Управление идентификацией и доступом
Подсистема управления идентификацией и доступом IAM (Identity and Access Management) строится на основе:
· средств аутентификации;
· системы централизованного управления учетными записями и правами доступа;
· служб каталогов.
Процессы идентификации и аутентификации неразрывно связаны с системой управления доступом к ресурсам системы. Процесс управления доступом пользователей включает в себя:
· создание идентификатора субъекта (создание учетной записи пользователя) в системе;
· управление данными субъекта, используемыми для его аутентификации (смена пароля, издание сертификата и т.п.);
· управление правами доступа субъекта к ресурсам системы.
В зависимости от конкретных задач может потребоваться доступ к различным ресурсам:
· к операционным системам;
· к базам данных;
· к сетевым ресурсам;
· к веб-ресурсам.
Система централизованного управления учетными записями и правами доступа пользователей предназначена для повышения безопасности корпоративных приложений и сервисов и снижения затрат на администрирование в разнородных приложениях и операционных системах.
Эта система осуществляет синхронизацию, распространение и централизованное управление правами и учетными записями в гетерогенных информационных системах и приложениях на основе единого, централизованного представления учетных записей.
В общем случае подсистема управления учетными записями состоит из центрального хранилища учетных записей (служба каталогов), политик управления записями, правил распространения учетных записей в целевые системы и механизма согласования учетных записей.
При получении информации от целевых систем о создании/изменении/ удалении учетных записей локальными средствами администрирования подсистема выполняет определенные действия в соответствии с заданными политиками.
При создании учетной записи пользователя в центральной системе (кадровая система, служба каталога и т.п.) подсистема управления учетными записями производит автоматическую трансформацию записи в идентификационные записи в целевых системах согласно политикам управления.
Такой подход позволяет реализовать модель ролевого управления пользователями, которые автоматически получают необходимые им права на ресурсы в соответствии с должностными обязанностями, определенными через включение их в соответствующие ролевые группы.
Одной из ключевых задач подсистемы управления учетными записями является автоматическое изменение параметров или удаление учетных записей пользователей, которые уже не работают в компании или ушли в плановый отпуск и не должны иметь доступ к ресурсу.
С ростом числа пользователей информационной системы и количества прикладных систем и сервисов, к которым они должны получать доступ, увеличиваются затраты на администрирование учетных записей пользователей и управление правами доступа к системам и сервисам.
Использование системы централизованного управления учетными записями и правами доступа позволяет автоматизировать процессы, связанные с созданием, администрированием, удалением учетных записей, предоставлением доступа к ресурсам и управлением правами в разнородных операционных системах, службах каталогов и приложениях.
Использование решений централизованного управления учетными записями и правами доступа позволяет сократить расходы на ведение учетных записей в корпоративных системах, так как создание/изменение/удаление учетных записей проводится один раз в центральной системе и далее эта информация через центральное хранилище передается в целевые системы автоматически.
Архитектура решений для управления учетными записями позволяет иметь одно представление пользователя в различных системах и дает возможность избежать повторного ввода идентификационных данных, связанных с этим ошибок и рассогласования учетных записей в корпоративных системах.
Дополнительно решения позволяют установить единые для организации правила в отношении паролей на доступ к системам и уменьшить временные затраты администраторов ИТ-подразделения, связанные со сменой и восстановлением паролей пользователей.
Благодаря решениям централизованного управления учетными записями и правами доступа администраторы безопасности могут быть уверены в том, что установленные политики безопасности в отношении паролей действительно используются и отсутствуют забытые или неучтенные учетные записи в информационной системе организации.
Системы однократной аутентификации SSO предназначены для автоматической аутентификации пользователей в целевых системах и приложениях. Логика работы системы SSO основывается на принципе хранения секретных данных пользователей в центральном хранилище (базе данных, службе каталогов).
Учетные данные системы SSO записываются в центральное хранилище (службу каталога) при первом входе пользователя в поддерживаемое приложение либо могут быть внесены в него администратором системы вручную или в результате интеграции с системой централизованного управления учетными записями и правами доступа. Поэтому системы SSO могут выступать в качестве альтернативы системе централизованного управления учетными записями и правами доступа либо дополнять эту систему.