Что такое IAM и как его выбрать?

Технологии Identity & Access Management (IAM) предоставляют всем приложениям компании единый сервис управления идентификацией, что существенно упрощает жизнь пользователей и повышает безопасность систем. Чтобы избежать распространенных ошибок (например, внедрения перегруженных технологий и, как следствие, существенной траты ресурсов), начинать построение системы управления доступом в компании следует именно с внедрения сервисов IAM.

Михаил Ванин, генеральный директор “РЕАК СОФТ”

Достаточно часто информационные технологии копируют привычные ситуации из жизни. Например, представим пропускную систему в обычном бизнес-центре, где сотрудник компании-арендатора формирует заявку на гостевой пропуск, посетитель предъявляет свой паспорт при прохождении охраны, которая, в свою очередь, выдает ему разовый пропуск, используемый в том числе и для выхода.

В цифровом мире информационные системы и приложения подобны арендаторам офисов в бизнес-центрах. Приложениям нужна своя пропускная система, и в этой системе для пользователя должна быть заведена учетная запись и назначены полномочия. Каждый пользователь должен проходить идентификацию и аутентификацию, подобно прохождению через охрану в бизнес-центре. Вот только вместо паспорта для входа ему понадобятся логин и пароль, а вместо пропуска будет создана сессия и выдан маркер безопасности, так называемый Security Token. Тогда приложению останется проверить, что предъявленный пользователем маркер безопасности не просрочен, не отозван, а указанные в нем права соответствуют запрашиваемому доступу.

Компании используют в своей работе множество различных приложений, в том числе классические десктопные, мобильные и веб-приложения. Они могут быть развернуты на серверах компании или представлять собой облачные сервисы. И каждое приложение пытается решать задачи управления доступом самостоятельно, а пользователь при этом вынужден запоминать пароли от множества учетных записей и снова проходить идентификацию/аутентификацию.

Давайте представим, что все арендаторы в бизнес-центре вдруг решат установить свои турникеты, создать свои бюро пропусков и утвердить отдельные формы пропуска – это кажется абсурдным. Но в цифровом мире часто так и происходит.

С ростом числа используемых приложений и развитием парольного хаоса компании приходят к осознанию потребности в централизованном управлении доступом. Что же должна представлять такая система?

Компоненты системы управления доступом

Система управления доступом может включать в себя следующие сервисы:

1. Сервисы управления идентификационными данными (Identity Management, IDM) обеспечивают синхронизацию учетных записей пользователя в приложениях, автоматизируют создание и удаление учетных записей, а также назначение и отзыв полномочий.
2. Сервисы управления идентификацией и контролем доступа (Identity & Access Management, IAM) обеспечивают единый вход и однократную аутентификацию (Single Sign-On, SSO), двухфакторную аутентификацию, а также контроль доступа к веб-приложениям и сервисам (Web Proxy, API Gateway).
3. Сервисы каталога (Directory Services) обеспечивают хранение учетных записей пользователей, их атрибутов, полномочий и паролей.

С чего следует начинать

Обычно начинают с внедрения решений IDM, но у проектов в рамках такого подхода есть недостатки:

• они обычно занимают много времени;
• имеют высокую организационную сложность;
• требуют глубокой проработки бизнес-процессов компании.

Лучшей альтернативой таким трудоемким процедурам будет внедрение решений IAM и сервисов каталога. Подобные проекты не занимают большое количество времени и быстро показывают результат, в первую очередь позволяя компании оперативнее обозначить требования к новым приложениям. До внедрения IAM компания даже может не знать о важности наличия в приложениях функций входа через внешний сервис. Это достигается поддержкой стандартов OpenID Connect или SAML.

IAM – это пропускная система для пользователей приложений компании.
IAM унифицирует управление идентификацией, аутентификацией и контролем доступа пользователей.

Раннее внедрение IAM позволит избежать появления приложений, вход в которые требовал бы дополнительных усилий со стороны пользователя или был бы невозможен. На что же в сервисах IAM стоит обратить внимание?

Такой разный IAM

В IAM выделяют два различных технологических подхода:

• технология корпоративного единого входа (Enterprise SSO, ESSO);
• технология поставщика идентификации (Web SSO, Identity Provider, IDP).

В первом случае при внедрении технологии на каждое пользовательское устройство устанавливают программу-агент ESSO. Когда устройство включают, ESSO просит пользователя пройти идентификацию и аутентификацию с использованием комбинации методов – проверки пароля, смарт-карты, биометрии.

После этого пользователь может запустить нужное ему приложение. В свою очередь, приложение ничего не знает об использовании ESSO и во время запуска попробует показать пользователю экран запроса логина и пароля. Но агент ESSO перехватывает экран входа и сам подставляет за пользователя его логин и пароль.

Таким образом, пользователь получит надежную идентификацию/аутентификацию при входе в устройство, а также удобный автоматический вход во все приложения компании. Но такой подход обусловлен так называемым обманом приложений. Вход в них с помощью логина/пароля в обход запущенного агента ESSO по-прежнему возможен, значит сохраняются многие присущие парольной аутентификации угрозы, и это, безусловно, недостаток.

Есть еще один важный момент в использовании ESSO – ограниченность устройств, на которых возможна установка агента. Могут возникнуть проблемы с поддержкой Linux и macOS, iOS и Android.

Второй технологический подход – внедрение IDP. Этот подход лишен недостатков ESSO. Пользователь может использовать любые устройства, а для работы достаточно веб-браузера. В качестве устройств могут применяться не только ПК и смартфоны, но и голосовые станции, игровые приставки и Smart TV.

Расплатой за такую гибкость становится необходимость поддержки со стороны приложений возможности подключения к IDP. Другими словами, приложение должно поддерживать какой-либо из стандартов взаимодействия с IDP. Но большинство популярных приложений и облачных сервисов уже умеют это делать, так что недостатком это не является.

При использовании IDP пользователь обращается в приложение, а оно вместо отображения своего экрана входа отправляет серверу запрос на идентификацию. Если IDP уже знает пользователя, то происходит проверка разрешения на вход в приложение и регистрация факта посещения. После этого сведения о пользователе, полученные из каталога учетных записей компании, вернутся приложению. Если же IDP не знает пользователя, то попросит его сначала пройти идентификацию и аутентификацию. Вместо простой проверки логина/пароля IDP может использовать дополнительные методы аутентификации, в зависимости от контекста входа и политики доступа. Например, при входе в приложение из рабочей сети пользователь может быть автоматически идентифицирован по результатам проверки в домене (технология Kerberos SSO). Если пользователь хочет зайти в какое-то очень важное приложение или, например, осуществляет вход из сети Интернет с незнакомого устройства, то IDP может запросить подтверждение – потребовать ввести разовый пароль, отправленный по СМС, либо сгенерированный мобильным приложением выработки разовых паролей.

Для идентификации IDP может также сам обратиться к внешней системе входа, например к ЕСИА, социальным сетям, Apple ID.

Выбор решений IAM на рынке достаточно разнообразен. Есть решения, которые можно устанавливать на серверах компании, и решения, которые можно арендовать в формате облачного сервиса (Identity as a Service). Можно также разработать свой IAM на основе Open Source-решений или внедрить проприетарное ПО, в том числе разработанное отечественными компаниями, включенное в единый реестр российских программ.

Еще раз подчеркну, что начинать создание системы управления доступом целесообразно именно с внедрения IAM.

РЕАК СОФТ, ООО

107023, Москва, ул. Суворовская, 19, стр. 1 
Тел.: +7 (499) 322-1404  
E-mail: info@reaxoft.ru 
identityblitz.ru