Контакты
Подписка
Контакты
Подписка
МЕНЮ
Контакты
Подписка

Информационная инфраструктура и информационная безопасность в одном флаконе. Часть 3

Информационная инфраструктура и информационная безопасность в одном флаконе. Часть 3

В рубрику "Управление" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Информационная инфраструктура и информационная безопасность в одном флаконе

Часть 3

Станислав Ясько, эксперт, к.т.н., доцент

Николай Нашивочников, эксперт

Инфраструктура системы управления идентификационными данными и ее компоненты

В этой статье мы продолжим рассматривать системы управления идентификационными данными (СУИД) - решения для управления учетными данными пользователей в различных информационных системах. В предыдущих статьях мы упоминали, что процесс управления в СУИД основывается, как правило, на едином централизованном представлении идентификационных данных и заключается в ведении централизованного ре-позитария учетных данных, распространении их в различные целевые системы, а также в использовании механизма согласования идентификационных данных с этими системами. Настало время для рассмотрения типовой архитектуры решений по управлению идентификационными данными, компонентов СУИД и их функционального назначения.

Ключевые понятия

В большинстве СУИД, представленных на современном рынке решений класса Identity Management, используются следующие ключевые понятия:

  • метакаталог - механизм, обеспечивающий хранение и эффективную синхронизацию содержимого множества хранилищ данных, таких как реестры пользователей;
  • целевая система (управляемый ресурс) - управляемая корпоративная система, использующая механизмы СУИД посредством интеграции в автоматизированные операции по управлению идентификационными данными;
  • адаптер - программный компонент СУИД, посредством которого система взаимодействует с управляемым ресурсом;
  • распространение (Provisioning) - процесс автоматического распространения учетных записей в целевые системы, находящиеся под управлением СУИД;
  • согласование (Reconciliation) - процесс, посредством которого СУИД осуществляет контроль учетных записей целевых систем, находящихся под управлением, с целью поддержания их в актуальном состоянии.

Архитектура СУИД

Логически инфраструктура СУИД может быть представлена в виде трехуровневого архитектурного решения, включающего:

  • уровень представления данных - интерфейс взаимодействия пользователей и администраторов с системой. На этом уровне с использованием различных средств и спо собов (Web-интерфейс, административная консоль, консоль разработки) осуществляется управление системой, в том числе самостоятельное
    обслуживание конечными пользователями (корректировка личных профилей, запрос привилегий, восстановление паролей и т.д.);
  • прикладной уровень - уровень, представленный серверными компонентами, базирующимися на Java-архитектуре, позволяющий реализовывать гибкие и широко поддерживаемые межплатформенные сервисы;
  • интеграционный уровень - уровень, на котором осуществляется интеграция с целевыми системами путем использования соответствующих адаптеров.

Типовая архитектура СУИД представлена на рисунке. Данная архитектура отражает логическую структуру и взаимосвязи компонентов, лежащих в основе решений, предлагаемых в настоящее время крупнейшими игроками на рынке современных ИТ.

Использование в СУИД центрального репозитария (мета-каталога) не является обязательным условием. Вместе с тем центральное хранилище данных в сочетании с использованием механизма согласования позволяет обеспечить единое представление идентификационных данных в различных целевых системах и избежать повторного ввода, а также связанных с этим ошибок.

Необходимо отметить, что использование в рамках решения по управлению идентификационными данными служб каталогов в некоторых СУИД является обязательным. К таким системам относятся программные решения компаний Novell (Novell Identity Manager) и IBM (IBM Tivoli Identity Manager).

Большинство из имеющихся в настоящее время СУИД характеризуется определенным набором адаптеров к типовым целевым системам. Перечень поддерживаемых различными системами адаптеров, как правило, не отличается разнообразием. В этих условиях большим преимуществом системы является наличие в ней встроенных средств разработки адаптеров для новых систем.

Наряду с выполняемыми функциями по автоматизации бизнес-процессов управления идентификационными данными необходимо отметить возможности СУИД по обеспечению безопасности конфиденциальных (персональных) данных пользователей для удовлетворения требований международного и российского законодательства.

Таким образом, опираясь на типовую архитектуру решений по управлению идентификационными данными и учитывая предназначения ключевых компонентов и сущностей СУИД, можно сформулировать следующие ключевые аспекты решений по управлению данными пользователей:

  • тесная интеграция со службами каталогов и целевыми системами, а также, как правило, централизованное управление репозитарием учетных данных пользователей;
  • управление всем жизненным циклом пользовательских данных, в том числе предоставление пользователям локальных административных прав;
  • контроль идентификационных данных (мониторинг и аудит событий по управлению идентификационными данными, а также контроль доступа к персональным данным пользователей).

Подходы к развертыванию инфраструктуры СУИД и сценарии использования

Существует несколько подходов к развертыванию инфраструктуры СУИД на предприятии. Наиболее приемлемым, по мнению авторов статьи, является использование трехланд-шафтного подхода к внедрению, при котором выделяются следующие отдельные среды:

  • разработки и тестирования - предназначена для функционального тестирования программного обеспечения;
  • приемки - должна максимально точно воспроизводить производственную среду;
  • производства - конечная среда функционирования решения, при котором осуществлено подключение ко всем целевым системам.

Рассмотрим типовой сценарий по управлению идентификационными данными пользователя.

  1. Прием на работу: новый сотрудник принимается на работу, его персональные данные уполномоченным работником кадрового подразделения заносятся в HR-систему (как правило, именно эти системы выполняют в СУИД роль авторитетного источника данных).
  2. Заведение учетной записи: СУИД посредством механизма согласования анализирует информацию, получаемую с помощью адаптеров из авторитетного источника данных, и выполняет действия по заведению учетной записи, запуску механизма согласования и наделения нового пользователя соответствующими полномочиями.
  3. Распространение учетных данных: учетные данные нового пользователя распространяются СУИД в соответствующие целевые системы по заранее определенным правилам и с учетом особенностей управляемых систем.
  4. Управление учетными данными: в случае изменения персональной информации сотрудника, изменения его привилегий, при переводе в другое структурное подразделение или увольнении системой осуществляется соответствующая корректировка учетных данных и привилегий пользователей с последующей синхронизацией информации в целевых системах.

Описанный выше сценарий в сочетании с возможностями различных СУИД по делегированному администрированию, аттестации (автоматический отзыв неподтвержденных привилегий) и разработке адаптеров для новых (нетиповых) целевых систем встроенными средствами позволяет получить довольно полное представление о сущности решений по управлению идентификационными данными и их привлекательности для крупных компаний с точки зрения возврата инвестиций.

Важнейшим шагом после принятия решения о внедрении СУИД является выбор поставщика технологии. Об этом читайте в заключительной, четвертой, части одноименной серии статей.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2007

Приобрести этот номер или подписаться

Статьи про теме

Контакты
 
Подписка

Мы в соцсетях

Copyright © 2018-2022, ООО "ГРОТЕК"