Перспективы удостоверений

. Аналитики компании Gartner имеют возможность подробно обсуждать с клиентами технологии, обдумывать собранные сведения и проводить рыночные исследования, на которые у большинства из нас не хватает времени. Не обязательно соглашаться со всеми выводами Gartner, но точка зрения ее аналитиков является не менее обоснованной, чем прочие мнения.

Ориентация на AD

Мой интерес, естественно, привлекла секция IAM в мире, ориентированном на Active Directory, которую проводили Перри Карпентер и Эндрю Уоллс. Из представленных на секции сведений мое внимание сразу привлек тот факт, что, несмотря на широкое распространение AD в корпоративной среде, менее 15% организаций используют диспетчер удостоверений Microsoft Forefront (FIM) в качестве стратегической IAM-системы. Виртуальные каталоги сегодня применяются активнее, чем метакаталоги. Карпентер и Уоллс подтверждают, что виртуальные каталоги, такие как RadiantOne Virtual Directory Server от Radiant Logic, проще в реализации, поскольку позволяют оставлять данные на своем месте в различных репозиториях вместо импорта в «метавселенную» и способны обеспечить более высокую производительность по сравнению со службой метакаталогов.

Независимо от степени использования FIM, хранилище AD повсеместно остается средоточием корпоративных удостоверений. Поэтому любое IAM-решение — локальное или «облачное» — должно обладать способностью безопасно и напрямую взаимодействовать с AD. Учитывая доминирующее положение AD на рынке решений по аутентификации пользователей в корпоративной среде, Карпентер и Уоллс полагают, что Microsoft имеет уникальную возможность определить форму управления и использования удостоверений на предстоящее десятилетие.

О сегодняшнем дне говорилось меньше, но было отмечено, что службы метакаталогов по-прежнему довольно широко используются в виде сервера синхронизации каталогов. Ранее говорилось о четырех категориях («четырех A») в сфере «облачных» удостоверений: аутентификации, аккаунтах, авторизации и аудите. К категории «аккаунты» относится подготовка учетных записей для открытия «облачной» службе доступа к удостоверениям пользователей. Сервер синхронизации каталогов — один из существующих на сегодня методов выполнения этой задачи. Обычно это локальный сервер, обеспечивающий идентичность данных пользователей и групп между корпоративным IAM-решением и «облачной» службой. Например, сервер синхронизации отслеживает данные организационной единицы AD (OU) или группы безопасности и приводит их в соответствие с данными хранилища удостоверений «облачной» службы. Яркими примерами хостинга программного обеспечения (SaaS) с использованием серверов синхронизации каталогов являются Google Apps и Microsoft Office 365. Вспомним, что на корпоративном сегменте синхронизация каталогов обрабатывает только подготовку учетных записей, а для обработки проверки подлинности этих учетных записей остается необходимость реализации федеративного решения с использованием поставщика SaaS.

Технический специалист смотрит на AD как на основополагающий компонент корпоративной ИТ-инфраструктуры, обеспечивающий интегрированную аутентификацию и авторизацию пользователей Windows, тогда как маркетолог Microsoft видит в AD связующий элемент (что подтверждается термином «AD-интегрированный»), объединяющий продукты Microsoft, что повышает их конкурентоспособность.

Результатом такого видения является то, что дополнительные возможности AD, не стимулирующие сбыт прочих продуктов Microsoft, отходят на второй план по отношению к тем, которые этим продажам способствуют. Хороший пример — подключающие к AD продукты, позволяющие осуществлять аутентификацию компьютеров UNIX и Linux при подключении к домену AD, что упрощает среду компьютерной безопасности. Microsoft никогда не распространяла AD на эту область, предоставляя третьим сторонам добавлять такую возможность. Заметим, что усилия, затраченные на разработку данной функции, обеспечили бы прямую выгоду для сбыта продуктов Microsoft.

Другой пример — перемещение в «облако», где Microsoft — лишь один из рядовых участников рынка, а не лидирующий игрок. Microsoft предлагает службы федерации Active Directory (ADFS) для локальных «облачных» удостоверений, однако в распоряжении организаций также имеется новое поколение решений по управлению удостоверениями (например, хостинг удостоверений — IDaaS), способных подключаться к AD и выполнять те же функции. По мнению специалистов Gartner, законченное IAM-решение всегда будет комбинацией собственных приложений Microsoft (таких, как AD и, возможно, AD FS для «облачных» удостоверений или FIM для службы метакаталогов и службы сертификации) и сторонних по отношению к Microsoft приложений (таких, как подключающие к AD решения для клиентов UNIX, виртуальные каталоги для стыковки других источников удостоверений, средства управления доступом на основе разрешений и инструменты управления жизненным циклом для управления самими цифровыми удостоверениями).

Фрагменты головоломки

Вторая презентация, о которой я хочу рассказать («Голова в облаках: эволюция служб каталогов» Марка Диодати), представляет собой великолепный анализ сложных путей подключения службы каталогов к «облачной» службе. Представьте себе составную головоломку, фрагментами которой являются AD, локальные службы федерации поставщиков удостоверений, «облачные» службы федерации поставщиков удостоверений, IDaaS, виртуальные каталоги, серверы синхронизации каталогов, веб-приложения… и не будем забывать о пользователях!

Теперь соединим все эти фрагменты при помощи связующих элементов — Kerberos, SAML, федеративных отношений доверия, патентованных API и различных методов подготовки. Разработчику корпоративных удостоверений будущего придется поломать голову над тем, как разместить все эти фрагменты головоломки таким образом, чтобы выполнить корпоративные требования, касающиеся «облачных» удостоверений.

И это еще не все. Фрагменты различаются по степени зрелости решений и способности стыковаться друг с другом. Решения по аутентификации — более зрелые, чем методы подготовки, и обе эти категории существуют дольше, чем управление.

Диодати делит перечисленные фрагменты головоломки на три категории — «на облако», «на облаке» и «из облака», определяя их по типовым вариантам использования.

• К категории «на облако» относятся хорошо знакомые нам варианты использования, когда организация с локальной платформой удостоверений (то есть AD) распространяет свои удостоверения на «облачные» приложения с использованием некоторого метода подготовки удостоверений (например, синхронизации каталогов) и локального федеративного решения по аутентификации.
• В категорию «на облаке» попадают компании, располагающие минимальной ИТ-инфраструктурой, либо вовсе таковой не имеющие. Такие компании используют поставщиков IDaaS (например, Okta), которые могут вообще не иметь локальных компонентов. Хранилище удостоверений находится на «облаке», и по этим удостоверениям пользователи получают доступ к «облачной» службе, после чего с помощью поставщика федеративных удостоверений как встроенного компонента открывают себе доступ к фактическому приложению SaaS.
• Категория «из облака» охватывает появляющиеся варианты использования, когда компании, хранящие свои удостоверения (или некоторую часть таковых) «на облаке», хотят их использовать в локальных приложениях. Эта схема практически противоположна варианту «на облако», но появилась совсем недавно и вызывает неоднозначные оценки. В частности, лишь очень немногие компании сегодня готовы хранить ценные данные своих удостоверений «на облаке». Наиболее вероятный вариант использования — в организации, уже имеющей поставщика «облачных» служб (например, Google Apps) в качестве авторитетного источника удостоверений. В такой организации в случае необходимости использования локального приложения доступ к нему будет открываться по хранящемуся «на облаке» удостоверению, получаемому, например, из виртуального каталога по протоколу LDAP, поддерживаемому этим приложением.

По мнению Диодати, поставщики федеративных удостоверений становятся настолько популярными в сфере IAM, что теперь их применение стало необходимым минимальным требованием к продукту, выходящему на рынок. Является ли это традиционным, функционально полным IAM-решением от CA или Oracle, специальным локальным решением с использованием «облачных» удостоверений от Ping Identity, службой виртуальных каталогов либо IDaaS — теперь все они имеют в качестве компонента поставщика федеративных удостоверений. Автор презентации полагает, что различие между этими продуктами определяется тем, как функции службы каталогов и поставщика служб работают в обоих направлениях, поэтому управление удостоверениями становится очередной центральной ИТ-функцией, освобождаемой от брандмауэра.

В заключение Диодати дает прямые рекомендации. Во-первых, он присоединяется к мнению сторонников упразднения паролей. Однако достижение этой цели требует реализации надежных методов аутентификации (смарт-карт, маркеров оборудования и т. д.).

Во-вторых, Диодати предлагает смириться с синхронизацией каталогов. Хотя это менее изящно в техническом отношении, чем создание удостоверений по принципу «строго в нужный момент», поставщики служб не хотят ставить работоспособность своих приложений в зависимость от внешних удостоверений, но предпочитают иметь собственную их копию. Правда, при этом возникает вопрос о масштабировании такой схемы, если организация решит использовать сотни или даже тысячи поставщиков SaaS. В данном случае концепцию применения выделенного сервера для каждого поставщика придется заменить неким универсальным механизмом синхронизации, способным обрабатывать множество поставщиков. Наконец, рекомендуется следить за техническими разработками в данной области, поскольку эти технологии совершенствуются по мере развития «облачных» удостоверений.

Шон Дьюби (sdeuby@windowsitpro.com) — старший аналитик в компании Platform Vision с 25-летним стажем работы в области корпоративных информационных систем. Внештатный редактор Windows IT Pro, имеет звание MVP