Предприятия защищают свои компьютерные системы от несанкционированного доступа при помощи паролей. Между тем для многих сотрудников управление паролями стало довольно сложной задачей. Исследование, проведенное компаниями Citrix и Safenet (Rainbow), показывает, что две трети пользователей вынуждены аутентифицироваться более чем в пяти различных приложениях. Управление идентификацией и доступом (Identity and Access Management, IAM), таким образом, приобретает все большее значение для обеспечения безопасности предприятия, производительности и экономичности.

Как ожидается, применение IAM на предприятии сократит административные издержки и одновременно увеличит уровень безопасности ИТ. При этом главным элементом этого процесса является управление цифровыми удостоверениями (распознавание пользователей и паролей). Решения однократной регистрации (Single Sign-On, SSO) позволяют зарегистрироваться в системе ИТ всего один раз и впоследствии обращаться к различным корпоративным приложениям без прохождения дополнительной аутентификации и необходимости запоминать массу паролей. Внедрение решений однократной регистрации осуществляется значительно проще в случае аппаратной системы. Кроме того, решения этого типа долговечны и надежны, и в неоднородных ландшафтах ИТ они предлагают особые преимущества.

В ответ на рост потребности в реализации приложений SSO компании Microsoft и SAP разработали программное обеспечение Duet, которое связывает офисные приложения Microsoft и MySAP ERP. Такое удобное объединение становится возможным только при использовании метода однократной регистрации, благодаря которому однажды выполненная аутентификация в системе Windows на базе стандартизированных протоколов аутентификации, к примеру Kerberos, действительна и для решения SAP.

РЕАЛИЗАЦИЯ СИСТЕМ ОДНОКРАТНОЙ РЕГИСТРАЦИИ

На рынке решений SSO есть программные и аппаратные системы. Кроме того, имеется несколько подходов к реализации, такие, например, как организация порталов, талонная система и локальные решения.

В случае порталов пользователь проходит аутентификацию и авторизацию один раз, после чего ему назначается профиль, к примеру, при помощи «плюшек» (cookies). Этот профиль однозначно идентифицирует его для всех приложений Web и обеспечивает доступ к ним без дополнительной аутентификации. В качестве примеров можно привести паспортную сеть Microsoft или Yahoo.

Талонная система после входа предоставляет зарегистрированному пользователю виртуальный билет (tieket), который позволяет осуществлять доступ к приложениям в рамках «цикла доверия». По этому принципу работают Kerberos и Liberty Alliance Project (LAP).

В локальных решениях SSO на рабочее место пользователя инсталлируется специальный агент. Это агентское программное обеспечение вводит в поля регистрационных форм вызываемых приложений правильные имя пользователя и пароль, но администратор должен заранее разработать и проверить регистрационную маску. Он может сохранять цифровые удостоверения в зашифрованном виде непосредственно на рабочем компьютере, чип-карте или в базе данных SSO на соответствующем сервере, к примеру, на Citrix Passwort Manager, CA Etrust SSO или Imprivata Onesign.

Для предприятий предпочтительнее локальный подход к решению, поскольку они не всегда могут использовать свои нестандартные приложения в портальных решениях или талонных системах.

ТРЕБОВАНИЯ К ЛОКАЛЬНЫМ РЕШЕНИЯМ SSO

Система SSO должна быть проста и интуитивно понятна, обеспечивать высокий уровень безопасности при управлении цифровыми удостоверениями и предоставлять возможности для централизованного контроля. Важным критерием выбора системы является количество пользователей. Оно определяет и прочие требования: производительность аппаратного обеспечения, подходящее программное обеспечение SSO, тип и структуру хранения данных, а также масштабируемость. К примеру, некоторые локальные решения SSO способны поддерживать до 10 тыс. пользователей. Нижней границы не существует — все решается исходя из экономической выгоды.

Программное обеспечение SSO должно быть в состоянии автоматически распознавать регистрационные маски приложений и запоминать регистрационные данные. Кроме того, для представления и обмена данными нужны стандартные протоколы и языки, к примеру, XML или простой протокол доступа к объектам (Simple Object Access Protocol, SOAP). Для неоднородных ландшафтов типично наличие самых разных программных решений. К ним относятся приложения на основе Microsoft Windows, Java и мэйнфреймов, приложения Web на базе мощных компьютеров, эмуляция терминалов и приложения на основе командной строки. Передача цифровых удостоверений между базой данных паролей и клиентом должна шифроваться, чтобы данные не могли быть прочитаны при их перехвате третьими лицами. В случае мобильных пользователей необходимо, чтобы пользовательские данные на клиенте сохранялись только в зашифрованном виде.

Директивы SSO (правила) обеспечивают однозначную реализацию управления паролями для определенных пользователей или групп. Это важно в случае совместного использования с многофакторными методами аутентификации и при автоматизированном периодическом изменении паролей. Некоторые решения SSO предлагают возможность управления паролями на принципах самообслуживания, тогда пользователь самостоятельно определяет и отзывает пароли для сети и приложений без обращения к службе поддержки.

АППАРАТНЫЕ РЕШЕНИЯ SSO ИНТЕГРИРУЮТСЯ БЫСТРО

Применение аппаратной платформы с настроенным приложением SSO позволяет добиться более высокого уровня безопасности, стабильности и производительности (см. Рисунок 1). Такое решение быстро интегрируется в имеющуюся сеть и не зависит от существующей инфраструктуры. Аппаратное обеспечение предназначено для долгосрочного применения в вычислительных центрах и оснащается специальными интерфейсами. Операционная система (часто используются производные Linux) специальным образом оптимизирована и рассчитана на обеспечение высочайшего уровня безопасности.

Рисунок 1. Интегрированная безопасность аппаратного решения SSO.

Еще одним важным преимуществом такого решения является функция передачи управления при сбое (fail-over), которая при необходимости обеспечивает перевод задач на другое устройство. Некоторые производители, к примеру Imprivata, выполняют свои устройства в виде избыточной пары. Однако в любом случае резервное копирование конфигурации и базы данных на внешний носитель данных должно осуществляться ежедневно. Для сред высокой готовности (при наличии резервного вычислительного центра) необходимо установить «горячий» резерв. При этом система постоянно сохраняет текущую копию данных и в случае отказов может немедленно взять на себя выполнение всех задач. Централизованное управление и интуитивно понятная система обслуживания с графическим интерфейсом и поддержкой браузера завершают набор функций аппаратного решения.

РАСШИРЕНИЕ SSO И ПОВЫШЕНИЕ УРОВНЯ БЕЗОПАСНОСТИ

Чтобы еще более усложнить задачу, с которой придется справляться потенциальным похитителям идентификационных данных для аутентификации, следует воспользоваться комбинированными методами. Для двух- и трехфакторной аутентификации предлагаются различные системы работы с чип-картами и другими средствами идентификации, а также биометрические устройства. При выборе системы SSO следует тщательно проверить, возможна ли ее комбинация с другими методами аутентификации, и если да, то каким образом это реализуется.

Как показывает опыт, самые большие трудности возникают при учете регистрационных профилей. Если регистрационная маска понимается неправильно, то написание сценариев, адаптация кодов и программирование интерфейсов оказываются трудновыполнимыми. Это сильно усложняет реализацию (см. также врезку «Этапы реализации решения SSO»), а, следовательно, увеличивает инвестиции, ставя под вопрос экономическую состоятельность всего пректа.

ЗАКЛЮЧЕНИЕ

Требования, предъявляемые к ло-кальной системе SSO, определяются типом и количеством используемых приложений ИТ в имеющейся инфраструктуре предприятия. Наибольшие преимущества предлагают аппаратные решения: они обладают высокой гибкостью и комбинируются со всеми методами однократной регистрации. Важным критерием выбора является возможность изучения имеющихся регистрационных масок для разных приложений (см. также врезку «Основные принципы выбора решения SSO»). Для более глубокого изучения решения, предлагаемого производителем или дистрибьютором, необходимо провести тесты. Преимущества аппаратных решений очевидны: их сильными сторонами являются заранее настроенное оборудование, быстрая интеграция, отказоустойчивость, возможность оперативного восстановления и независимость от имеющейся инфраструктуры ИТ.

Решения однократной регистрации помогают предприятию внедрять и выполнять директивы обеспечения безопасности. Кроме того, они способствуют соблюдению правовых требований к безопасности, к примеру, закона HIPAA или закона SOX.

Кристоф Хиллебрехт — менеджер по сетевым технологиям в компании Technoservice Solutions.

© AWi Verlag

Этапы реализации решения SSO

  • Планирование предпочтительного варианта интеграции решения.
  • Установление принципов управления решением.
  • Определение тестовой среды (выбор наиболее важных приложений, выбор тестовых пользователей, тестирование развертывания клиентов, конфигурация правил, поддержка многопользовательской работы, подключение многофакторных методов аутентификации, производительность, отказоустойчивость и т. д.).
  • Задание приемочных критериев.
  • Планирование развертывания клиентов и, в случае необходимости, установки устройств аутентификации.
  • Инструктаж пользователей и поэтапное ознакомление с приложениями.
  • Интеграция и активация многофакторных методов аутентификации.
  • Активизация расширенных (дополнительных) функций.
  • Конфигурирование и активизация системы отчетности.
  • Инструктаж администраторов.

Основные принципы выбора решения SSO

  • Определение количества потенциальных пользователей SSO, а также типа и количества используемых приложений.
  • Проверка способности решения к обучению и интеграции выбранных приложений.
  • Проверка совместимости с операционной системой, а также возможностей импорта пользовательских данных из служб каталогов (к примеру, LDAP).
  • Шифрование соединения на базе стандартов.
  • Поддержка мобильных пользователей.
  • Поддержка совместно используемых рабочих станций.
  • Конфигурируемые правила обеспечения безопасности (касающиеся паролей) и групповые директивы.
  • Предоставление пользователям возможности самостоятельно управлять паролями и автоматическое периодическое изменение паролей.
  • Возможность интеграции и централизованного управления многофакторными методами аутентификации.
  • Наличие методов для обеспечения отказоустойчивости.
  • Соответствие системы мониторинга и отчетности запросам руководства предприятия.
  • Определение объема инвестиций.
  • Контроль за заключением контрактов на обслуживание.