Опубликован: 04.07.2008 | Доступ: свободный | Студентов: 636 / 33 | Оценка: 4.83 / 5.00 | Длительность: 42:11:00
Лекция 8:

Стратегии каталогов

8.4.1 Предоставление учетных записей

Интеграция и синхронизация каталогов могут быть использованы для поддержки предоставления учетных записей. Предоставление учетной записи (account provisioning) с точки зрения каталогов означает, что для заданного пользователя неким автоматическим способом могут быть разрешены различные службы системы. Путем автоматического предоставления учетных записей общим приложениям могут быть радикально сокращены требуемые административные ресурсы.

В целях поддержки такого автоматического предоставления интеграция каталогов должна поддерживать несколько требуемых функций.

Служба

Служба (service) является логическим набором функций, типично предоставляемых отдельным приложением, или набором интегрированных приложений. В интересах предоставления учетных записей служба является синонимом приложения. Примером служит электронная почта Notes.

Учетная запись

Учетная запись (account) является определенными службой деталями о пользователе и заданными службой ресурсами. Например, адрес электронной почты с соответствующим почтовым ящиком для приема сообщений могут быть определенными пользователю ресурсами, требуемыми службой электронной почты. Службе может понадобиться распознать предопределенный мандат (credential) пользователя для доступа к службе, ей может понадобиться определить элементы управления доступом к службе для разрешения пользователям отправлять или принимать сообщения в своих почтовых ящиках, и к тому же не допустить доступа к своим почтовым ящикам со стороны других пользователей службы электронной почты. Взаимосвязь между аутентификацией и управлением доступом с точки зрения учетной записи заключается в следующем:

  • Служба поддерживает аутентификацию пользователя для доступа и использования предоставляемых службой функций. Аутентификация означает акт проверки достоверности (аутентичности) мандата (удостоверения личности) пользователя. Мандатом может быть идентификатор пользователя ( ID ) и пароль или цифровой сертификат.
  • Служба предоставляет элементы управления доступом к ресурсам и функциям учетных записей. Управление доступом является методом, используемым для обеспечения того, что аутентифицированные пользователи могут получить доступ только к той информации или функциям, к которым им дано право получить доступ.

Учетная запись необходима, потому что специфические для пользователя данные должны быть сохранены в приложении. Типы данных, которые мы рассматриваем как часть учетной записи, не сохраняются в службе Enterprise Directory. Примерами являются почтовые ящики электронной почты, папки favorites, предпочтения или опции пользователя для заданного приложения. Мы можем хранить местоположение почтового ящика пользователя в каталоге, но сам почтовый ящик и его содержимое сохраняются в приложении.

Регистрация

Регистрация (registration) является актом или процессом подписки определенного пользователя на сервис. Пользователь может самостоятельно осуществить регистрацию идентификаторов ID, подписок и т. д. В качестве альтернативы от лица пользователя подписаться на службы (сервисы) могут администратор или руководство пользователя. Третьим типом регистрации может быть автоматическая регистрация или регистрация на основе ролей, когда роли являются функциональными, зависящими от уровня работы, названия должности, корпоративной иерархии и т. д. Требуемые службой параметры (детали учетной записи) должны быть предусмотрены участвующей стороной или агентом, выполняющим регистрацию, хотя некоторые параметры могут быть сгенерированы алгоритмически на основе атрибутов каталогов.

Служба может предусматривать в себе различные уровни возможностей или функций, поэтому при регистрации может понадобиться предоставить подробности относительно желаемых в службе функций.

Предоставление прав

Предоставление прав (entitlement) является актом предоставления пользователю с определенным набором мандатов доступа к информации или функциям. Как правило, пользователю должно быть предоставлено право применения службы перед тем, как может быть настроена учетная запись на службу. В качестве альтернативы, учетная запись может быть настроена без каких-либо прав доступа в ожидании предоставления прав, хотя результатом такой последовательности может быть резервирование ресурсов, которые затем никогда не будут использованы, и возможная потребность в некоторых действиях по очистке для освобождения неиспользуемых ресурсов.

Автоматическое предоставление учетных записей

Несмотря на то что существует возможность выполнять автоматическое предоставление без центрального основного каталога, оно будет ограничено до определенных событийно-управляемых процессов. Например, добавление в кадровую систему нового служащего может привести к автоматической настройке учетной записи электронной почты в Domino, если используется такой инструмент, как интегратор каталогов (Directory Integrator). Этот тип событийно-управляемого предоставления учетной записи может быстро стать трудноразрешимым, если предоставление прав для учетной записи определяется множеством факторов, таких, как название должности, отдел, место работы и т. д. Например, если служащим с определенным названием должности или уровнем работы автоматически дается учетная запись службы мгновенного обмена сообщениями (Instant Messaging), это может быть автоматизировано. Но это не предусматривает средства для допущения исключений, здесь нет способа внесения изменений в политики предоставления прав для изменения существующих пользователей. Другими словами, для существующего пользователя нет "события" до тех пор, пока для этого пользователя не будут внесены некоторые изменения в каталог-источник.

Если предоставление прав для пользователя не сохраняется явно в центральном каталоге, предоставление прав должно быть обозначено или предположено при проверке данных каталога в множестве систем. Центральный каталог может хранить информацию относительно того, какие системы или службы пользователю разрешено применять, для каких из них сконфигурировано применение пользователем, а также информацию относительно уникальных для каждой системы атрибутов пользователя. Этим предоставляется преимущество, связанное с предоставлением администратору возможности видеть и манипулировать всеми различными предоставлениями прав для заданного пользователя в одном месте. Помимо предоставления центральной точки администрирования предоставления прав, в этом случае изменения в политике предоставления прав могут быть применены как к новым, так и к существующим пользователям. Как и в исключительно событийно-управляемом предоставлении прав, реальные учетные записи для каждой из служб могут быть настроены автоматически. По причине упомянутых преимуществ мы рекомендуем тем организациям, которые планируют автоматизировать предоставление учетных записей, серьезно рассмотреть реализацию центрального основного каталога.

8.4.2 Элементы управления доступом организации

Обзор унифицированных каталогов не будет полным без упоминания о появившемся классе систем, которые позволяют объединить управление идентификаторами личностей и централизованные элементы управления доступом. В целях потенциального включения всех приложений организации, разработанных различными производителями, требуются специализированные системы обеспечения безопасности, которые управляют идентификаторами личностей и элементами управления доступом. Полная стратегия принципа единственной регистрации (SSO) типично включает системы управления идентификаторами личностей, объединенные системы каталогов и развитые политики и процедуры, которые централизованно осуществляются и управляются. Системы обеспечения безопасности, которые предоставляют "центральную точку" по управлению идентификаторами личностей и элементами управления доступом для неравноправных внутренних систем, упоминаются обычно как "системы управления доступом организации" (enterprise access management systems). Примерами таки х систем являются IBM Tivoli Access Manager и Netegrity Siteminder. Организации, которые занимаются реализациями системы управления доступомобычно имеют следующие характеристики:

  • стратегия и архитектура центрального или основного каталога LDAP;
  • обязательства по централизованной политике и плану администрирования безопасности;
  • общий критерий управления доступом, такой, как стандартизованные политики групп доступа, стандартизованные роли и хорошо определенные политики администрирования, совместно используемые всеми приложениями;
  • стратегическое направление на использование Web-доступа ко всем приложениям организации.

В крупных организациях, которые имеют большое количество каталогов, для реализации всесторонней стратегии SSO при использовании системы управления доступом организации будут требоваться значительные затраты времени и ресурсов. Однако при использовании системы управления доступом организации время, требуемое для обеспечения архитектуры SSO, поддерживающей значительное количество платформ приложений, будет в итоге короче, чем при использовании постепенного подхода (по частям).

Подробный обзор IBM Tivoli Access Manager представлен в документе компании IBM Tivoli Access Manager for e-business, REDP3677.

8.5 Краткие выводы

Множество каталогов сегодня является проблемой для многих организаций. Непостоянство данных в каталогах вызвано наличием множества точек управления одними и теми же или подобными личными данными. Объединение точек управления требует либо тактического решения, такого, как синхронизация данных, или стратегического решения, такого, как объединение данных в службу каталогов организации.

Множество идентификаторов личностей пользователей представляют величайшую проблему для возможности разработки архитектуры обеспечения принципа единого входа [single sign-on (SSO)]. Так как невозможно потребовать миграции всех существующих приложений для использования отдельного общего каталога, то для обеспечения способности преобразования одних идентификаторов пользователей в известные для различных каталогов требуется проведение синхронизации каталогов.

Ключом к успешной синхронизации каталогов является исчерпывающее и точное определение потоков данных. При подходе к синхронизации на уровне потоков данных вы уменьшаете сложность. Это предоставляет вам выгоды во всем: в скорости ввода в действие, точности решения, надежности и удобстве сопровождения.

Службы каталогов организации предоставляют инфраструктуру для управления всеми информационными ресурсами организации. Общая объединенная инфраструктура предоставляет структуру для управления информацией о служащих, бизнес-партнерах, заказчиках и других связанных с организацией заинтересованных сторонах в различных системах организации.

Служба каталогов позволяет организации обеспечить доступ к соответствующим данным о ресурсах как пользователям, так и приложениям. Общая служба может предоставить интерактивный, динамический контент, который может быть повторно использован, настроен и персонифицирован в интересах клиента. Службы каталогов организации должны быть основаны на специфических требованиях служащих, бизнес-партнеров, поставщиков и заказчиков. Основными ключевыми моментами для разработки центрального основного каталога являются:

  • доскональная разработка схемы классов объектов и атрибутов;
  • тщательная разработка дерева информации каталога (DIT).

В зависимости от количества каталогов и авторитетных источников объем работ по объединению множества каталогов и идентификаторов личностей людей может быть весьма значительным. Долговременными преимуществами выполнения этого объема работ являются: исключение избыточных служб с соответствующим снижением затрат на администрирование данных, улучшенная целостность данных, улучшенные процессы обеспечения безопасности и аудита. Объединенная служба каталогов, которая поддерживает все относящиеся к организации заинтересованные стороны, может быть усилена в организации за счет новых служб приложений, которые традиционно были ограничены рамками аудитории отдельной заинтересованной стороны. Объединенная служба каталогов может состоять из метакаталога или центрального основного каталога или из их обоих.

В дополнение к упомянутым ранее основным преимуществам реализация центрального (корпоративного) основного каталога может предоставлять следующие дополнительные преимущества:

  • хранилище данных и источник публикаций для корпоративной информации;
  • центральный каталог для управления почтой и ее доставкой;
  • центральный источник для аутентификации и технологического процесса приложений;
  • потенциальный источник для хранения мандатов в интересах шифрования данных и почты;
  • средство поддержки автоматического предоставления учетных записей;
  • средство для снижения себестоимости путем повышения эффективности от роста масштабов производства и уменьшения повторяющихся работ.