SSO – kluczowy element zarządzania

it@bank 2010 prezentacja
SSO – kluczowy element
zarządzania tożsamością
Jakie obszary działalności organizacji
wspiera zarządzanie tożsamością?
– Zarządzanie tożsamością identity management to procedury określające, kto
może mieć dostęp do zasobów informacyjnych i co może z nimi zrobić. To także
systemy nadzorujące realizację tych
ustaleń. Obowiązuje tu zasada, że zakres
dostępu powinien być minimalny, ale
wystarczający do pełnienia wyznaczonych obowiązków.
Zarządzanie tożsamością obejmuje
kilka obszarów działalności organizacji.
Dwa najczęściej kojarzone to:
• automatyzacja administracji
uprawnieniami użytkownika w aplikacji
(natychmiastowe wyłączenie, włączenie/założenie konta użytkownika we
wszystkich systemach informatycznych
organizacji)
• automatyzacja procesów zarządzania wszystkimi uprawnieniami użytkownika (zwiększenie/zmniejszenie
uprawnień w wybranych lub wszystkich
systemach informatycznych organizacji)
W zakres zarządzania tożsamością
wchodzą również:
• uproszczone i ujednolicone uwierzytelnianie użytkownika
• silne uwierzytelnienie z zastosowaniem mechanizmów silniejszych niż
standardowy login/hasło
• zintegrowane zarządzanie dostępem
do systemów, powiązane z kontrolą
dostępu do pomieszczeń
• zarządzanie informacjami potwierdzającymi tożsamość użytkownika.
Dwa pierwsze obszary zarządzania tożsamością często rozwiązują się same, gdyż
nowocześnie tworzone scentralizowane
aplikacje z reguły wyposażane są w narzędzia umożliwiające proste zarządzanie
66|
użytkownikami. Wykorzystują też zdalnie
wywoływane funkcje przeznaczone do
pobierania informacji np. z systemu katalogowego. Z kolei obieg wniosków o nadanie, zmianę czy usunięcie uprawnień jest
możliwy jako rozszerzenie korporacyjnego
systemu obiegu pracy.
Pozostałe wyzwania jak zarządzanie
pojedynczym logowaniem stanowić
mogą poważne bariery w efektywnym
zarządzaniu dostępem, głównie z uwagi
na fakt, iż w organizacji z reguły działa
wiele aplikacji, które nie zawsze mogą
być dostosowane do zdalnego zarządzania dostępem. Przykładem są tu
aplikacje zbudowane w oparciu o tzw.
klientów terminalowych oraz aplikacje
zdecentralizowane.
Czym jest SSO?
– Single Sign-on rozumiane jako pojedyncze lub uproszczone logowanie to
możliwość jednorazowego zalogowania się do usługi sieciowej i uzyskania
dostępu do wszystkich autoryzowanych
zasobów bez konieczności pamiętania
wszystkich haseł. Jest to rozwiązanie
dedykowane użytkownikom końcowym.
Czy nie prościej narzucić jednorodną
politykę haseł, w której wszystkie hasła
użytkownika są takie same? Czy to nie
jest to samo?
– Siłą SSO jest niezależność hasła wykorzystywanego do autoryzacji od tego
stosowanego do autoryzacji zasobów.
Łatwiej zagwarantować, że użytkownik
lepiej będzie chronił jedno hasło niż cały
ich zestaw. Łatwiej też zastąpić jedno
hasło silniejszym mechanizmem, czyli
tokenem. Z kolei istniejąca aplikacja
może wymagać, aby hasło składało
Fot. ?????????
Rozmowa z Jackiem Gapińskim, dyrektorem Działu Produktów
Zarządzania Infrastrukturą IT Bazy i Systemy Bankowe Sp. z o.o.
się z 10 znaków i było zmieniane co 2
tygodnie. Pogodzenie tych wymagań
jest możliwe z wykorzystaniem narzędzi klasy SSO. Ustawienie tego samego
hasła użytkownika dla wielu aplikacji to
poważne zagrożenie dla bezpieczeństwa,
ponieważ wyciek hasła pozwala na dostęp do całego środowiska IT. Narzędzia
SSO generują różne i silne hasła oddzielenie dla każdej aplikacji. Najlepszym
rozwiązaniem jest zastąpienie hasła
tokenem lub kartą inteligentną.
Co zatem może dać SSO firmie?
– SSO to oszczędność i bezpieczeństwo.
Przełożenie jest proste. Użytkownik,
który ma zapamiętać jedno hasło rzadziej zgłasza się do administratorów
z prośbą o jego odtworzenie. Dodatkowo
– scentralizowanie zarządzania dostępem oznacza również znacznie mniejszy
nakład pracy przy odcinaniu użytkownika od zasobów.
Liczba zgłoszeń związanych z hasłami
rośnie proporcjonalnie do liczby haseł
listopad | 2010
prezentacja it@bank 2010
i częstotliwości ich wymiany. Zastępując 20 haseł zmienianych średnio co
miesiąc jednym hasłem modyfikowanym co 2 miesiące, czas spędzony na
obsługę użytkownika maleje 40-krotnie.
W połączeniu z nowoczesnymi metodami pomiaru efektywności wsparcia
liczba ta przekłada się na koszty obsługi
użytkownika.
Centralizacja zarządzania dostępem
gwarantuje możliwość swobodnego kreowania i rozwoju polityki bezpieczeństwa, gdyż nadzór nad tym procesem
spoczywa na jednym administratorze.
Niemierzalną w kategoriach kosztów
zaletą rozwiązań SSO jest ergonomia
i intuicyjność. W odróżnieniu od innych elementów systemu zarządzania
tożsamością, SSO generuje najbardziej
pozytywny feedback ze strony użytkowników, którzy dostrzegają dużą korzyść
z redukcji danych koniecznych do zapamiętania. W efekcie przyjazna obsługa
przekłada się na efektywność.
Jakie jeszcze korzyści SSO może dać
organizacji?
– Innym atutem tego rozwiązania jest
całkowita redukcja nakładów na modyfikacje istniejących systemów. Integracyjny
model SSO adaptuje stosowane metody
logowania, techniki autoryzacji oraz nie
wymaga modyfikacji w systemach katalogowych. Dlatego wdrożenie jest proste,
szybkie i efektywne kosztowo.
Informacje zbierane przez system SSO
może stanowić cenne źródło informacji
audytowej, pokazującej nie tylko, kto
i kiedy logował się do zasobów, ale również skąd to robił.
Jak to się ma do popularnego trendu
zarządzania tożsamością opartego na
rolach?
– Rola to zbiór uprawnień, czyli w rozumieniu SSO polityka określająca, czy
dany typ użytkownika może korzystać
z zasobów systemów IT. Zarządzanie
tożsamością łączy podejście oparte na
rolach (profile) z podejściem indywidualnym, rozumianym jako zbiór
informacji i metod autoryzacji, którymi
dysponuje użytkownik. W tym ujęciu rozszerza możliwości swobodnego
i scentralizowanego kreowania polityki
bezpieczeństwa, dostarczając najważniejsze narzędzie weryfikujące w sposób
www.alebank.pl niezależny. Wspominając o zarządzaniu
przez role, warto przyjrzeć się procesowi
odkrywania ról. W przypadku pojedynczej aplikacji jest to analiza funkcjonalna aplikacji. W przypadku organizacji
– zaawansowany proces analityczny,
w którym warto skorzystać ze specjalnych narzędzi identyfikujących role
w wielowymiarowej przestrzeni użytkowników i ich uprawnień. Narzędzia
SSO nie są do tego przeznaczone, ale
modelowanie ról może zostać włączone
jako integralna część narzędzi związanych z zarządzaniem tożsamością.
O czym jeszcze warto wiedzieć, wspominając o autoryzacji?
Tradycyjne rozwiązania SSO oparte
są na integracji, która odbywa się na
poziomie serwerów aplikacji. Właśnie
niekompatybilność i brak standaryzacji aplikacji okazuje się największym
wyzwaniem wdrożeniowym, a często
powodem upadku inwestycji w pełne
SSO. Warto zwrócić uwagę, że w przypadku SSO zasada „wszystko albo nic”
jest kluczowa.
Ograniczenie to zachęciło do spojrzenia na rozwiązania stosujące bardziej
innowacyjne podejście – integrację na
poziomie użytkownika. Oznacza to, że
agent SSO instalowany jest na stanowisku użytkownika i współdziałając
z centralnym modułem SSO, przejmuje
za niego kontrolę nad procesem wprowadzania haseł do wykorzystywanych
aplikacji. Nie wymaga dodatkowych nakładów na szkolenia użytkownika, który
korzysta z aplikacji w identyczny sposób
jak poprzednio, tyle że z pominięciem
procesu autoryzacji.
Rozwiązanie to jest w pełni bezpieczne, gdyż komunikacja pomiędzy agentem a aplikacjami odbywa się w sposób
transparentny i zapewnia poziom
bezpieczeństwa tożsamy z tradycyjnym,
w którym użytkownik samodzielnie
wprowadza dane. Komunikacja pomiędzy agentem a modułem centralnym
SSO jest szyfrowana. Podobnie jak
wszelkie dane przechowywane na module centralnym.
Jakie systemy z tej grupy gwarantują
szybki efekt, prosty rozwój i możliwość
rozszerzania polityki bezpieczeństwa
z warstwy teleinformatycznej na ogólną?
– Rozwój tak skonstruowanego SSO
oprócz centralnego sterowania poziomem
bezpieczeństwa (siła hasła, częstotliwość
zmiany) gwarantuje proste zastępowanie
loginu/hasła bardziej zaawansowanymi
technikami autoryzacji. Nowoczesne SSO
nie powinny narzucać żadnej metody,
umożliwiając zastosowanie dodatkowych
technik autoryzacji, opartych o tokeny
sprzętowe, certyfikaty czy dane. Integracja logowania z użyciem certyfikatu
może odbywać się dwuetapowo i nie
narzuca wyboru konkretnego rozwiązania PKI. Certyfikat traktowany jest jako
zbiór informacji uwierzytelniających
i podlega rejestracji w SSO. W ramach
integracji system zostaje przyłączony do
infrastruktury PKI, zapewniając weryfikację. Umożliwia to np. pełną delegację
procesu zarządzania danymi o użytkowniku na zewnętrzny podmiot świadczący
usługi certyfikacyjne, który zobowiązany
jest zapewnić wiarygodność tożsamości
użytkownika posługującego się wydanym
certyfikatem.
Czy oprócz SSO pojawiły się na rynku
nowe rozwiązania zwiększające poziom
ochrony dostępu?
– Interesujące zmiany można zaobserwować w obszarze autoryzacji transakcji.
Niektórzy dostawcy dostrzegli potrzebę
redukcji kosztów związanych z dostarczeniem użytkownikowi narzędzi do autoryzacji operacji. Duże możliwości widać
w wykorzystaniu istniejących certyfikatów oraz w poszukiwaniu mobilnych
odpowiedników tokenów haseł jednorazowych. Przejście na takie rozwiązania
wymaga modyfikacji aplikacji, ale umożliwiają zaniechanie przygotowywania
kartkodów jednorazowych lub wysyłania
SMS-ów z takim kodami.
Omawiając temat zarządzania tożsamością, skupiliśmy się na tylko jednym
zagadnieniu – SSO. Dlaczego?
– Na rynku IT można zauważyć wiele
kompleksowych rozwiązań, które zawierają elementy często negatywnie rzutujące na wartość rozwiązania. W przypadku
identity management o sukcesie i powodzeniu przedsięwzięcia również może decydować jakość SSO. Warto pamiętać, że alternatywą dla rozwiązań kompleksowych
są rozwiązania proste, które skutecznie
rozwiązują kluczowe problemy. 
|67