Что такое IAM и как его выбрать?
Михаил Ванин, 01/10/20
Технологии Identity & Access Management (IAM) предоставляют всем приложениям компании единый сервис управления идентификацией, что существенно упрощает жизнь пользователей и повышает безопасность систем. Чтобы избежать распространенных ошибок (например, внедрения перегруженных технологий и, как следствие, существенной траты ресурсов), начинать построение системы управления доступом в компании следует именно с внедрения сервисов IAM.
Михаил Ванин, генеральный директор “РЕАК СОФТ”
Достаточно часто информационные технологии копируют привычные ситуации из жизни. Например, представим пропускную систему в обычном бизнес-центре, где сотрудник компании-арендатора формирует заявку на гостевой пропуск, посетитель предъявляет свой паспорт при прохождении охраны, которая, в свою очередь, выдает ему разовый пропуск, используемый в том числе и для выхода.
В цифровом мире информационные системы и приложения подобны арендаторам офисов в бизнес-центрах. Приложениям нужна своя пропускная система, и в этой системе для пользователя должна быть заведена учетная запись и назначены полномочия. Каждый пользователь должен проходить идентификацию и аутентификацию, подобно прохождению через охрану в бизнес-центре. Вот только вместо паспорта для входа ему понадобятся логин и пароль, а вместо пропуска будет создана сессия и выдан маркер безопасности, так называемый Security Token. Тогда приложению останется проверить, что предъявленный пользователем маркер безопасности не просрочен, не отозван, а указанные в нем права соответствуют запрашиваемому доступу.
Компании используют в своей работе множество различных приложений, в том числе классические десктопные, мобильные и веб-приложения. Они могут быть развернуты на серверах компании или представлять собой облачные сервисы. И каждое приложение пытается решать задачи управления доступом самостоятельно, а пользователь при этом вынужден запоминать пароли от множества учетных записей и снова проходить идентификацию/аутентификацию.
Давайте представим, что все арендаторы в бизнес-центре вдруг решат установить свои турникеты, создать свои бюро пропусков и утвердить отдельные формы пропуска – это кажется абсурдным. Но в цифровом мире часто так и происходит.
С ростом числа используемых приложений и развитием парольного хаоса компании приходят к осознанию потребности в централизованном управлении доступом. Что же должна представлять такая система?
Компоненты системы управления доступом
Система управления доступом может включать в себя следующие сервисы:
- Сервисы управления идентификационными данными (Identity Management, IDM) обеспечивают синхронизацию учетных записей пользователя в приложениях, автоматизируют создание и удаление учетных записей, а также назначение и отзыв полномочий.
- Сервисы управления идентификацией и контролем доступа (Identity & Access Management, IAM) обеспечивают единый вход и однократную аутентификацию (Single Sign-On, SSO), двухфакторную аутентификацию, а также контроль доступа к веб-приложениям и сервисам (Web Proxy, API Gateway).
- Сервисы каталога (Directory Services) обеспечивают хранение учетных записей пользователей, их атрибутов, полномочий и паролей.

С чего следует начинать
Обычно начинают с внедрения решений IDM, но у проектов в рамках такого подхода есть недостатки:
- они обычно занимают много времени;
- имеют высокую организационную сложность;
- требуют глубокой проработки бизнес-процессов компании.
Лучшей альтернативой таким трудоемким процедурам будет внедрение решений IAM и сервисов каталога. Подобные проекты не занимают большое количество времени и быстро показывают результат, в первую очередь позволяя компании оперативнее обозначить требования к новым приложениям. До внедрения IAM компания даже может не знать о важности наличия в приложениях функций входа через внешний сервис. Это достигается поддержкой стандартов OpenID Connect или SAML.
IAM – это пропускная система для пользователей приложений компании.
IAM унифицирует управление идентификацией, аутентификацией и контролем доступа пользователей.
Раннее внедрение IAM позволит избежать появления приложений, вход в которые требовал бы дополнительных усилий со стороны пользователя или был бы невозможен. На что же в сервисах IAM стоит обратить внимание?
Такой разный IAM
В IAM выделяют два различных технологических подхода:
- технология корпоративного единого входа (Enterprise SSO, ESSO);
- технология поставщика идентификации (Web SSO, Identity Provider, IDP).
В первом случае при внедрении технологии на каждое пользовательское устройство устанавливают программу-агент ESSO. Когда устройство включают, ESSO просит пользователя пройти идентификацию и аутентификацию с использованием комбинации методов – проверки пароля, смарт-карты, биометрии.
После этого пользователь может запустить нужное ему приложение. В свою очередь, приложение ничего не знает об использовании ESSO и во время запуска попробует показать пользователю экран запроса логина и пароля. Но агент ESSO перехватывает экран входа и сам подставляет за пользователя его логин и пароль.
Таким образом, пользователь получит надежную идентификацию/аутентификацию при входе в устройство, а также удобный автоматический вход во все приложения компании. Но такой подход обусловлен так называемым обманом приложений. Вход в них с помощью логина/пароля в обход запущенного агента ESSO по-прежнему возможен, значит сохраняются многие присущие парольной аутентификации угрозы, и это, безусловно, недостаток.
Есть еще один важный момент в использовании ESSO – ограниченность устройств, на которых возможна установка агента. Могут возникнуть проблемы с поддержкой Linux и macOS, iOS и Android.
Второй технологический подход – внедрение IDP. Этот подход лишен недостатков ESSO. Пользователь может использовать любые устройства, а для работы достаточно веб-браузера. В качестве устройств могут применяться не только ПК и смартфоны, но и голосовые станции, игровые приставки и Smart TV.
Расплатой за такую гибкость становится необходимость поддержки со стороны приложений возможности подключения к IDP. Другими словами, приложение должно поддерживать какой-либо из стандартов взаимодействия с IDP. Но большинство популярных приложений и облачных сервисов уже умеют это делать, так что недостатком это не является.
При использовании IDP пользователь обращается в приложение, а оно вместо отображения своего экрана входа отправляет серверу запрос на идентификацию. Если IDP уже знает пользователя, то происходит проверка разрешения на вход в приложение и регистрация факта посещения. После этого сведения о пользователе, полученные из каталога учетных записей компании, вернутся приложению. Если же IDP не знает пользователя, то попросит его сначала пройти идентификацию и аутентификацию. Вместо простой проверки логина/пароля IDP может использовать дополнительные методы аутентификации, в зависимости от контекста входа и политики доступа. Например, при входе в приложение из рабочей сети пользователь может быть автоматически идентифицирован по результатам проверки в домене (технология Kerberos SSO). Если пользователь хочет зайти в какое-то очень важное приложение или, например, осуществляет вход из сети Интернет с незнакомого устройства, то IDP может запросить подтверждение – потребовать ввести разовый пароль, отправленный по СМС, либо сгенерированный мобильным приложением выработки разовых паролей.
Для идентификации IDP может также сам обратиться к внешней системе входа, например к ЕСИА, социальным сетям, Apple ID.
Выбор решений IAM на рынке достаточно разнообразен. Есть решения, которые можно устанавливать на серверах компании, и решения, которые можно арендовать в формате облачного сервиса (Identity as a Service). Можно также разработать свой IAM на основе Open Source-решений или внедрить проприетарное ПО, в том числе разработанное отечественными компаниями, включенное в единый реестр российских программ.
Еще раз подчеркну, что начинать создание системы управления доступом целесообразно именно с внедрения IAM.
Сервер аутентификации Blitz Identity Provider
Производитель: ООО "РЕАК СОФТ"
Сертификат: изделие не подлежит сертификации Назначение: комплексная IAM-система
Особенности: унифицирует доступ сотрудников, контрагентов, клиентов в собственные приложения компании и используемые облачные сервисы
Возможности:
- Единый вход (Single Sign-On)
- Двухфакторная аутентификация
- Поддержка входа через ЕСИА, MosID, социальные сети
- Сервисы самообслуживания для регистрации учетных записей, ведение настроек безопасности, восстановления пароля
- Защита доступа к микросервисам компании
Характеристики
- Производительность одного сервера Blitz Identity Provider до 1000 запросов в секунду
- Устанавливается на серверы заказчика
Время появления на российском рынке: май 2020 г.
Подробная информация: identityblitz.ru
Фирма, предоставившая информацию: ООО "РЕАК СОФТ"
РЕАК СОФТ, ООО
107023, Москва, ул. Суворовская, 19, стр. 1
Тел.: +7 (499) 322-1404
E-mail: info@reaxoft.ru
identityblitz.ru