В рубрику "Управление" | К списку рубрик | К списку авторов | К списку публикаций
Часть 3
Станислав Ясько, эксперт, к.т.н., доцент
Николай Нашивочников, эксперт
Инфраструктура системы управления идентификационными данными и ее компоненты
В этой статье мы продолжим рассматривать системы управления идентификационными данными (СУИД) - решения для управления учетными данными пользователей в различных информационных системах. В предыдущих статьях мы упоминали, что процесс управления в СУИД основывается, как правило, на едином централизованном представлении идентификационных данных и заключается в ведении централизованного ре-позитария учетных данных, распространении их в различные целевые системы, а также в использовании механизма согласования идентификационных данных с этими системами. Настало время для рассмотрения типовой архитектуры решений по управлению идентификационными данными, компонентов СУИД и их функционального назначения.
Ключевые понятия
В большинстве СУИД, представленных на современном рынке решений класса Identity Management, используются следующие ключевые понятия:
Архитектура СУИД
Логически инфраструктура СУИД может быть представлена в виде трехуровневого архитектурного решения, включающего:
Типовая архитектура СУИД представлена на рисунке. Данная архитектура отражает логическую структуру и взаимосвязи компонентов, лежащих в основе решений, предлагаемых в настоящее время крупнейшими игроками на рынке современных ИТ.
Использование в СУИД центрального репозитария (мета-каталога) не является обязательным условием. Вместе с тем центральное хранилище данных в сочетании с использованием механизма согласования позволяет обеспечить единое представление идентификационных данных в различных целевых системах и избежать повторного ввода, а также связанных с этим ошибок.
Необходимо отметить, что использование в рамках решения по управлению идентификационными данными служб каталогов в некоторых СУИД является обязательным. К таким системам относятся программные решения компаний Novell (Novell Identity Manager) и IBM (IBM Tivoli Identity Manager).
Большинство из имеющихся в настоящее время СУИД характеризуется определенным набором адаптеров к типовым целевым системам. Перечень поддерживаемых различными системами адаптеров, как правило, не отличается разнообразием. В этих условиях большим преимуществом системы является наличие в ней встроенных средств разработки адаптеров для новых систем.
Наряду с выполняемыми функциями по автоматизации бизнес-процессов управления идентификационными данными необходимо отметить возможности СУИД по обеспечению безопасности конфиденциальных (персональных) данных пользователей для удовлетворения требований международного и российского законодательства.
Таким образом, опираясь на типовую архитектуру решений по управлению идентификационными данными и учитывая предназначения ключевых компонентов и сущностей СУИД, можно сформулировать следующие ключевые аспекты решений по управлению данными пользователей:
Подходы к развертыванию инфраструктуры СУИД и сценарии использования
Существует несколько подходов к развертыванию инфраструктуры СУИД на предприятии. Наиболее приемлемым, по мнению авторов статьи, является использование трехланд-шафтного подхода к внедрению, при котором выделяются следующие отдельные среды:
Рассмотрим типовой сценарий по управлению идентификационными данными пользователя.
Описанный выше сценарий в сочетании с возможностями различных СУИД по делегированному администрированию, аттестации (автоматический отзыв неподтвержденных привилегий) и разработке адаптеров для новых (нетиповых) целевых систем встроенными средствами позволяет получить довольно полное представление о сущности решений по управлению идентификационными данными и их привлекательности для крупных компаний с точки зрения возврата инвестиций.
Важнейшим шагом после принятия решения о внедрении СУИД является выбор поставщика технологии. Об этом читайте в заключительной, четвертой, части одноименной серии статей.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2007