SSO – kluczowy element zarządzania
Transkrypt
SSO – kluczowy element zarządzania
it@bank 2010 prezentacja SSO – kluczowy element zarządzania tożsamością Jakie obszary działalności organizacji wspiera zarządzanie tożsamością? – Zarządzanie tożsamością identity management to procedury określające, kto może mieć dostęp do zasobów informacyjnych i co może z nimi zrobić. To także systemy nadzorujące realizację tych ustaleń. Obowiązuje tu zasada, że zakres dostępu powinien być minimalny, ale wystarczający do pełnienia wyznaczonych obowiązków. Zarządzanie tożsamością obejmuje kilka obszarów działalności organizacji. Dwa najczęściej kojarzone to: • automatyzacja administracji uprawnieniami użytkownika w aplikacji (natychmiastowe wyłączenie, włączenie/założenie konta użytkownika we wszystkich systemach informatycznych organizacji) • automatyzacja procesów zarządzania wszystkimi uprawnieniami użytkownika (zwiększenie/zmniejszenie uprawnień w wybranych lub wszystkich systemach informatycznych organizacji) W zakres zarządzania tożsamością wchodzą również: • uproszczone i ujednolicone uwierzytelnianie użytkownika • silne uwierzytelnienie z zastosowaniem mechanizmów silniejszych niż standardowy login/hasło • zintegrowane zarządzanie dostępem do systemów, powiązane z kontrolą dostępu do pomieszczeń • zarządzanie informacjami potwierdzającymi tożsamość użytkownika. Dwa pierwsze obszary zarządzania tożsamością często rozwiązują się same, gdyż nowocześnie tworzone scentralizowane aplikacje z reguły wyposażane są w narzędzia umożliwiające proste zarządzanie 66| użytkownikami. Wykorzystują też zdalnie wywoływane funkcje przeznaczone do pobierania informacji np. z systemu katalogowego. Z kolei obieg wniosków o nadanie, zmianę czy usunięcie uprawnień jest możliwy jako rozszerzenie korporacyjnego systemu obiegu pracy. Pozostałe wyzwania jak zarządzanie pojedynczym logowaniem stanowić mogą poważne bariery w efektywnym zarządzaniu dostępem, głównie z uwagi na fakt, iż w organizacji z reguły działa wiele aplikacji, które nie zawsze mogą być dostosowane do zdalnego zarządzania dostępem. Przykładem są tu aplikacje zbudowane w oparciu o tzw. klientów terminalowych oraz aplikacje zdecentralizowane. Czym jest SSO? – Single Sign-on rozumiane jako pojedyncze lub uproszczone logowanie to możliwość jednorazowego zalogowania się do usługi sieciowej i uzyskania dostępu do wszystkich autoryzowanych zasobów bez konieczności pamiętania wszystkich haseł. Jest to rozwiązanie dedykowane użytkownikom końcowym. Czy nie prościej narzucić jednorodną politykę haseł, w której wszystkie hasła użytkownika są takie same? Czy to nie jest to samo? – Siłą SSO jest niezależność hasła wykorzystywanego do autoryzacji od tego stosowanego do autoryzacji zasobów. Łatwiej zagwarantować, że użytkownik lepiej będzie chronił jedno hasło niż cały ich zestaw. Łatwiej też zastąpić jedno hasło silniejszym mechanizmem, czyli tokenem. Z kolei istniejąca aplikacja może wymagać, aby hasło składało Fot. ????????? Rozmowa z Jackiem Gapińskim, dyrektorem Działu Produktów Zarządzania Infrastrukturą IT Bazy i Systemy Bankowe Sp. z o.o. się z 10 znaków i było zmieniane co 2 tygodnie. Pogodzenie tych wymagań jest możliwe z wykorzystaniem narzędzi klasy SSO. Ustawienie tego samego hasła użytkownika dla wielu aplikacji to poważne zagrożenie dla bezpieczeństwa, ponieważ wyciek hasła pozwala na dostęp do całego środowiska IT. Narzędzia SSO generują różne i silne hasła oddzielenie dla każdej aplikacji. Najlepszym rozwiązaniem jest zastąpienie hasła tokenem lub kartą inteligentną. Co zatem może dać SSO firmie? – SSO to oszczędność i bezpieczeństwo. Przełożenie jest proste. Użytkownik, który ma zapamiętać jedno hasło rzadziej zgłasza się do administratorów z prośbą o jego odtworzenie. Dodatkowo – scentralizowanie zarządzania dostępem oznacza również znacznie mniejszy nakład pracy przy odcinaniu użytkownika od zasobów. Liczba zgłoszeń związanych z hasłami rośnie proporcjonalnie do liczby haseł listopad | 2010 prezentacja it@bank 2010 i częstotliwości ich wymiany. Zastępując 20 haseł zmienianych średnio co miesiąc jednym hasłem modyfikowanym co 2 miesiące, czas spędzony na obsługę użytkownika maleje 40-krotnie. W połączeniu z nowoczesnymi metodami pomiaru efektywności wsparcia liczba ta przekłada się na koszty obsługi użytkownika. Centralizacja zarządzania dostępem gwarantuje możliwość swobodnego kreowania i rozwoju polityki bezpieczeństwa, gdyż nadzór nad tym procesem spoczywa na jednym administratorze. Niemierzalną w kategoriach kosztów zaletą rozwiązań SSO jest ergonomia i intuicyjność. W odróżnieniu od innych elementów systemu zarządzania tożsamością, SSO generuje najbardziej pozytywny feedback ze strony użytkowników, którzy dostrzegają dużą korzyść z redukcji danych koniecznych do zapamiętania. W efekcie przyjazna obsługa przekłada się na efektywność. Jakie jeszcze korzyści SSO może dać organizacji? – Innym atutem tego rozwiązania jest całkowita redukcja nakładów na modyfikacje istniejących systemów. Integracyjny model SSO adaptuje stosowane metody logowania, techniki autoryzacji oraz nie wymaga modyfikacji w systemach katalogowych. Dlatego wdrożenie jest proste, szybkie i efektywne kosztowo. Informacje zbierane przez system SSO może stanowić cenne źródło informacji audytowej, pokazującej nie tylko, kto i kiedy logował się do zasobów, ale również skąd to robił. Jak to się ma do popularnego trendu zarządzania tożsamością opartego na rolach? – Rola to zbiór uprawnień, czyli w rozumieniu SSO polityka określająca, czy dany typ użytkownika może korzystać z zasobów systemów IT. Zarządzanie tożsamością łączy podejście oparte na rolach (profile) z podejściem indywidualnym, rozumianym jako zbiór informacji i metod autoryzacji, którymi dysponuje użytkownik. W tym ujęciu rozszerza możliwości swobodnego i scentralizowanego kreowania polityki bezpieczeństwa, dostarczając najważniejsze narzędzie weryfikujące w sposób www.alebank.pl niezależny. Wspominając o zarządzaniu przez role, warto przyjrzeć się procesowi odkrywania ról. W przypadku pojedynczej aplikacji jest to analiza funkcjonalna aplikacji. W przypadku organizacji – zaawansowany proces analityczny, w którym warto skorzystać ze specjalnych narzędzi identyfikujących role w wielowymiarowej przestrzeni użytkowników i ich uprawnień. Narzędzia SSO nie są do tego przeznaczone, ale modelowanie ról może zostać włączone jako integralna część narzędzi związanych z zarządzaniem tożsamością. O czym jeszcze warto wiedzieć, wspominając o autoryzacji? Tradycyjne rozwiązania SSO oparte są na integracji, która odbywa się na poziomie serwerów aplikacji. Właśnie niekompatybilność i brak standaryzacji aplikacji okazuje się największym wyzwaniem wdrożeniowym, a często powodem upadku inwestycji w pełne SSO. Warto zwrócić uwagę, że w przypadku SSO zasada „wszystko albo nic” jest kluczowa. Ograniczenie to zachęciło do spojrzenia na rozwiązania stosujące bardziej innowacyjne podejście – integrację na poziomie użytkownika. Oznacza to, że agent SSO instalowany jest na stanowisku użytkownika i współdziałając z centralnym modułem SSO, przejmuje za niego kontrolę nad procesem wprowadzania haseł do wykorzystywanych aplikacji. Nie wymaga dodatkowych nakładów na szkolenia użytkownika, który korzysta z aplikacji w identyczny sposób jak poprzednio, tyle że z pominięciem procesu autoryzacji. Rozwiązanie to jest w pełni bezpieczne, gdyż komunikacja pomiędzy agentem a aplikacjami odbywa się w sposób transparentny i zapewnia poziom bezpieczeństwa tożsamy z tradycyjnym, w którym użytkownik samodzielnie wprowadza dane. Komunikacja pomiędzy agentem a modułem centralnym SSO jest szyfrowana. Podobnie jak wszelkie dane przechowywane na module centralnym. Jakie systemy z tej grupy gwarantują szybki efekt, prosty rozwój i możliwość rozszerzania polityki bezpieczeństwa z warstwy teleinformatycznej na ogólną? – Rozwój tak skonstruowanego SSO oprócz centralnego sterowania poziomem bezpieczeństwa (siła hasła, częstotliwość zmiany) gwarantuje proste zastępowanie loginu/hasła bardziej zaawansowanymi technikami autoryzacji. Nowoczesne SSO nie powinny narzucać żadnej metody, umożliwiając zastosowanie dodatkowych technik autoryzacji, opartych o tokeny sprzętowe, certyfikaty czy dane. Integracja logowania z użyciem certyfikatu może odbywać się dwuetapowo i nie narzuca wyboru konkretnego rozwiązania PKI. Certyfikat traktowany jest jako zbiór informacji uwierzytelniających i podlega rejestracji w SSO. W ramach integracji system zostaje przyłączony do infrastruktury PKI, zapewniając weryfikację. Umożliwia to np. pełną delegację procesu zarządzania danymi o użytkowniku na zewnętrzny podmiot świadczący usługi certyfikacyjne, który zobowiązany jest zapewnić wiarygodność tożsamości użytkownika posługującego się wydanym certyfikatem. Czy oprócz SSO pojawiły się na rynku nowe rozwiązania zwiększające poziom ochrony dostępu? – Interesujące zmiany można zaobserwować w obszarze autoryzacji transakcji. Niektórzy dostawcy dostrzegli potrzebę redukcji kosztów związanych z dostarczeniem użytkownikowi narzędzi do autoryzacji operacji. Duże możliwości widać w wykorzystaniu istniejących certyfikatów oraz w poszukiwaniu mobilnych odpowiedników tokenów haseł jednorazowych. Przejście na takie rozwiązania wymaga modyfikacji aplikacji, ale umożliwiają zaniechanie przygotowywania kartkodów jednorazowych lub wysyłania SMS-ów z takim kodami. Omawiając temat zarządzania tożsamością, skupiliśmy się na tylko jednym zagadnieniu – SSO. Dlaczego? – Na rynku IT można zauważyć wiele kompleksowych rozwiązań, które zawierają elementy często negatywnie rzutujące na wartość rozwiązania. W przypadku identity management o sukcesie i powodzeniu przedsięwzięcia również może decydować jakość SSO. Warto pamiętać, że alternatywą dla rozwiązań kompleksowych są rozwiązania proste, które skutecznie rozwiązują kluczowe problemy. |67