Identity a Access Manager řešení jednotné správy uživatelů a uživatelských oprávnění pro heterogenní prostředí

Transkript

1 Identity a Access Manager řešení jednotné správy uživatelů a uživatelských oprávnění pro heterogenní prostředí Marta Vohnoutová Siemens IT Solutions and Services, s.r.o. Evropská 33a, Praha 6 marta.vohnoutova@siemens.com Abstrakt Každá platforma, databáze, skupina aplikací apod. má svou vlastní správu, vlastní seznam uživatelů a uživatelských oprávnění, vlastní bezpečnostní politiku atd.. Správa je náročná, ovládání aplikací a přístup k datům klade nároky jak na správce systémů, tak na vlastníky dat i běžné uživatele. Ani pro celkovou bezpečnostní politiku organizace není tento stav vhodný. Proto se implementuje Identity a Access Management. Příspěvek pojenává o implementaci Identity a Access Managementu v rozsáhlém heterogenním prostředí intranetu státní správy. Abstract Every platform, database, group of applications etc.has its own administration, own list of users and user access rights, own security policy etc. The result of it is that the administration is demanding, management of applications and data access is difficult and demanding both for administrators, data owners and even for common users. This situation is not suitable even for the security policy of such organization. That is why the Identity and Access Management is implemented. This ammendment describes the implementation of the Identity and Access Management in heterogenous environment of an intranet of n important state institution. Klíčová slova Identita, Autentizace, Autorizace, Audit, Workflow, Řízení identity (Identity Management IM), Řízení přístupových práv (Access Management - AM), Adresářové služby DAP (ightweight Directory Access Protocol), AD (Active Directory), Role a pravidla, SSO (SingleSignOn), Autentizační API, AAA přístupový portál Keywords Identity Authentication, Authorization, Audit, Workflow, Identity Management IM, Access Management - AM, ightweight Directory Access Protocol, AD (Active Directory), Roles and Rulesa, SSO (SingleSignOn), Authentization API, AAA access portal 1 Problémy s údržbou heterogenního prostředí Ve většině větších firem a organizací existuje heterogenní prostředí. Používají zde různé aplikace na různých operačních systémech, různých databázích, centralizované, decentralizované i lokální, s přístupy přes terminál, klient-, webové rozhraní. Každá platforma, případně i skupina operačních systémů apod., databáze, skupina aplikací má svou vlastní správu, vlastní seznam uživatelů a uživatelských oprávnění, vlastní bezpečnostní politiku atd. SYSTEMS INTEGRATION

2 MARTA VOHNOUTOVÁ Správa je náročná, ovládání aplikací a přístup k datům klade nároky jak na správce systémů, tak také na vlastníky dat i běžné uživatele. Ani pro celkovou bezpečnostní politiku organizace není tento stav vhodný. Podívejme se, jak vypadá například putování nového zaměstnance po organizaci. Obrázek 1: Povinné kolečko nového zaměstnance po organizaci Odborně můžeme říci, že takové nedůstojné kolečko musí nový zaměstnanec absolvovat po organizaci, která nemá implementovánu správu identit tzv. Identity manager. 2 Identity Manager Jestliže organizace implementuje Identity Manager pak stačí, aby zaměstnanec navštívil pouze personální oddělení. To mu vydá zaměstnaneckou průkazku a čipovou kartu s instalovanými certifikáty, umožňující mu pohyb po budově i kontrolovaný přístup k aplikacím a datům. Zakládání účtů a distribuci dat po jednotlivých systémech se děje automaticky a to je právě úkol Identity Managera. Podívejme se na následující obrázek: 302 SYSTEMS INTEGRATION 2007

3 IDENTITY A ACCESS MANAGER - ŘEŠENÍ JEDNOTNÉ SPRÁVY UŽIVATEŮ A UŽIVATESKÝCH OPRÁVNĚNÍ Obrázek 2: Po implementaci Identity Manageru stačí, aby nový zaměstnanec zašel pouze na personální oddělení. Nastoupí nový zaměstnanec, jeho cesta vede na personální oddělení (1), kde ho zaregistrují do svého HR systému. Tím se především rozumí, že pracovníkovi je přiděleno originální zaměstnanecké číslo a je zařazen do organizační struktury. Celý další proces je automatizován. Aktivace (provisioning) zjistí nový záznam (2) v HR systému a předá ho do Identity Manageru k nastavení účtů zaměstnance a uživatelských atributů (3). Identity Manager poté inicializuje tzv. workflow se žádostí o schválení pro odpovědné osoby (4) a po schválení (5) aktivuje účty uživatele v operačních systémech, databázích, aplikacích, el.poště apod. (6). Celý proces je auditován (7). 2.1 Co je Identity Management Identity Management je strategie zahrnující různé postupy, procesy a informace sloužící k identifikaci identity během jejího životního cyklu. Touto identitou je jedinec, jeho identita je specifikována množinou příslušných atributů (oprávnění). K vyřešení Identity Managementu slouží nástroj tzv. Identity Manager. Identity Management produktů (dále IM) je na trhu celá řada a jejich kvalita je různá. Hlavními komponentami Identity Managera obvykle jsou: Adresářové služby Správa elektronických identit Registrace Aktivace (provisioning) Schvalovací workflow Delegování pravomocí Self-service vybraných činností uživatel si např. smí sám změnit heslo apod. Synchronizace údajů SYSTEMS INTEGRATION

4 MARTA VOHNOUTOVÁ Identity Management centralizuje všechny potřebné údaje o uživatelích (neboli identitách) do jednoho místa. Pomocí Identity Managera lze uživatelské účty snadno vytvořit a/nebo zrušit, čímž přestanou v systémech existovat tzv. mrtvé duše, které tam zůstaly po dřívějších zaměstnancích nebo po různém testování apod. 2.2 Co je workflow? Kvalitní Identity Manager obsahuje propracovaný systém tzv. workflow, který je srdcem systému. Česky bychom jej nazvali nejspíše schvalovací proces. Obrázek.3: Příklad workflow Nastavení workflow není jednoduché, ale jeho správná funkce má za následek, že povolování rolí a přístupových oprávnění provádějí opravdu ti, kdo mají, tedy nadřízení, správci dat apod. a nikoliv ti, kdo rozumí IT technologiím, jak tomu bylo doposud. Workflow oprávněným osobám totiž data ke schválení přihraje takovým způsobem a v takovém tvaru, že IT technologiím opravdu rozumět nepotřebují. Workflow může také poskytovat data pro informaci, vyjadřovat se k nim apod. 2.3 Integrace aplikací do Identity Manageru Aby mohl Identity Manager s jednotlivými aplikacemi, databázemi a operačními systémy komunikovat, musí být do Identity Manageru nejprve integrovány. Je rozdíl, jestli je integrovaná aplikace celosvětově rozšířená nebo proprietální. Aplikace celosvětově rozšířené nebo založené na standardech Tyto aplikace jsou integrovány pomocí předefinovaných konektorů (adaptérů), které jsou součástí dodávky Identity Manageru. Příkladem aplikací a systémů, ke kterým jsou dodávány již hotové konektory, jsou: Operační systémy např. RedHat inux, Solaris apod. Databáze např. Oracle, MS SQ apod. Webové y např. WebSphere, MS IIS, apod. Rozšířené aplikace např. SAP 304 SYSTEMS INTEGRATION 2007

5 IDENTITY A ACCESS MANAGER - ŘEŠENÍ JEDNOTNÉ SPRÁVY UŽIVATEŮ A UŽIVATESKÝCH OPRÁVNĚNÍ Aplikace proprietální Proprietální aplikace jsou integrovány pomocí konektorů, které je potřeba nejprve naprogramovat detailně popsané API je také součástí dodávky Identity Manageru. Příkladem může být např. již zmiňovaný HR systém apod. Centralizované údaje o uživatelích a jednotnou správu uživatelských účtů tedy máme. Zákonitě nás však napadne, že by bylo vhodné stejným způsobem spravovat i přístupová práva k jednotlivým aplikacím. K tomu slouží další produkt Access Manager. 3 Access Manager Proces přidělování a správy uživatelských oprávnění je nyní ve většině organizací decentralizován. Je tedy velmi obtížné zjistit, jaká přístupová oprávnění má který uživatel nastavena. Příklad takového stavu je na následujícím obrázku: Obrázek 4: Správa přístupových oprávnění před implementací Access Manageru Některé aplikace využívají jako zdroj informací o uživatelských oprávněních Active Directory, jiné databáze, různé tabulky či textové soubory. Po implementaci Access Manageru budeme mít buď pouze jeden zdroj informací o uživatelských oprávněních nebo pokud to nebude proveditelné, vytvoříme navzájem provázanou hierarchii. Obrázek 5: Správa přístupových oprávnění po implementaci Access Manageru SYSTEMS INTEGRATION

6 MARTA VOHNOUTOVÁ 3.1 Způsob předávání autorizačních dat aplikacím Způsob předávání autorizačních oprávnění autentizovaného uživatele aplikaci musí být vždy podroben analýze. Autorizační oprávnění mohou být pak předávány např. ve formě elektronicky podepsané datové struktury, která bude obsahovat seznam oprávnění a rolí uživatele ve vztahu k dané aplikaci. Většina Access Managerů má také dobře propracované webové prostředí, hodí se proto nejen pro intranety, ale také pro propojení extranetů nebo klientů připojujících se přes Internet. Pokud uvažujete o nasazení např. portálu státní správy, obchodního portálu, portálu pro komunikaci s veřejností nebo obchodními partnery, implementace Access Manageru vám vyřeší většinu problémů s bezpečnou autentizací a autorizací přistupujících klientů. 4 SingleSignOn Aby byl celý systém úplný, nesmíme zapomínat sjednotit ani autentizaci uživatele. Vhodné je zavést jednotný způsob autentizace tzv.singlesignon. Access Managery obecně podporují větší množství různých typů autnetizace. Pokud implementujeme Access Management v prostředí intranetu, je možné (i vhodné) zvolit jednotný způsob založený např. na jednotné autentizaci uživatelů do prostředí Windows, nejlépe certifikátem uloženým na čipové kartě. Aplikace pak musíme naučit tuto autentizaci využívat. Pokud implementujeme Access Manager pro přístup z Internetu či extranetů budeme pravděpodobně využívat širší nabídku autentizačních mechanismů. Na obrázku je znázorněn Access Manager a příklad autentizačích mechanismů: levá strana je strana přistupujících klientů (např Internet) pravá strana představuje aplikační y Pravá i levá strana podporuje jiné autentizační mechanismy, jedna z úloh Access Manageru je pak převádět jeden způsob autentizace na druhý. 306 SYSTEMS INTEGRATION 2007

7 IDENTITY A ACCESS MANAGER - ŘEŠENÍ JEDNOTNÉ SPRÁVY UŽIVATEŮ A UŽIVATESKÝCH OPRÁVNĚNÍ 5 Příklad implementace síťové řešení okalita 1 okalita 2 Active Directory - uživatelé Management zóna Management zóna WE proxy WE proxy Záložní TIM/TAM MASTER IM/AM MASTER IM FW WEproxy WEproxy WEproxy WEproxy FW IM záloha AM záloha AM Databáze Databáze Na obrázku je uveden zjednodušený příklad síťového řešení. Jedná se o řešení na intranetu, protože se jedná o mission critical řešení, jsou jednotlivé prvky znásobeny a řešení je rozloženo do více lokalit. 6 Náročnost implementace Zisk organizace ze správné implementace Identity a Access Manageru bude jistě nemalá. Také auditní kontrola to určitě uvítá. Na druhé straně je však nutné si uvědomit, že implementace je náročná a velmi záleží na kvalitě provedených analýz a na následné disciplíně organizace. Implementace Identity a Access Manageru přinese totiž do fungování organizace nemalé změny, které bude třeba dodržovat. Uvádí se, že asi 80% celkové práce na těchto projektech jsou právě analytické práce. Těsná spolupráce pracovníků organizace a především jejího managementu je nutností. 7 Kdy uvažovat o implementaci? Identity a Access Manager jsou produkty poměrně drahé a jejich implementace je pracná. Jsou proto vhodné pro větší organizace s heterogenním prostředím vyžadujícím značnou energii na správu. Také organizace spravující důležitá a citlivá data, kde je potřeba mít přístup k těmto datům pod neustálou přísnou kontrolou, jsou vhodnými kandidáty pro implementaci Identity a Access Manageru. Vypracování celkové bezpečnostní politiky organizace tyto produkty velmi usnadní. 8 iteratura IM Redooks Oracle a Microsoft web page SYSTEMS INTEGRATION