Активно продвигаемые аналитиками концепции предоставления информации или функций управления идентификацией в качестве слабосвязанных сервисов подразумевают реализацию важных для любого предприятия возможностей в виде сервисов.
Концепции предоставления в виде сервиса информации (Information-as-a-Service, IaaS) или функций управления идентификацией (IDentity-as-a-Service, IDaaS) подразумевают реализацию этих необходимых для современного предприятия возможностей в виде сервисов в рамках сервис-ориентированной архитектуры (Service-Oriented Architecture, SOA), причем речь идет именно об архитектурных концепциях, а не об определенных технологиях и их воплощении в конкретных продуктах. И если для IaaS уже можно привести вполне определенный список производителей, специализирующихся в области интеграции данных на базе архитектуры промежуточного слоя информационных сервисов, то предоставление функций управления идентификацией по сервисной модели — это пока дело будущего, хотя ряд известных компаний уже работает над этим. Однако, по прогнозам аналитиков Forrester Research, на быстрорастущем рынке решений по управлению идентификацией и доступом (Identity and Access Management, IAM) в ближайшие шесть-семь лет внимание пользователей будет смещаться от отдельных продуктов, реализующих те или иные функции IAM, к комплексным пакетам и управляемым сервисам, а их поставщики будут проводить декомпозицию своих систем в сервисы для реализации модели IDaaS. Аналитики утверждают, что к 2014 году 40% рынка IAM, общий объем которого на тот момент вырастет с 2,6 млрд долл. в 2006 году до 12,3 млрд долл., будет принадлежать сервисам управления идентификацией и доступом.
Теория и практика IDaaS
Причины появления архитектур IaaS и IDaaS во многом схожи — это проблема распределенности данных или учетных записей и прав доступа пользователей по различным приложениям, бизнес-подразделениям, департаментам и географическим точкам, а также сложность согласованного управления ими. В случае IDaaS положение усугубляется тем, что современное предприятие, как правило, не ограничивается поддержкой функций идентификации и управления правами доступа только для своих сотрудников, а должно выполнять аналогичные задачи для компаний-клиентов и партнеров, включая взаимосвязи в рамках аутсорсинга.
Идея IDaaS возникла из стремления абстрагировать функции управления идентификацией от конкретных бизнес-приложений и решений по информационной безопасности, предоставляя их в популярной и уже доказавшей свою эффективность архитектуре слабосвязанных прикладных сервисов. Такие сервисы реализуются независимо от бизнес-приложений и друг от друга, могут использоваться неоднократно и предоставляться приложениям или пользователям как в рамках инфраструктуры одной компании, так и, при наличии соответствующей интеграции, за ее пределами.
В Forrester определяют IDaaS как набор многократно используемых, стандартизированных сервисов, которые предоставляют приложениям различные функции управления идентификацией и доступом. По существу, IDaaS представляет собой экосистему дискретных функциональных компонентов, которые сегодня реализуются в четырех-пяти традиционных, перекрывающихся по своим возможностям приложениях управления идентификацией и доступом, в том числе решениях по обеспечению однократной регистрации (Single Sign-On, SSO), системах доставки (provisioning) идентификационных данных и сервисах каталогов. Благодаря IDaaS эти компоненты реализуются независимо друг от друга и предоставляются приложениям или конечным пользователям (посредством порталов) по запросу для осуществления функций управления идентификацией и правами доступа. Сервисы в IDaaS могут использоваться отдельно или включаться в согласованные процессы управления идентификацией и контроля доступа с помощью средств оркестровки на базе корпоративной сервисной шины (Enterprise Service Bus, ESB).
Функциональность существующих IAM-решений позволяет реализовать в IDaaS следующие основные сервисы (см. рисунок).
Сервисы аутентификации и общей авторизации (authentication and coarse-grained authorization services). Аутентификация пользователей в корпоративных приложениях — основное требование в любой защищенной среде. К сервисам аутентификации и общей авторизации будут обращаться практически все системы в компании с целью получить ответ на вопрос — может ли пользователь с данным набором удостоверений личности (имя пользователя и пароль, а также, возможно, еще какая-либо дополнительная информация в системах с многофакторной аутентификацией) получить доступ к запрашиваемому им ресурсу.
Сервисы предоставления прав доступа (entitlement services). Сервисы этой категории обеспечивают приложения функциями более детальной авторизации. С помощью сервисов предоставления прав доступа приложения получают информацию о том, к какой конкретно их функциональности пользователь может обращаться. Таким образом, сотрудник, имеющий общий доступ, например, к системе SAP, может получить дополнительные привилегии по использованию ресурсов системы в зависимости от своей роли в компании. Потребителями сервисов данного типа будут решения по управлению корпоративными политиками в совокупности с приложениями, поддерживающими деятельность определенных бизнес-подразделений.
Сервисы доставки идентификационных данных (provisioning services). Система доставки идентификационных данных отвечает за предоставление сотруднику определенных прав доступа к корпоративным ресурсам, когда он поступает на работу, и их изменение, когда меняется его статус. Соответствующие сервисы в IDaaS обеспечат управление полным жизненным циклом идентификационных данных сотрудников, партнеров и клиентов компании в их пользовательских репозиториях и будут востребованы как внутренними корпоративными приложениями, так и внешними решениями.
Сервисы потоков работ (workflow services). Запросы сотрудников на доступ к тем или иным информационным ресурсам утверждаются менеджерами компаний. Сервисы потоков работ автоматизируют процессы утверждения и другие последовательности операций по получению доступа к приложениям и предоставляют возможность различным системам (не IAM) обращаться к процессам управления идентификационными данными. Когда пользователь запрашивает новые права доступа к приложению, приложение вызывает сервис потока работ и передает ему запрос. Система управления потоками работ генерирует сообщение для менеджера о появлении нового запроса, требующего утверждения. Когда менеджер входит в систему, приложение вызывает сервис потоков работ, для того чтобы оповестить менеджера о запросах, которые необходимо утвердить. После того как менеджер утвердит запрос, приложение вызывает сервис потоков работ для завершения запроса, после чего пользователь сможет получить доступ к приложению.
Сервисы атрибутирования (attribute services). Часто приложениям нужна информация о пользователях, размещенная в разных источниках, и в этом случае они обращаются к сервисам атрибутирования, которые выполняют роль информационных сервисов IaaS в приложении к идентификационным данным пользователей, агрегируя атрибуты идентификации из множества различных источников. Механизмом реализации сервисов атрибутирования могут быть так называемые «сервисы виртуальных каталогов» (virtual directory), которые консолидируют информацию о пользователях из традиционных LDAP-каталогов и баз данных, представляя их приложениям как единый источник идентификационных данных (пример — система Oracle Virtual Directory).
Сервисы аудита (auditing services). Необходимость выполнять положения определенных нормативных актов требует проведения тщательного аудита доступа к корпоративным приложениям и агрегирования соответствующей информации. Сервисы аудита реализуют единый механизм сбора и предоставления информации о регистрации пользователей в корпоративных системах для формирования общей отчетности.
Сервисы разделения обязанностей и политик (segregation of duties and policy services). Политики, определяющие принятие тех или иных решений относительно идентификации и прав доступа, могут управляться из различных источников. Данная категория сервисов предоставляет единый интерфейс всем приложениям, которые запрашивают политики и управляют ими, определяя, не вступает ли осуществляемый пользователем доступ в конфликт с принятыми правилами разделения обязанностей (механизмы разделения обязанностей гарантируют предоставление определенных, непротиворечивых привилегий конкретным категориям пользователей). Сервисы политик также могут быть использованы приложениями для получения функций управления ролями в компании.
Бизнес-сервисы. Сервисы управления идентификацией могут использоваться в модели предоставления программного обеспечения как услуги (SaaS) или в среде информационных сервисов (IaaS) для реализации функций защиты данных.
IDaaS —первые пробы пера
Реализация среды управления идентификацией как специального сервисного уровня корпоративной инфраструктуры пока находится на начальной стадии — лишь немногие поставщики IAM-решений начинают развивать свои предложения в этом направлении. Процесс сдерживается, в частности, разнообразием спецификаций в области IAM, претендующих на роль стандарта. Процессы стандартизации необходимы для стимулирования IDaaS — создание единой сервисной среды, подразумевающей интеграцию сервисов идентификации не только в рамках одной организации, но и за ее пределами, упрощается, когда ясно, какой протокол передачи идентификационной информации поддерживает большинство решений.
На самом деле аббревиатуру IDaaS пока трудно встретить в описаниях IAM-решений конкретных поставщиков, поэтому, по существу, можно делать лишь некоторые предположения, кто из известных производителей работает над сервисной архитектурой управления идентификацией и доступом. Например, в основе системы Sun Java System Access Manager лежит несколько базовых сервисов, с помощью которых приложениям и порталам предоставляются функции в следующих трех областях: однократная регистрация для Web- и Java-приложений, аутентификация и авторизация пользователей в объединенных средах, включающих внешние системы, и обеспечение безопасных коммуникаций между Web-сервисами в SOA.
Корпорация Microsoft ведет работы по модернизации своего сервиса каталогов Active Directory и технологий управления идентификацией с целью создания в ближайшие год-два платформы управления идентификацией на базе сервисов. В Microsoft намерены сформировать набор компонентов, которые будут объединяться в единое целое на базе стандартных протоколов, формируя, как это обозначили в корпорации, «шину идентификации» (identity bus), предоставляющую корпоративным приложениям необходимые функции аутентификации и авторизации. По замыслу разработчиков эта шина сможет обслуживать приложения как внутри, так и за пределами корпоративного межсетевого экрана.
Oracle и IBM, занимающие активную позицию по поддержке SOA, трансформируют на базе сервисных принципов все свои инфраструктурные решения, включая системы управления идентификацией.
Аналитики подчеркивают, что движение в сторону IDaaS должно быть как минимум «двухполосным» — не только производители будут соответствующим образом развивать и трансформировать свои технологии, но и предприятиям необходимо достичь определенного уровня зрелости для реализации сервисной среды управления идентификацией. Обязательными условиями для перехода к IDaaS на предприятиях будут адаптация архитектуры SOA, четкое определение источников идентификационной информации, реализация и документирование процесса руководства использованием идентификационных данных.
По мнению аналитиков, переход компаний к сервисной модели управления идентификацией и доступом оправдан, поскольку сулит важные преимущества как ИТ-службе, так и бизнесу в целом. Сервисная структура, а также ликвидация благодаря IDaaS избыточности IAM-функций упрощает реализацию, интеграцию и администрирование решений по управлению идентификацией. Присущая модели SOA возможность многократного использования сервисов сокращает затраты на разработку и интеграцию решений по управлению идентификацией и позволяет использовать полезные IAM-функции, реализованные в унаследованных системах. По данным Forrester, отделение функций идентификации от приложений позволяет уменьшить время разработки приложения на 80 часов. С другой стороны, разработчикам становится проще реализовать обращение к функциям идентификации из создаваемых систем. IDaaS также повышает гибкость процессов регистрации и утверждения прав доступа, позволяет унифицировать регистрацию пользователей на различных порталах.
Структура IDaaS делает процессы управления идентификационными данными и правами доступа сотрудников более понятными и прозрачными для бизнеса. Компании смогут перейти от монолитных IAM-решений к инфраструктуре сервисов, реализующих различные функции IAM, и это, с одной стороны, поможет снизить стоимость поддержки корпоративной системы управления идентификацией, а с другой — упростит передачу при необходимости определенных ее функций на аутсорсинг. IDaaS позволяет создать единую для всех приложений инфраструктуру управления корпоративными политиками в области идентификации и прав доступа к информационным ресурсам, тем самым упрощая процесс управления политиками и поощряя поддержку сложных правил разделения обязанностей в организации. Кроме того, общие сервисы аудита помогают в агрегации нужных для аудита параметров доступа и выявлении нарушений правил соответствия нормативным актам.
SaaS — конец начала http://www.osp.ru/os/2007/10/4706040
Периферия IaaS http://www.osp.ru/os/2008/02/4924431
SOA и сервисы данных http://www.osp.ru/os/2008/02/4923630