандартные функции в некоторых или во всех следующих категориях:

• Предоставление, удаление и управление учетными записями пользователей
• Синхронизация паролей и атрибутов
• Корпоративный единый вход
• Федерация
• Управление доступом
• Подготовка и управление на основе правил
• Обеспечение и управление на основе ролей
• Управление на основе политик
• Составление отчетов
• Интеграция DLP (предотвращение утечки данных)

Все основные решения предусматривают централизованный репозиторий для хранения идентификационной информации, и большинство из них будет включать мастеров (возможно, под другим именем) для упрощения процесса управления. Если у вас гетерогенная среда, вам понадобится решение, поддерживающее различные типы каталогов, баз данных, операционных систем и приложений. Вы также захотите определить, какие типы аутентификации поддерживаются (пароли, биометрические данные, токены).

Аудит и отчетность часто упускают из виду, но это жизненно важные функции. Возможно, вам потребуется возможность настраивать отчеты, поэтому крайне желательно решение, позволяющее делать это без навыков программирования.

Архитектура систем управления идентификацией

Архитектура системы IDM начинается с источников информации. Сюда входят пользователи системы, роли, которые они выполняют в организации (организациях), доверительные отношения, распространяющиеся на организации, и политики, определяющие, как правила идентификации относятся к доступу к ресурсам. Управление идентификацией основано на службах каталогов, которые функционируют как хранилища данных о пользователях и их идентификационных данных. В дополнение к ролям, детализированная авторизация может использовать пользовательские атрибуты, такие как продолжительность рабочего времени, образование/военное или другое прошлое до трудоустройства и так далее. Таким образом, база данных каталога должна быть настраиваемой с расширяемой схемой.

Механизмы обработки этой информации включают аутентификацию и авторизацию, обработку правил, рабочий процесс и то, как задачи управления идентификацией интегрируются с другими процессами, такими как соответствие требованиям и управление. Все это достигается с помощью специальных приложений, которые выполняют инициализацию и деинициализацию учетных записей пользователей, самообслуживание, единый вход, аудит и отчетность и т. д. Пользователи должны иметь возможность легко выполнять задачи самообслуживания из любого места, а администраторы должны иметь возможность удаленно управлять системой IDM. Приложения веб-служб могут разрешать доступ к системе через веб-портал. Приложения, составляющие решение IDM, включают веб-службы, службы каталогов, базы данных и сами приложения IDM. Эти приложения будут построены на стандартных протоколах (HTTP/HTTPS, XML, LDAP, SQL и т. д.).

Высокая доступность является основным требованием к системе управления идентификацией, поскольку ее функция жизненно важна для предоставления пользователям доступа к ресурсам, необходимым для выполнения их работы. Таким образом, репликация каталогов. Надежность информации также имеет ключевое значение, а это означает, что необходимо учитывать синхронизацию каталогов. Наконец, производительность важна для предотвращения разочарования пользователей и замедления бизнес-процессов.

Поставщики IDM

Популярные решения IDM продаются:

• Майкрософт
• HP
• IBM
• Калифорния
• Курион
• Новелл
• Оракул
• САП
• Сименс

и многие другие. Мы более подробно рассмотрим четверку лучших в разделах ниже.

Решения Майкрософт для идентификации

Многие магазины Windows, естественно, в первую очередь обращают внимание на Microsoft при рассмотрении решений IDM. Службы Active Directory включают интегрированный IDM. Службы федерации Active Directory (AD FS) впервые были включены в Windows Server 2003 R2. Он интегрируется с доменными службами Active Directory, которые он использует в качестве поставщика удостоверений. Схема AD была расширена для поддержки прямого поиска удостоверений UNIX в доменных службах Active Directory с добавлением вкладки «Атрибуты UNIX» в консоли управления «Пользователи и компьютеры» при запуске сервера для NIS на контроллере домена. AD FS — это роль сервера в Windows Server 2008 и 2008 R2. С помощью AD FS две разные организации могут создавать доверительные отношения через серверы федерации, которые аутентифицируют пользователей через Active Directory, а также выдают и проверяют токены.

Существует множество программных пакетов IDM сторонних производителей, предназначенных для работы с Active Directory для расширения возможностей IDM, таких как Netwrix Identity Management Suite, Softera Adaxes и продукты от Centrify.

Microsoft выпустила несколько итераций собственного отдельного решения IDM. Microsoft Identity Integration Server (MIIS) вырос из Microsoft Metadirectory Server (MMS) и был выпущен в 2003 году. В 2007 году название было изменено на Identity Lifecycle Manager (ILM), а затем в 2010 году оно снова превратилось в Forefront Identity Manager ( ФИМ). FIM предназначен для интеграции как с Active Directory, так и с Exchange и использует знакомые инструменты. Пользователи могут воспользоваться преимуществами самообслуживания через Outlook, а администраторы могут управлять удостоверениями через интерфейс на основе SharePoint.

FIM основывается на сочетании ILM управления идентификацией с управлением сертификатами и смарт-картами и обеспечивает возможность более эффективного управления идентификацией в масштабах предприятия. Организации могут объединять идентификационную информацию из разных каталогов и систем и синхронизировать учетные записи пользователей в этих системах, создавая одну адресную книгу для обслуживания нескольких лесов. Когда пользователи меняют роли, их информация может обновляться автоматически, чтобы у них были правильные права доступа для их новых ролей. FIM позволяет создавать централизованные политики и упрощает автоматизацию и применение политик идентификации. Существуют соединители для интеграции с базами данных, каталогами и операционными системами сторонних производителей, такими как Oracle, SAP, Novell, Sun, Lotus Notes и другими.

Дополнительные сведения о FIM см. в официальном документе « Понимание FIM 2010».

Решения HP для идентификации

Hewlett-Packard занялась управлением идентификацией в 2004 году, когда они добавили эту функцию в свою систему управления сетью OpenView с помощью программного обеспечения, созданного их приобретением TruLogica. OpenView был переименован в 2007 году, и вскоре после этого HP прекратила выпуск своих продуктов Select Access, Federation и Identity, хотя они продолжат поддерживать эти продукты до 2013 года.

Теперь HP предлагает управление идентификацией и доступом как услугу. Их предложение IAM включает в себя управление жизненным циклом идентификации с возможностью гибкого использования различных учетных данных, включая сертификаты, токены и биометрические данные. Он также включает службы федерации, управление каталогами и доступом, а также службы отчетности и аудита.

Решения IBM для идентификации

IBM предоставляет IDM как часть набора продуктов управления Tivoli. Tivoli Identity Manager основан на политиках и ролях и объединяет управление идентификацией и доступом. Это очень комплексное решение, которое поддерживает самообслуживание и может похвастаться такими функциями, как инициализация пользователей с обратной связью (для обнаружения и исправления несоответствий между утвержденным доступом и локальными привилегиями) и разделение обязанностей (для предотвращения конфликтов доступа пользователей).

Tivoli Identity Manager поддерживает ряд различных платформ, включая Windows Server, корпоративные серверы SUSE и Red Hat Linux, Sun Solaris и, конечно же, собственный AIX IBM. Он интегрируется с ERP-системами и широким спектром популярных бизнес-приложений. Вы можете узнать больше об этом здесь.

Решения CA для идентификации

CA Technologies предлагает продукт IDM под названием CA Identity Manager, который был протестирован с аудиторией до 100 миллионов внутренних и внешних пользователей в различных сценариях (государственное учреждение, компания электронной коммерции, предприятие розничной торговли). Он включает в себя обычные функции автоматизированной подготовки и процессов, самообслуживания, а также анализа и контроля ролей и политик. Он предназначен для работы с другими решениями CA, такими как их диспетчер ролей и соответствия требованиям, модуль отчетов об активности пользователей и т. д. Он также поддерживает соединители для баз данных Active Directory, SAP и Salesforce.com и использует собственный каталог CA Directory, который работает с другими серверами LDAP.

CA Directory использует технологию хранилища с отображением памяти, которая называется DXgrid, чтобы обеспечить большую масштабируемость и лучшую производительность. Идея заключается в использовании маршрутизации по кратчайшему пути и параллельного поиска между серверами. Существует также ряд улучшений надежности, таких как сквозная запись (вместо отложенной записи), распределение нагрузки и аварийное переключение.

CA также предлагает IdentityMinder как услугу, размещенное в облаке развертывание своего решения по предоставлению ресурсов для локальных и облачных приложений. Это часть целого набора облачных сервисов под названием CloudMinder, который включает CA AuthMinder как услугу, RiskMinder как услугу и FedMinder как услугу. В этом техническом документе обсуждаются стратегия и видение CA в отношении управления идентификацией и доступом для облака.

Контрольный список сравнения решений для управления идентификацией

Выбор решения для управления идентификацией требует разумного сравнения функций и функций в контексте потребностей, предпочтений и бюджета вашей организации. Некоторые соображения включают:

• Построено ли решение для идентификации на платформе рабочего процесса?
• Построено ли решение для идентификации на платформе, основанной на ролях?
• Построено ли решение для идентификации на платформе, основанной на политиках?
• Достаточно ли она масштабируема, чтобы удовлетворить ваши потребности в будущем и в настоящем?
• Может ли он легко интегрироваться с несколькими каталогами и управлять ими?
• Работает ли он во всех операционных системах и приложениях, развернутых в вашей организации?
• Обеспечивает ли он единый вход и службы федеративной идентификации в организациях?
• Предусматривает ли он самостоятельный сброс пароля пользователем?
• Поддерживает ли он сторонние методы многофакторной аутентификации?
• Легко ли его настроить без навыков программирования?
• Есть ли у него дружественный, настраиваемый пользовательский интерфейс?
• Включает ли он комплексный аудит и отчетность, включая настройку отчетов, а также предварительно настроенные отчеты?

Резюме

Выбор решения IDM требует тщательного анализа шаблонов рабочих процессов организации, соображений безопасности, ролей пользователей, требований соответствия и многого другого. Следует учитывать не только текущее состояние, но и планы и цели на будущее (например, переход в облако). Базовая архитектура IDM будет опираться на масштабируемость, надежность и высокую доступность ключевых функций, таких как подготовка учетных записей пользователей, аутентификация, авторизация и управление доступом.

В части 4 этой серии мы обсудили функции и архитектуру решения IDM, конкретные популярные решения IDM, доступные в настоящее время, а также контрольный список для оценки решений IDM. В части 5 мы обсудим будущее управления идентификацией, уделив особое внимание влиянию облака на IDM.