- Přehledy IS
- APS (25)
- BPM - procesní řízení (23)
- Cloud computing (IaaS) (10)
- Cloud computing (SaaS) (30)
- CRM (51)
- DMS/ECM - správa dokumentů (19)
- EAM (17)
- Ekonomické systémy (68)
- ERP (87)
- HRM (28)
- ITSM (6)
- MES (33)
- Řízení výroby (36)
- WMS (28)
- Dodavatelé IT služeb a řešení
- Datová centra (25)
- Dodavatelé CAD/CAM/PLM/BIM... (40)
- Dodavatelé CRM (37)
- Dodavatelé DW-BI (50)
- Dodavatelé ERP (63)
- Informační bezpečnost (43)
- IT řešení pro logistiku (48)
- IT řešení pro stavebnictví (26)
- Řešení pro veřejný a státní sektor (27)
CRM systémy
Plánování a řízení výroby
AI a Business Intelligence
DMS/ECM - Správa dokumentů
HRM/HCM - Řízení lidských zdrojů
EAM/CMMS - Správa majetku a údržby
Účetní a ekonomické systémy
ITSM (ITIL) - Řízení IT
Cloud a virtualizace IT
IT Security
Logistika, řízení skladů, WMS
IT právo
GIS - geografické informační systémy
Projektové řízení
Trendy ICT
E-commerce B2B/B2C
CAD/CAM/CAE/PLM/3D tisk
Přihlaste se k odběru zpravodaje SystemNEWS na LinkedIn, který každý týden přináší výběr článků z oblasti podnikové informatiky | ||
Cesta k efektivnímu identity managementu (5. díl)
Architektura IAM řešení
Správa identit a přístupů (Identity and Access Management, IAM) je oblast složená z množství spolupracujících technologií. Neexistuje jediný „IAM produkt“, který by zázračně řešil všechny problémy. IAM není produkt, který byste si mohli koupit. IAM je řešení, které je nutné sestavit z několika produktů. Výsledné řešení bude mírně odlišné pro bankovní, telekomunikační či akademické prostředí. Každé řešení je sestaveno na míru pro konkrétní nasazení.
I když se od sebe jednotlivá nasazení odlišují, většina z nich je založena na třech základních komponentách:
- Adresářová služba (Directory Service) udržuje centrální databázi uživatelů. Téměř všechny moderní adresářové služby využívají protokol LDAP.
- Systém řízení přístupu (Access Management) vykonává centrální autentifikaci (SSO), základní autorizaci, zaznamenává přístupy (provádí jejich audit) apod.
- Provisioning systém zabezpečuje správu databáze uživatelů, její synchronizaci (např. s personalistikou), řídí bezpečnostní politiku apod.
Tyto komponenty byly blíže popsané v předcházejících částech seriálu. V této části si povíme, jak jsou tyto komponenty sestaveny do výsledného IAM řešení. Typickou architekturu IAM řešení ilustruje následující obrázek.
Obr. 1: Typická architektura IAM řešení
Srdcem IAM řešení je adresářová služba
Typicky je tato služba implementovaná LDAP serverem. LDAP server udržuje údaje o všech uživatelích systému. Moderní aplikace většinou mají přímou podporu pro LDAP protokol, a je proto snadné je integrovat na adresářovou službu. Zde je však potřebné si uvědomit, že adresářový server je ve své podstatě jen databáze. Dokáže dobře ukládat a vyhledávat údaje o identitách, ale pro jejich správu a použití jsou potřebné další komponenty.
Mozkem IAM řešení je provisioning (IdM) systém
Provisioning systém primárně spravuje údaje v adresářovém (LDAP) serveru. Kromě toho synchronizuje údaje v aplikacích, které nemají podporu pro LDAP, nebo i přes LDAP podporu stále potřebují záznam uživatele v lokální databázi. Nejdůležitější úlohou IdM systému je však řízení životního cyklu identity. Zaměstnanci přicházejí a odcházejí, přesouvají se mezi organizačními jednotkami, odcházejí na rodičovské dovolené, stáže apod. A tak jsou v databázích identit překvapivě dynamické údaje, které je potřebné udržovat. Nejběžnějším zdrojem údajů o zaměstnancích jsou personalistické systémy (HR). IdM systém používá HR databázi jako zdroj údajů. Podle HR databáze ví, kdy má vytvořit LDAP účet pro nového zaměstnance, zablokovat účet pro bývalého zaměstnance, změnit členství ve skupinách při přeřazení zaměstnance apod. Komplexní politiky a algoritmy na správu identit jsou vykonávané IdM systémem. Proto je tento systém zřejmě nejdůležitějším prvkem celého IAM řešení.
Tváří IAM řešení je systém řazení přístupů (AM)
Je to systém, se kterým se uživatelé setkají nejčastěji, protože obsluhuje jejich autentizaci. AM systém typicky řeší i jednotné přihlašování (SSO) a částečně i autorizaci přístupů. Základem efektivního AM systému je konzistentní databáze identit. Proto typický AM systém většinou nemá svoji vlastní databázi, ale spoléhá se na databázi identit udržovanou v adresářovém systému. Zejména při používání SSO mechanismů je důležité, aby identifikátor uživatele byl jednotný ve všech aplikacích. V tomto směru se AM systém spoléhá na politiky a synchronizační mechanismy IdM systému.
Typické použití systému začíná příchodem nového zaměstnance nebo zákazníka. Tato identita se nejprve objeví v HR nebo CRM systému. IdM systém pravidelně tyto záznamy sleduje a hned po přidání záznamu je začne zpracovávat. Potom na základě politik rozhodne, kam má mít nový uživatel přístup a automaticky tyto přístupy přidělí. Jedním z nejdůležitějších záznamů, který IdM systém vytvoří, je záznam uživatele v adresářové službě (LDAP). Když se nový uživatel snaží přistoupit do cílového systému, je přesměrovaný na AM systém se svojí lokální identitou, kterou vytvořil IdM systém, a uživatel může plnohodnotně pracovat.
Tuto architekturu je možné použít v širokém spektru nasazení. Pro každý druh nasazení se mírně liší důležitost a komplexnost jednotlivých částí řešení. Například pro podnikové nasazení je absolutně klíčovým prvkem IdM systém, který spravuje životní cyklus identit zaměstnanců, jejich příslušnost k organizačním jednotkám, pracovním rolím, přístupům do aplikace apod. V telekomunikačních nasazeních bývá nejdůležitějším prvkem adresářová služba s nízkými latencemi a velkou robustností. Pro správu zákaznických identit je zase klíčovým zákaznicky pohodlný SSO systém a jednoduchá synchronizace s CRM systémem. I když se jednotlivé řešení liší svými požadavky na jednotlivé technologie, pro praktické IAM řešení jsou potřebné všechny prvky: adresářová služba, IdM systém a systém řízení přístupů (AM).
Ing. Radovan Semančík, PhD. Autor pracuje ve společnosti Evolveum na pozici softwarového architekta a specialisty na správu identit. Navrhoval jedno z prvních řešení správy identit ve střední Evropě a podílel se na návrhu a nasazení mnoha komplexních řešení v oblasti správy identit. Momentálně věnuje většinu svého času vedením projektu midPoint, který je nejrozsáhlejším volně dostupným open source systémem pro správu identit. |
|
Stanislav Grünfeld, MBA Spoluautor působí ve společností AMI Praha jako ředitel realizace a je zodpovědný za projekty v oblasti identity managementu. |
listopad - 2024 | ||||||
Po | Út | St | Čt | Pá | So | Ne |
1 | 2 | 3 | ||||
4 | 5 | 6 | 7 | 8 | 9 | 10 |
11 | 12 | 13 | 14 | 15 | 16 | 17 |
18 | 19 | 20 | 21 | 22 | 23 | 24 |
25 | 26 | 27 | 28 | 29 | 30 | 1 |
2 | 3 | 4 | 5 | 6 | 7 | 8 |
31.3. | HANNOVER MESSE 2025 |
Formulář pro přidání akce
4.12. | Arrow ISV Konference 2024 |
11.12. | Webinář: Dodržování směrnic, compliance, QMS |