Службы каталогов не новы, но по-прежнему являются важной составной частью ИТ-инфраструктуры. Сейчас перед многими организациями встает вопрос, как использовать имеющийся каталог, созданный для обслуживания локальных серверных приложений и сервисов (таких, как файловые сервисы и печать), в сочетании с облачными сервисами вроде Google и Salesforce.com.
Часто рекомендуют избегать интеграции локальной и облачной систем идентификации. Это оправданно, если речь идет о небольшом отрезке времени. Но если затянуть объединение, рано или поздно вас ждут неприятности. С распространением облачных сервисов растет вероятность взлома системы идентификации пользователей или ошибки администратора, обеспечивающего пользователям доступ к сервисам.
Обратите внимание на систему однократной регистрации (single sign-on, SSO) SinglePoint компании Symplified, использующую облачные сервисы. Летом этого года она была обновлена и снабжена новыми функциями. Теперь она позволяет хранить данные о локальном пользователе и облачных сервисах на одной и той же странице. Подход компании Symplified к SSO основывается на широком применении технологий с открытым исходным кодом и общедоступных методов, таких как языки SAML (Security Assertion Markup Language) и XACML (eXtensible Access Control Markup Language).
Хотя природа облачных сервисов позволяет включать в продукт дополнительные функции, Symplified предпочла создать для SinglePoint совершенно новый механизм предоставления доступа. Она реализовала расширенные возможности синхронизации и функции каталога, а также сервис, позволяющий клиентам использовать Google и Salesforce.com в качестве облачных каталогов, способных идентифицировать пользователей в других приложениях.
Новый Symplified Identity Vault способен заменить самостоятельно разработанную службу каталога и позволяет управлять идентификацией пользователей как облачной функцией, не зависящей от локальной инфраструктуры. Например, при использовании традиционного портала ИТ-подразделение управляет доступом пользователей с помощью каталога LDAP. А в случае с Identity Vault портал при аутентификации пользователей обращается к Google и Salesforce.com и на основе полученной от выбранного сервиса информации предоставляет пользователю доступ к ресурсам или отказывает в доступе.
Ликвидация разрыва
Если предприятие хочет отказаться от традиционной локальной системы аутентификации и авторизации пользователей или просто создать гибрид локальной службы каталогов с облачными сервисами, ей нужен Symplified Sync. Этот продукт позволяет ликвидировать разрыв между Microsoft Active Directory (AD) и облаком. При этом хранящиеся в AD данные о пользователях привязываются к облачным сервисам. Это первый этап, на котором Sync перебрасывает мостик от AD к Google или Salesforce.com. Если появится спрос, Symplified намерена расширить возможности продукта для работы и с другими облачными приложениями.
Symplified Sync использует так называемые маршрутизаторы идентификации (ими могут управлять Symplified или ИТ-подразделение клиента), обеспечивающие обмен информацией между каталогом и приложением, к которому предоставляется доступ. Если администратор одновременно обслуживает как AD, так и одно или несколько облачных приложений, его особенно порадует, что такой обмен не требует использования незнакомых инструментов для предоставления пользователям доступа к приложениям. Операции добавления, внесения изменений и удаления по-прежнему осуществляются с помощью имеющихся в AD средств и переносятся в облако без вмешательства администратора.
Виртуальный каталог Symplified Virtual Directory не ограничивается таким наведением мостов и предоставляет множество сервисов, предназначенных для организаций, имеющих несколько хранилищ идентификационных данных. Каталог позволяет связывать между собой атрибуты из разных репозиториев, преобразовывать данные, производить нормализацию и решать другие подобные задачи при использовании, с одной стороны, многочисленных систем LDAP и реляционных СУБД, а с другой, — облачных сервисов.
При реализации всех этих возможностей применяется модель взаимоотношений “один ко многим”. Symplified утверждает, что Virtual Directory избавляет от необходимости возиться со схемами связей или писать собственный код, чтобы производить обмен данными между различными репозиториями.
Всеми этими процессами управляет SinglePoint Studio, веб-приложение, представляющее собой инструмент, судя по всему, совершенно не зависящий от применяемого браузера. Я даже сумел воспользоваться браузером Safari на компьютере Mac с операционной системой OS X для доступа к его функциям. Правда, в основном я все-таки применял Firefox 3.6, установленный на ПК под управлением Windows XP.
Тестирование облачной конфигурации
Для тестирования я использовал установленные в облаке приложения Symplified. Привыкнуть к особенностям формулирования политик и их применения к различным группам пользователей оказалось сравнительно легко. Даже к таким высокоуровневым функциям, как конфигурирование хранилищ идентификационной информации о пользователях, можно быстро получить доступ и научиться ими управлять.
SinglePoint Studio идентифицирует приложения с помощью одного или нескольких “относительных путей доступа”. Они никак не связаны с файловой системой и больше напоминают организационные схемы. У компании могут быть приложения, одно из которых предназначено для организации продаж, другое — для управления текущими операциями и т. д. В каждом приложении можно задать относительный путь, чтобы отделить производство от складского хранения, если для соответствующих групп сотрудников действуют различные правила предоставления доступа к информации о цепочке поставок, с которой обычно имеет дело группа текущих операций.
С одного взгляда на приборную панель Studio можно сразу увидеть, как сконфигурирована система SinglePoint. Здесь отображаются приложения, маршрутизаторы идентификации, хранилища данных о пользователях и незавершенные процессы внесения изменений в настройки.
Управляющие функции SinglePoint Studio хорошо продуманы. Можно выбрать роль “суперадминистратора”, запретив работу обычного администратора. Тогда вы получите возможность добавлять и удалять администраторов и “суперадминистраторов” и изменять их полномочия. Администраторы — как рядовые, так и с приставкой “супер” — могут управлять различными аспектами политик, регулирующих доступ и аутентификацию пользователей.
Кроме того, “суперадминистраторы” получают право перезагрузить важнейший сервис маршрутизации идентификации.
Пользователи SinglePoint смогут сравнительно легко добавить к своим приложениям новые внешние облачные сервисы. Как только инженеры из Symplified составят схему аутентификации своего сервиса, она будет предоставлена всем клиентам компании. Таковы перспективы, которые могут вас интересовать.