SSO-продукты уровня предприятия
SSO-продукты уровня предприятия проектируются для больших компаний с гетерогенной распределенной компьютерной средой, состоящей из многих систем и приложений. Схема однократного входа с авторизацией SSO дает возможность пользователям корпоративной сети при их входе в сеть пройти одну аутентификацию, а затем получить доступ к сетевым ресурсам, которые им нужны для выполнения их работы. Такими сетевыми ресурсами могут быть приложения, файлы и другие данные, размещаемые по всему предприятию на серверах различных типов, работающих на базе разных операционных систем.
Характерным представителем SSO-продуктов уровня предприятия является продукт IBM Global Sign-On for Multiplatforms (GSO). Продукт GSO представляет решение, позволяющее пользователю получать доступ к сетевым компьютерным ресурсам, используя однократный вход в систему. GSO освобождает пользователя от необходимости вводить различные идентификаторы и пароли для всех его целевых объектов, которые включают операционные системы, совместно используемые программные средства, базы данных или приложения другого вида.
GSO придерживается подхода, основанного на том факте, что продукты поставщиков не поддерживают доверенную внешнюю аутентификацию. Для аутентификации эти продукты чаще всего требуют идентификатор ID и пароль каждого пользователя. GSO осуществляет безопасное хранение пользовательских идентификаторов ID и паролей и обеспечение ими целевых объектов, когда пользователю нужно предъявить пароль при входе. Это освобождает пользователя от необходимости помнить и вводить эти ID и пароли каждый день для каждого целевого объекта.
На рис. 5.20 показана базовая схема ячейки GSO. Ячейка GSO содержит по крайней мере сервер GSO и одну рабочую станцию пользователя, называемую также клиентом GSO. В ячейке GSO может быть более одного сервера GSO и множество клиентов.
Рис. 5.20. Базовые компоненты GSO
Пользователь взаимодействует со своей рабочей станцией и некоторыми целевыми объектами (приложениями), которые могут выполняться на этой рабочей станции или на каком-либо другом компьютере, например на сервере департамента или серверах приложений.
Перед тем как начать работу, пользователь должен войти на свою рабочую станцию. Пользователь предъявляет пароль именно GSO, а не приложению или другим серверам. GSO выполняет аутентификацию, основанную на идентификаторе ID и пароле пользователя. Сервер GSO включается в процесс аутентификации для того, чтобы проверить пароль пользователя и извлечь его мандат (credential).
Затем GSO будет вводить пользователя в целевые объекты (приложения или серверы), с которыми этот пользователь должен работать. GSO использует для входа пользователя методы, предоставляемые целевыми объектами. В большинстве случаев GSO имитирует вход пользователя, передавая целевому объекту ID и пароль пользователя, как будто вводит их сам пользователь. Теперь пользователю не нужно запоминать эти идентификаторы ID и пароли, поскольку заботу о них принимает на себя GSO.
GSO является клиент/серверным приложением. В дополнение к серверу GSO существует программа клиента (сегмент программного кода), выполняемая на рабочей станции пользователя, которая взаимодействует с сервером GSO.
SSO-продукты уровня предприятия обладают следующими достоинствами:
· допускают использование многих целевых платформ со своими собственными механизмами аутентификации;
· безопасно хранят в базах данных учетную информацию каждого пользователя (такую, как идентификатор ID, пароль и некоторая дополнительная информация) на каждую целевую платформу;
· радикально уменьшается доля забываемых паролей, поскольку пароли пользователей хранятся безопасно и надежно;
· используются методы и средства безопасной аутентификации и коммуникации. Чувствительная пользовательская информация хранится и передается по сети только в зашифрованном виде.
Недостатками SSO-продуктов уровня предприятия являются их относительно большая стоимость и высокие требования к квалификации обслуживающего персонала.