Управление учетными данными и доступом (IAM) всегда было непростой задачей. Основные аспекты, предусматривающие ответы на вопросы о личности пользователя и отведенной ему сфере доступа, остаются практически неизменными. С появлением «облачных» решений управления учетными данными, предлагаемых в виде услуги (IDaaS), появляются альтернативные варианты, реализуемые на основе как локальных приложений, так и «облачных» служб, предоставляемых пользователям по подписке. Эти решения позволяют строить разнообразные конфигурации систем управления учетными данными с различными типами функциональности. . Более подробно эта тема раскрыта в статье ««Мост на облако» для системы идентификации», опубликованной в предыдущем номере журнала.
Интеграция с «облаком»
Различные варианты архитектуры управления учетными данными объединяет то, что однократная регистрация (SSO) для доступа к «облачной» службе требует от пользователя прохождения проверки подлинности. Наилучшим образом это реализуется в рамках федерации, объединяющей поставщика учетных данных (предприятие и Active Directory) и проверяющей стороны (поставщик программного обеспечения как услуги (SaaS) или другая «облачная» служба). Не сразу становится очевидным выдвигаемое практически всеми поставщиками SaaS требование, согласно которому, хотя федерация позволяет проходить проверку подлинности для доступа к «облачной» службе с использованием локального пароля AD, для прохождения аутентификации пользователь должен иметь локальную учетную запись. Это требование обусловлено целым рядом причин, но его практическим результатом является то, что каждый, кто хочет пользоваться «облачной» службой, должен иметь теневую учетную запись (проекцию локальной учетной записи AD) на стороне поставщика SaaS.
Таким образом, помимо проблемы аутентификации, необходимо решать задачу подготовки учетных записей и, в идеале, их деинициализации (отзыва) на стороне поставщика «облачной» службы. Подготовка учетных записей на стороне «облака» – отдельная тема. Для целей нашей статьи просто примем как данность, что это неотъемлемый аспект работы с «облачной» службой.
Новая категория «облачных» решений для управления учетными данными имеет различную степень интеграции с существующей локальной инфраструктурой учетных данных (например, AD или информационной системой отдела кадров). Некоторые варианты предполагают присоединение к существующей среде управления учетными данными и оказывают минимальное влияние на локальные хранилища и процессы жизненного цикла учетных данных. Это системы IDaaS, такие как Symplified (http://www.symplified.com/), Okta (http://www.okta.com/)и OneLogin (http://onelogin.com/). Обычно они имеют локальный компонент (например, аппаратное устройство, виртуальную машину или просто службу, работающую на действующем сервере), выполняющий обслуживание взаимодействия между компанией и поставщиком IDaaS.
Во-первых, локальный компонент IDaaS обеспечивает синхронизацию между локальной системой (например, AD) и «облачной» службой учетных данных, заполняя ее базу данных авторизованными учетными записями пользователей. Типовым методом синхронизации является заполнение базы данных учетными записями членов определенных подразделений или групп безопасности. Этот метод известен как синхронизация каталогов. Существуют и другие методы, такие как подготовка учетных записей по принципу «строго в нужное время» по стандарту SAML или система System for Cross-domain Identity Management (SCIM). Во-вторых, локальный компонент IDaaS обеспечивает шлюз между компанией и поставщиком IDaaS в рамках федерации. В отличие от приведенного ниже примера, это выделенное соединение, устанавливаемое только между вами и поставщиком и, насколько мне известно, оно не распространяется на других поставщиков. В-третьих, такие локальные компоненты выступают в качестве обратных прокси-серверов для службы учетных данных и могут также обеспечивать возможности аудита и отчетности.
Следует отметить, что решения IDaaS не требуют обязательной интеграции с существующей локальной инфраструктурой учетных данных. Согласно реализуемой ими концепции, жизнь значительно упрощается, если учетные данные создаются и содержатся полностью в рамках предлагаемого решения. Переход к обслуживанию всех учетных данных в «облаке», без привлечения локальных ресурсов – серьезное изменение для предприятий, уже обладающих локальными системами учетных данных любого размера. Однако для вновь создаваемой компании, не имеющей действующей инфраструктуры, которую пришлось бы демонтировать, такой вариант очень привлекателен.
Углубляясь в детали
Следующий тип моста учетных данных требует более глубокой интеграции с локальной средой. К этому типу относится универсальная локальная служба федерации, способная обеспечить подключение к нескольким поставщикам услуг. Это традиционное корпоративное приложение, которое вы развертываете и поддерживаете, и которое требует установления отношений доверия с каждым поставщиком «облачной» службы, включаемым в систему однократной регистрации SSO. Наиболее известными примерами такого моста учетных данных являются PingFederate от Ping Identity и службы федерации Active Directory от Microsoft (AD FS). Этот тип решения не предусматривает обязательных требований по подготовке учетных записей; организация такой подготовки зависит от «облачной» службы, к которой подключается поставщик учетных данных. Например, для Office 365 требуется компонент, обеспечивающий синхронизацию каталогов.
Углубляя интеграцию с локальными системами управления учетными данными, многие поставщики традиционных корпоративных решений добавляют «облачные» службы к существующим предложениям. Например, известный поставщик службы виртуальных каталогов Radiant Logic сегодня предлагает еще и интегрированную службу федерации. Компания Centrify, лидирующая на рынке технологий организации моста к локальной системе AD и создающая решения, которые позволяют отличным от Windows системам использовать AD, сегодня предлагает собственную «облачную» службу однократной регистрации SSO к поставщикам SaaS.
Все это Gartner именует сценариями «в облаке», когда учетные данные создаются, обновляются и содержатся на локальных ресурсах и поступают в распоряжение проверяющей стороны в «облаке» (Salesforce, Google Apps, Concur). Новый тип решений для управления учетными данными, именуемый «из «облака»», продвигает участие «облака» еще на шаг дальше за счет централизации управления жизненным циклом локальных учетных данных и управления «облачными» учетными данными на «облачном» (а не локальном) портале управления.
Такая схема несет в себе существенный концептуальный сдвиг для ИТ-подразделений, поскольку позволяет не только управлять новыми «облачными» возможностями из «облака» (что уже реализуют Symplified, Okta и OneLogin), но и перенести в «облако» управление локальными хранилищами учетных данных (один из основных элементов ИТ-инфраструктуры). SCUID Lifecycle от Identropy – первый продукт такого типа, насколько мне известно; компания описывает его как систему управления и руководства жизненным циклом на гибридном предприятии, поскольку такая организация предполагает одинаковое управление локальными и «облачными» учетными данными.
В такой архитектуре локальный компонент (в Identropy именуемый коннектором учетных данных для предприятий (ICE)) имеет повышенные права доступа к разнообразным локальным хранилищам учетных данных, таким как AD или SAP, и по указанию «облачной» службы управления жизненным циклом осуществляет операции создания/чтения/обновления/удаления (CRUD). Этот компонент также управляет подготовкой учетных записей и их деинициализацией (отзывом), что представляет собой более сложную задачу, чем подготовка учетных записей. Администраторы учетных данных (и конечные пользователи, если выполнена соответствующая настройка) решают свои задачи управления через веб-портал SCUID Lifecycle.
В чем привлекательность такого решения? Прежде всего, оно позволяет сэкономить. Традиционные локальные системы управления учетными данными являются дорогостоящими в плане приобретения, развертывания и эксплуатации, поскольку предполагают затраты на персонал и ежегодную плату за обслуживание. В случае SCUID Lifecycle плата начисляется за каждого пользователя, и размер ее быстро уменьшается с увеличением числа пользователей. Чтобы снизить затраты на реализацию, создан целый набор шаблонов, которые, как предполагается, отражают подавляющее большинство настроек локальных систем управления учетными данными. Взимается разовая плата за установку, в ходе которой создается полузаказная конфигурация среды управления учетными данными на основе одного из шаблонов. Если потенциальный клиент не вписывается ни в один из шаблонов, его об этом извещают.
Работать с таким решением удобнее по сравнению с традиционными системами управления учетными данными. Локальные системы имеют сложные (особенно для конечных пользователей) интерфейсы. Тенденцию упрощения пользовательского интерфейса можно только приветствовать, а схема SCUID Lifecycle чрезвычайно проста.
Вопрос комфорта
Вы испытываете некоторый дискомфорт, думая о решении «из «облака»»? В моем случае было именно так. Идея перемещения управления учетными данными наводит на мысли о большей уязвимости и, безусловно, зависимости от внешних факторов. Конечно, в случае сбоя подключения к Интернету вы потеряете доступ к SaaS-приложениям и утратите способность осуществлять комплексное управление учетными данными, однако по-прежнему сможете управлять ими через локальные интерфейсы (например, через компонент «Пользователи и компьютеры» Active Directory). При этом локальный компонент поставит в очередь все изменения, чтобы интегрировать их в систему Lifecycle после восстановления подключения к Интернету. Выбор следует делать в пользу экономии затрат и уменьшения времени окупаемости инвестиций при приемлемом уровне риска, связанного с управлением учетных данных с привлечением внешних ресурсов.
Технология управления учетными данными получает новый стимул к развитию благодаря тем возможностям, которые несет в себе модель «облачных» вычислений, и которые активно материализуются, усилиями поставщиков службы учетных данных за последние несколько лет. Сможет ли рынок охватить все потенциальные возможности, нам еще предстоит увидеть. Со своей стороны, вам следует обратить внимание на эту тенденцию и найти для себя тот вариант, который отвечает вашим потребностям.