.
Добавление в корпоративные системы возможности безопасного управления «облачными» учетными данными идентификации для приложений SaaS требует определенных усилий. Необходимо установить федеративное интернет-решение для однократной регистрации (SSO). И надо учитывать, что далее придется управлять им. Одной из непростых задач при поддержании вашего собственного федеративного решения является управление взаимосвязями с постоянно растущим числом провайдеров SaaS. Многие компании просто не хотят нести затраты на локальное ПО, переместив свои ИТ-компоненты в «облако».
IDaaS переносит эти задачи из вашей компании в «облако». Вместо запуска собственной системы управления «облачными» удостоверениями идентичности провайдер IDaaS делает всю работу сам. Он осуществляет техническую поддержку федеративных доверительных отношений с провайдерами IDaaS, создает специфические соединения (такие, как аутентификация на базе форм) с провайдерами, которые не поддерживают федерацию, управляет развертыванием учетных записей и их удалением, выполняет проверку и предоставляет множество других услуг, связанных с идентификацией. Все, что нужно сделать потребителям, — это установить интерфейс с провайдером IDaaS. Процесс в зависимости от сложности установки займет от нескольких часов до месяца.
Лидерами на рынке IDaaS являются Intel, Okta, OneLogin, PasswordBank Technologies, Ping Identity и Symplified. Какого провайдера IDaaS выбрать, зависит от ваших требований. Одни провайдеры, такие как Okta, акцентируют внимание на обеспечении SSO для приложений SaaS на предприятиях с локально установленной службой Active Directory. Другие предоставляют набор возможных конфигураций. Так, PasswordBank предусматривает семь связанных с IDaaS вариантов, а Symplified имеет широкий набор функций.
Технологии IDaaS
Проблемы в системе безопасности, связанные с приложениями SaaS, вызвали общественный резонанс, подпитывая интерес к IDaaS. Всеобщий интерес стал двигателем в процессе адаптации IDaaS, несмотря на опасения ИТ- профессионалов.
Прежде чем ИТ-специалисты и менеджеры разберутся с тем, как IDaaS решает проблемы, связанные с «облачными» удостоверениями идентичности, им необходимо понять, что это за проблемы. А для того чтобы это сделать, они должны изучить основу технологии «облачных» удостоверений.
Решения IDaaS содержат два основных компонента: хранилище идентификационных удостоверений и портал идентификации. Каждое решение IDaaS располагает хранилищем удостоверений, настройку которого можно выполнить различными способами. Обычно такое хранилище содержит синхронизированный набор параметров идентификации групп безопасности или организационных подразделений (OU) Active Directory, которым разрешено использовать службу IDaaS. Эти параметры удостоверения затем предоставляются приложениям «облака».
Однако хранилище удостоверений не должно содержать только данные идентификации, реплицированные из компании. Используя IDaaS в качестве провайдера услуг идентификации, большая компания могла бы сохранять удостоверения сотрудников, работающих по контракту, в «облачном» хранилище удостоверений. И предоставлять доступ к различным приложениям, в то время как данные идентификации хранились бы вне корпоративной системы Active Directory.
Ключевым компонентом интерфейса пользователя является портал идентификации, где пользователи регистрируются один раз, а затем им предоставляется доступ к соответствующим службам «облака». Этот портал идентификации может быть размещен в «облаке», развернут локально и реализован как дополнительный компонент браузера. Например, компания Symplified предлагает Identity Router, который действует как портал идентификации и прокси-сервер. Через политики он определяет хранилище удостоверений, в котором пользователям нужно идентифицироваться (это может быть локальное хранилище удостоверений, «облачный» провайдер идентификации, такой как Google, или хранилище удостоверений от Symplified). Затем Identity Router выполняет аутентификацию от имени пользователя в формате, который требуется хранилищу удостоверений. Identity Router может быть установлен как локально управляемое аппаратное устройство или как виртуальная машина внутри сети компании, либо как виртуальная машина в «облаке».
Достоинства IDaaS
Популярность IDaaS в качестве альтернативы локально реализуемым решениям вполне понятна, поскольку IDaaS обладает рядом преимуществ по сравнению с традиционными средствами. Тот факт, что компания Intel вышла на рынок, является доказательством роста его потенциала. Одним из достоинств IDaaS является то, что аудит использования приложений SaaS зачастую становится проще, чем при других решениях, потому что весь трафик доступа к «облачным» службам проходит либо через локальный агент, либо через портал службы IDaaS. Например, Okta предоставляет данные аудита активации пользователей, их активности, пользовательского доступа, работы приложений, развертывания и удаления удостоверений.
При использовании локального федеративного решения установка доверительных отношений с провайдерами SaaS, которые нужны пользователям, занимает определенное время. При помощи IDaaS пользователи могут мгновенно получить доступ SSO к тысячам приложений SaaS (раз подписавшись на них). И чем скорее вы сможете предоставить пользователям более безопасный доступ к этим приложениям, тем лучше, потому что они уже, вероятно, получают доступ к этим приложениям менее надежным способом.
Некоторые провайдеры IDaaS предлагают службы агрегации, упрощающие сбор локальных данных идентичности, которые могут быть расположены в разных местах, в виде единого экземпляра для «облачных» приложений. Symplified, например, имеет виртуальную службу каталогов, встроенную в продукт. Даже если у вас нет организованной системы управления идентификацией, виртуальная служба каталогов возьмет данные из Active Directory, родственных баз данных и разнообразных служб LDAP и создаст консолидированный экземпляр, чтобы приложения SaaS работали именно с ним.
Некоторые провайдеры IDaaS расширяют интеграцию в специфических областях. Например, приложение PasswordBank Enterprise SSO включает функцию контроля посещаемости сотрудников посредством интеграции с системой учета рабочего времени или посредством RFID, смарт-карточек или биометрических устройств. Поддержка мобильных устройств быстро становится необходимостью, и большинство из провайдеров предлагают дополнительные продукты, которые предоставляют «облачный» механизм SSO для широкого круга мобильных устройств и планшетов.
Большинство провайдеров IDaaS обеспечивают поддержку строгой авторизации через собственный интерфейс или через интеграцию с продуктами других компаний, таких как Crunch-Base, RSA, SafeNet, Symantec, VASCO и Yubico. Это другое преимущество решения IDaaS — пользователи могут быть объединены посредством единого портала, программного решения со строгой аутентификацией. Тогда ничего устанавливать на отдельных клиентах не потребуется. Например, Expressway Cloud Access 360 от компании Intel предлагает дополнительную функцию (Nordic Edge One Time Password Server), которая обеспечивает двойную аутентификацию для мобильных клиентов посредством отсылки единовременного пароля на устройство через SMS, электронную почту, чат или приложение для мобильного клиента.
Получение доступа к приложениям SaaS касается не только аутентификации пользователей. Также необходимо эффективно управлять пользовательскими учетными записями в сотнях и тысячах этих приложений. Все провайдеры IDaaS предоставляют поддержку развертывания пользовательских учетных записей в своей службе, но поскольку провайдеры SaaS берут определенную плату за службы, основываясь на числе подписанных на них пользователей, никто не станет создавать учетные записи в службе до тех пор, пока они реально не понадобятся. Ручное развертывание или предзагрузка из файлов csv или таблиц тоже нежелательны. Более подходящий вариант — синхронизация служб каталогов, когда пользователи, которые являются членами определенной группы безопасности Active Directory (такой, как Salesforce Users), автоматически появляются в «облачной» службе и удаляются, когда покидают группу. Таким образом, управление учетными записями в «облаке» происходит в конце цепочки в Active Directory. Развертывание по мере необходимости, Just in time (JIT), будет следующим шагом. Даже если пользователь является членом группы безопасности Salesforce Users в Active Directory, его учетная запись для «облачной» службы не создается до тех пор, пока пользователь не попытается получить первичный доступ к службе.
Связь между компанией и провайдером IDaaS очень важна. Без нее пользователи не смогут получить доступ к своим приложениям SaaS. Если вы используете самую распространенную конфигурацию локального агента для синхронизации учетных записей между локальной службой Active Directory и провайдером IDaaS, агент обычно «общается» через LDAP по SSL (LDAPS). Если вы настраиваете соединение с IDaaS для того, чтобы оставаться активным только при аутентификации пользовательской сессии, как только пользователи регистрируются в приложении SaaS, они будут взаимодействовать напрямую с приложением, и сбой в работе IDaaS не сможет помещать им. Если вы настраиваете соединение таким образом, чтобы оставаться онлайн во время всей сессии (например, чтобы получить больше данных для аудита), соединение должно оставаться доступным все время.
Я чувствую себя немного неуютно, используя чей-то доступ к «облачным» службам в «облачной» службе. Прошлые проблемы показали, что использование «облачной» службы не обязательно означает нечувствительность к сбоям. Так что необходимо разобраться в архитектуре высокой доступности любого провайдера IDaaS, в котором вы заинтересованы.
От побочного к основному
Использование IDaaS для управления идентификацией быстро превращается из рискованной радикальной идеи, пригодной к использованию лишь в небольших компаниях, в основную тенденцию управления на основе удостоверений идентичности. Провайдеры IDaaS сегодня выполняют поддержку средств идентификации для очень крупных компаний. Например, Symplified поддерживает в целом более трех миллионов лицензированных пользователей, а OneLogin только что получила контракт на несколько миллионов. И хотя небольшие или новые компании могут выбирать полностью «облачные» решения, большинство организаций будут, вероятно, задействовать решение IDaaS как часть гибридного «облачно»-локального решения. Такие компании будут поддерживать существующие вложения в управление удостоверениями идентичности, но при этом использовать и новую модель «облачной» службы.
Шон Дьюби (sdeuby@windowsitpro.com) — старший аналитик в компании Platform Vision с 25-летним стажем работы в области корпоративных информационных систем. Внештатный редактор Windows IT Pro, имеет звание MVP