Identity a Access Manager řešení jednotné správy uživatelů a uživatelských oprávnění pro heterogenní prostředí Marta Vohnoutová Siemens IT Solutions and Services, s.r.o. Evropská 33a, 160 00 Praha 6
[email protected] Abstrakt Každá platforma, databáze, skupina aplikací apod. má svou vlastní správu, vlastní seznam uživatelů a uživatelských oprávnění, vlastní bezpečnostní politiku atd.. Správa je náročná, ovládání aplikací a přístup k datům klade nároky jak na správce systémů, tak na vlastníky dat i běžné uživatele. Ani pro celkovou bezpečnostní politiku organizace není tento stav vhodný. Proto se implementuje Identity a Access Management. Příspěvek pojenává o implementaci Identity a Access Managementu v rozsáhlém heterogenním prostředí intranetu státní správy. Abstract Every platform, database, group of applications etc.has its own administration, own list of users and user access rights, own security policy etc. The result of it is that the administration is demanding, management of applications and data access is difficult and demanding both for administrators, data owners and even for common users. This situation is not suitable even for the security policy of such organization. That is why the Identity and Access Management is implemented. This ammendment describes the implementation of the Identity and Access Management in heterogenous environment of an intranet of n important state institution. Klíčová slova Identita, Autentizace, Autorizace, Audit, Workflow, Řízení identity (Identity Management – IM), Řízení přístupových práv (Access Management - AM), Adresářové služby LDAP (Lightweight Directory Access Protocol), AD (Active Directory), Role a pravidla, SSO (SingleSignOn), Autentizační API, AAA přístupový portál Keywords Identity Authentication, Authorization, Audit, Workflow, Identity Management – IM, Access Management - AM, Lightweight Directory Access Protocol, AD (Active Directory), Roles and Rulesa, SSO (SingleSignOn), Authentization API, AAA access portal
1 Problémy s údržbou heterogenního prostředí Ve většině větších firem a organizací existuje heterogenní prostředí. Používají zde různé aplikace na různých operačních systémech, různých databázích, centralizované, decentralizované i lokální, s přístupy přes terminál, klient-server, webové rozhraní. Každá platforma, případně i skupina operačních systémů apod., databáze, skupina aplikací má svou vlastní správu, vlastní seznam uživatelů a uživatelských oprávnění, vlastní bezpečnostní politiku atd. SYSTEMS INTEGRATION 2007
301
MARTA VOHNOUTOVÁ
Správa je náročná, ovládání aplikací a přístup k datům klade nároky jak na správce systémů, tak také na vlastníky dat i běžné uživatele. Ani pro celkovou bezpečnostní politiku organizace není tento stav vhodný. Podívejme se, jak vypadá například putování nového zaměstnance po organizaci.
Obrázek 1: Povinné kolečko nového zaměstnance po organizaci Odborně můžeme říci, že takové „nedůstojné“ kolečko musí nový zaměstnanec absolvovat po organizaci, která nemá implementovánu správu identit tzv. Identity manager.
2 Identity Manager Jestliže organizace implementuje Identity Manager pak stačí, aby zaměstnanec navštívil pouze personální oddělení. To mu vydá zaměstnaneckou průkazku a čipovou kartu s instalovanými certifikáty, umožňující mu pohyb po budově i kontrolovaný přístup k aplikacím a datům. Zakládání účtů a distribuci dat po jednotlivých systémech se děje automaticky – a to je právě úkol Identity Managera. Podívejme se na následující obrázek:
302
SYSTEMS INTEGRATION 2007
IDENTITY A ACCESS MANAGER - ŘEŠENÍ JEDNOTNÉ SPRÁVY UŽIVATELŮ A UŽIVATELSKÝCH OPRÁVNĚNÍ
Obrázek 2: Po implementaci Identity Manageru stačí, aby nový zaměstnanec zašel pouze na personální oddělení. Nastoupí nový zaměstnanec, jeho cesta vede na personální oddělení (1), kde ho zaregistrují do svého HR systému. Tím se především rozumí, že pracovníkovi je přiděleno originální zaměstnanecké číslo a je zařazen do organizační struktury. Celý další proces je automatizován. Aktivace (provisioning) zjistí nový záznam (2) v HR systému a předá ho do Identity Manageru k nastavení účtů zaměstnance a uživatelských atributů (3). Identity Manager poté inicializuje tzv. workflow se žádostí o schválení pro odpovědné osoby (4) a po schválení (5) aktivuje účty uživatele v operačních systémech, databázích, aplikacích, el.poště apod. (6). Celý proces je auditován (7).
2.1 Co je Identity Management Identity Management je strategie zahrnující různé postupy, procesy a informace sloužící k identifikaci identity během jejího životního cyklu. Touto identitou je jedinec, jeho identita je specifikována množinou příslušných atributů (oprávnění). K vyřešení Identity Managementu slouží nástroj tzv. Identity Manager. Identity Management produktů (dále IM) je na trhu celá řada a jejich kvalita je různá. Hlavními komponentami Identity Managera obvykle jsou: ¾ Adresářové služby ¾ Správa elektronických identit •
Registrace
•
Aktivace (provisioning)
•
Schvalovací workflow
•
Delegování pravomocí
•
Self-service vybraných činností – uživatel si např. smí sám změnit heslo apod.
¾ Synchronizace údajů
SYSTEMS INTEGRATION 2007
303
MARTA VOHNOUTOVÁ
Identity Management centralizuje všechny potřebné údaje o uživatelích (neboli identitách) do jednoho místa. Pomocí Identity Managera lze uživatelské účty snadno vytvořit a/nebo zrušit, čímž přestanou v systémech existovat tzv. „mrtvé duše“, které tam zůstaly po dřívějších zaměstnancích nebo po různém testování apod.
2.2 Co je workflow ? Kvalitní Identity Manager obsahuje propracovaný systém tzv. workflow, který je srdcem systému. Česky bychom jej nazvali nejspíše schvalovací proces.
Obrázek.3: Příklad workflow Nastavení workflow není jednoduché, ale jeho správná funkce má za následek, že povolování rolí a přístupových oprávnění provádějí opravdu ti, kdo mají, tedy nadřízení, správci dat apod. a nikoliv ti, kdo rozumí IT technologiím, jak tomu bylo doposud. Workflow oprávněným osobám totiž data ke schválení „přihraje“ takovým způsobem a v takovém tvaru, že IT technologiím opravdu rozumět nepotřebují. Workflow může také poskytovat data pro informaci, vyjadřovat se k nim apod.
2.3 Integrace aplikací do Identity Manageru Aby mohl Identity Manager s jednotlivými aplikacemi, databázemi a operačními systémy komunikovat, musí být do Identity Manageru nejprve integrovány. Je rozdíl, jestli je integrovaná aplikace celosvětově rozšířená nebo proprietální. Aplikace celosvětově rozšířené nebo založené na standardech Tyto aplikace jsou integrovány pomocí předefinovaných konektorů (adaptérů), které jsou součástí dodávky Identity Manageru. Příkladem aplikací a systémů, ke kterým jsou dodávány již hotové konektory, jsou: • Operační systémy – např. RedHat Linux, Solaris apod. • Databáze – např. Oracle, MS SQL apod. • Webové servery – např. WebSphere, MS IIS, apod. • Rozšířené aplikace – např. SAP
304
SYSTEMS INTEGRATION 2007
IDENTITY A ACCESS MANAGER - ŘEŠENÍ JEDNOTNÉ SPRÁVY UŽIVATELŮ A UŽIVATELSKÝCH OPRÁVNĚNÍ
Aplikace proprietální Proprietální aplikace jsou integrovány pomocí konektorů, které je potřeba nejprve naprogramovat – detailně popsané API je také součástí dodávky Identity Manageru. Příkladem může být např. již zmiňovaný HR systém apod. Centralizované údaje o uživatelích a jednotnou správu uživatelských účtů tedy máme. Zákonitě nás však napadne, že by bylo vhodné stejným způsobem spravovat i přístupová práva k jednotlivým aplikacím. K tomu slouží další produkt Access Manager.
3 Access Manager Proces přidělování a správy uživatelských oprávnění je nyní ve většině organizací decentralizován. Je tedy velmi obtížné zjistit, jaká přístupová oprávnění má který uživatel nastavena. Příklad takového stavu je na následujícím obrázku:
Obrázek 4: Správa přístupových oprávnění před implementací Access Manageru Některé aplikace využívají jako zdroj informací o uživatelských oprávněních Active Directory, jiné databáze, různé tabulky či textové soubory. Po implementaci Access Manageru budeme mít buď pouze jeden zdroj informací o uživatelských oprávněních nebo pokud to nebude proveditelné, vytvoříme navzájem provázanou hierarchii.
Obrázek 5: Správa přístupových oprávnění po implementaci Access Manageru SYSTEMS INTEGRATION 2007
305
MARTA VOHNOUTOVÁ
3.1 Způsob předávání autorizačních dat aplikacím Způsob předávání autorizačních oprávnění autentizovaného uživatele aplikaci musí být vždy podroben analýze. Autorizační oprávnění mohou být pak předávány např. ve formě elektronicky podepsané datové struktury, která bude obsahovat seznam oprávnění a rolí uživatele ve vztahu k dané aplikaci. Většina Access Managerů má také dobře propracované webové prostředí, hodí se proto nejen pro intranety, ale také pro propojení extranetů nebo klientů připojujících se přes Internet. Pokud uvažujete o nasazení např. portálu státní správy, obchodního portálu, portálu pro komunikaci s veřejností nebo obchodními partnery, implementace Access Manageru vám vyřeší většinu problémů s bezpečnou autentizací a autorizací přistupujících klientů.
4 SingleSignOn Aby byl celý systém úplný, nesmíme zapomínat sjednotit ani autentizaci uživatele. Vhodné je zavést jednotný způsob autentizace tzv.SingleSignOn. Access Managery obecně podporují větší množství různých typů autnetizace. Pokud implementujeme Access Management v prostředí intranetu, je možné (i vhodné) zvolit jednotný způsob založený např. na jednotné autentizaci uživatelů do prostředí Windows, nejlépe certifikátem uloženým na čipové kartě. Aplikace pak musíme naučit tuto autentizaci využívat. Pokud implementujeme Access Manager pro přístup z Internetu či extranetů budeme pravděpodobně využívat širší nabídku autentizačních mechanismů.
Na obrázku je znázorněn Access Manager a příklad autentizačích mechanismů: • levá strana je strana přistupujících klientů (např Internet) • pravá strana představuje aplikační servery Pravá i levá strana podporuje jiné autentizační mechanismy, jedna z úloh Access Manageru je pak převádět jeden způsob autentizace na druhý.
306
SYSTEMS INTEGRATION 2007
IDENTITY A ACCESS MANAGER - ŘEŠENÍ JEDNOTNÉ SPRÁVY UŽIVATELŮ A UŽIVATELSKÝCH OPRÁVNĚNÍ
5 Příklad implementace – síťové řešení Lokalita 2
Lokalita 1
Active Directory - uživatelé
Management zóna
Management zóna IM/AM MASTER
Replika
L B
L B IM
FW
Replika
L B
Replika WEBproxy
WEBproxy
Záložní TIM/TAM MASTER
WEB proxy
WEB proxy
L B
WEBproxy
WEBproxy
Replika
LB
IM záloha FW
AM záloha
LB
AM Aplikační server
Aplikační server
Aplikační server
Databáze
Aplikační server
Aplikační server
Aplikační server
Databáze
Na obrázku je uveden zjednodušený příklad síťového řešení. Jedná se o řešení na intranetu, protože se jedná o mission critical řešení, jsou jednotlivé prvky znásobeny a řešení je rozloženo do více lokalit.
6 Náročnost implementace Zisk organizace ze správné implementace Identity a Access Manageru bude jistě nemalá. Také auditní kontrola to určitě uvítá. Na druhé straně je však nutné si uvědomit, že implementace je náročná a velmi záleží na kvalitě provedených analýz a na následné disciplíně organizace. Implementace Identity a Access Manageru přinese totiž do fungování organizace nemalé změny, které bude třeba dodržovat. Uvádí se, že asi 80% celkové práce na těchto projektech jsou právě analytické práce. Těsná spolupráce pracovníků organizace a především jejího managementu je nutností.
7 Kdy uvažovat o implementaci ? Identity a Access Manager jsou produkty poměrně drahé a jejich implementace je pracná. Jsou proto vhodné pro větší organizace s heterogenním prostředím vyžadujícím značnou energii na správu. Také organizace spravující důležitá a citlivá data, kde je potřeba mít přístup k těmto datům pod neustálou přísnou kontrolou, jsou vhodnými kandidáty pro implementaci Identity a Access Manageru. Vypracování celkové bezpečnostní politiky organizace tyto produkty velmi usnadní.
8 Literatura IBM RedBooks Oracle a Microsoft web page
SYSTEMS INTEGRATION 2007
307
