reaxoft 9/18/20 1:23 PM Page 10
ТЕХНОЛОГИИ
Что такое IAM и как его выбрать? Михаил Ванин, генеральный директор “РЕАК СОФТ”
Т Раннее внедрение IAM позволит избежать появления приложений, вход в которые требовал бы дополнительных усилий со стороны пользователя или был бы невозможен.
Выбор решений IAM на рынке достаточно разнообразен. Есть решения, которые можно устанавливать на серверах компании, и решения, которые можно арендовать в формате облачного сервиса (Identity as a Service). Можно также разработать свой IAM на основе Open Source-решений или внедрить проприетарное ПО.
ехнологии Identity & Access Management (IAM) предоставляют всем приложениям компании единый сервис управления идентификацией, что существенно упрощает жизнь пользователей и повышает безопасность систем. Чтобы избежать распространенных ошибок (например, внедрения перегруженных технологий и, как следствие, существенной траты ресурсов), начинать построение системы управления доступом в компании следует именно с внедрения сервисов IAM.
Достаточно часто информационные технологии копируют привычные ситуации из жизни. Например, представим пропускную систему в обычном бизнес-центре, где сотрудник компании-арендатора формирует заявку на гостевой пропуск, посетитель предъявляет свой паспорт при прохождении охраны, которая, в свою очередь, выдает ему разовый пропуск, используемый в том числе и для выхода. В цифровом мире информационные системы и приложения подобны арендаторам офисов в бизнес-центрах. Приложениям нужна своя пропускная система, и в этой системе для пользователя должна быть заведена учетная запись и назначены полномочия. Каждый пользователь должен проходить идентификацию и аутентификацию, подобно прохождению через охрану в бизнес-центре. Вот только вместо паспорта для входа ему понадобятся логин и пароль, а вместо пропуска будет создана сессия и выдан
маркер безопасности, так называемый Security Token. Тогда приложению останется проверить, что предъявленный пользователем маркер безопасности не просрочен, не отозван, а указанные в нем права соответствуют запрашиваемому доступу. Компании используют в своей работе множество различных приложений, в том числе классические десктопные, мобильные и веб-приложения. Они могут быть развернуты на серверах компании или представлять собой облачные сервисы. И каждое приложение пытается решать задачи управления доступом самостоятельно, а пользователь при этом вынужден запоминать пароли от множества учетных записей и снова проходить идентификацию/аутентификацию. Давайте представим, что все арендаторы в бизнес-центре вдруг решат установить свои турникеты, создать свои бюро пропусков и утвердить отдельные формы пропуска – это кажется абсурдным. Но в цифровом мире часто так и происходит.
С ростом числа используемых приложений и развитием парольного хаоса компании приходят к осознанию потребности в централизованном управлении доступом. Что же должна представлять такая система?
Компоненты системы управления доступом Система управления доступом может включать в себя следующие сервисы: 1. Сервисы управления идентификационными данными (Identity Management, IDM) обеспечивают синхронизацию учетных записей пользователя в приложениях, автоматизируют создание и удаление учетных записей, а также назначение и отзыв полномочий. 2. Сервисы управления идентификацией и контролем доступа (Identity & Access Management, IAM) обеспечивают единый вход и однократную аутентификацию (Single Sign-On, SSO), двухфакторную аутентификацию, а также контроль доступа к веб-приложениям и сервисам (Web Proxy, API Gateway). 3. Сервисы каталога (Directory Services) обеспечивают хранение учетных записей пользователей, их атрибутов, полномочий и паролей.
С чего следует начинать Обычно начинают с внедрения решений IDM, но у проектов в рамках такого подхода есть недостатки: l они обычно занимают много времени; l имеют высокую организационную сложность; l требуют глубокой проработки бизнес-процессов компании. Лучшей альтернативой таким трудоемким процедурам будет внедрение решений IAM и сер-
10 •
