EWEEK LABS
Управлять идентификацией и проверять права пользователей становится все проще - если только каталог в порядке
Камерон Стардевант
Специализированные средства единого входа в систему, биометрические устройства, интегрированные инфраструктуры управления идентификацией - сочетание таких технологий упрощает проверку прав пользователей и обещает немалую экономию. Правда, все эти системы уже приобрели репутацию очень сложных в налаживании, поэтому главным стимулом их распространения служит государственное законодательство.
По оценке eWeek Labs, подавляющая часть имеющихся на рынке систем вполне пригодна для контроля доступа к конфиденциальной информации. Однако организациям, где нет постоянно обновляемого корпоративного каталога и стабильного, хорошо понятного пользователю комплекта приложений, за управление идентификацией пока лучше не приниматься.
Тем не менее для менеджеров ИТ, которым приходится выполнять законодательные обязательства, у нас есть хорошая новость: большинство проверенных продуктов помогут им наладить как управление идентификацией, так и единый вход в систему. А вот об экономии средств - пусть даже в перспективе - можно будет говорить лишь после унификации базовых каталогов.
Рассмотренные здесь средства управления идентификацией практически полностью ориентированы на опознание человека. Но это - явление временное. Развитие Web-сервисов - равно как и необходимость опознавать другие компьютеры и определять их права на доступ к приложениям и услугам сети - неизбежно приведет к смене парадигмы в пользу аутентификации разнообразных ресурсов. А это значит, что ИТ-менеджерам следует внимательно следить за новыми спецификациями технических комитетов OASIS (Organization for the Advancement of Structured Information Standards - организация по развитию стандартов структурированной информации), познакомиться с которыми можно по адресу: www.oasis-open.org/committees/wss/#announcements.
Рутина ручного труда
Прогресс в области управления идентификацией впечатляет, однако в этой бочке меда есть и несколько ложек дегтя. Во-первых, настройка и сопровождение подобных систем включают огромную долю ручного труда. Во-вторых, как ни стараются их разработчики охватить все возможные способы доступа (как, например, система v-GO SSO фирмы Passlogix), у большинства корпоративных пользователей найдется хотя бы одно приложение, для которого нужно создавать индивидуальную программу идентификации.
Но и после того, как пользователь войдет в систему, проблемы не исчезают, а становятся подчас еще замысловатее. Их сложность во многом зависит от профиля организации.
Чтобы получить доступ к системе, пользователь должен выбрать на экране Neusine элементы
изображения и расставить их в нужном порядке. Этот продукт не только обеспечивает единую
регистрацию в системе, но и значительно снижает вероятность несанкционированного доступа
Корпоративный партнер eWeek Нельсон Рамос, вице-президент и региональный исполнительный директор фирмы Sutter Health, напоминает, что даже недолгая пауза в работе приводит к отключению многих медицинских приложений. “Войдя в систему, нам нужно сразу же продемонстрировать какую-то активность - хотя бы подвигать мышью, а затем повторять это каждые пару минут. Только так можно поддерживать систему в рабочем состоянии”, - поясняет он.
Врачебная практика может стать самым серьезным экзаменом для управления идентификацией. В большинстве других отраслей решения редко касаются жизни и смерти человека. Другое дело - больница. Если врачу срочно понадобятся результаты лабораторных анализов, а он не сможет вспомнить свой пароль, последствия могут оказаться катастрофическими.
В системе здравоохранения возникают и другие трудности как для стандартных методов аутентификации по имени и паролю, так и для способов с применением более изощренных технологий (скажем, биометрии или жетонов безопасности). Можно ли говорить, скажем, об отпечатках пальцев там, где все носят резиновые перчатки? А нагрудные таблички и другие жетоны грозят создать массу проблем в стерильном помещении. Более того, в рентгеновских отделениях зачастую нельзя иметь на себе металлические или магнитные приборы.
В других отраслях управление идентификацией наталкивается на свои трудности, пусть и не такие серьезные, как в здравоохранении. Так, в любой организации, где персонал использует общие рабочие станции и перемещается внутри здания, аутентификация должна быть мобильной - она не может быть привязана к конкретному компьютеру. Все это и многое другое следует учитывать ИТ-менеджеру при планировании систем управления идентификацией.
Проблемы каталогов
Для работы Nsure фирмы Novell необходим ее же каталог eDirectory, который должен быть установлен хотя бы на центральной консоли. Платформа управления идентификацией и доступом Tivoli корпорации IBM способна взаимодействовать со многими службами каталогов, целый ряд каталогов поддерживает и семейство продуктов eTrust фирмы Computer Associates International. И все же интегрировать инфраструктуры идентификации между собой - задача далеко не простая.
Одна из причин здесь кроется в том, что большинство компаний - особенно переживших слияния, - используют различные каталоги. Любой ИТ-менеджер с опытом развертывания каталожной службы прекрасно знает, насколько сложно интегрировать систему управления идентификацией. Чего стоит одна только проверка каталогов, которые должны содержать самую свежую и полную информацию о пользователях!
Чтобы определить срок потенциальной окупаемости инструментария управления идентификацией, ИТ-менеджеру следует прежде всего оценить время, необходимое для добавления, перемещения и изменения данных в каталогах.
В своей системе v-GO SSO фирма Passlogix заранее предусмотрела
особенности паролей целого ряда приложений
Нельзя забывать и о стоимости восстановления забытых паролей. Как показывает практика, каждая подобная операция обходится примерно в $45. Чтобы точнее определить эту цифру, нужно знать зарплату как самого служащего, который не может приступить к работе, так и сотрудника службы помощи, а также учитывать потерянное рабочее время и цену транзакции справочной службы. Затем можно выяснить, сколько раз за прошедшие 12 месяцев приходилось восстанавливать пароли, и рассчитать общие потери за год.
Впрочем, ценность системы управления идентификацией определяется не только стоимостью восстановления паролей. Все проверенные в eWeek Labs системы помогают выполнять операцию удаления авторизованных пользователей, весьма трудоемкую и подверженную ошибкам. Протестированный нами инструментарий проверки прав пользователей снижает объем ручного труда, а значит, и количество возникающих при этом ошибок.
Знакомство с предоставленными нам средствами мы начали с тех продуктов, которые развертываются быстрее всего, - с клиентского инструментария для управления паролями.
Первым в очереди оказался v-GO SSO фирмы Passlogix по цене $69 за каждое рабочее место. Этот продукт позволяет организовать единый вход в систему и совместим с большинством распространенных приложений. Он отслеживает регистрацию пользователей, а после их входа в систему остальной процесс берет на себя. В нем допустима коррекция вводимых пользователем паролей, если те не отвечают требованиям организации (это может быть, например, обязательная ежемесячная смена пароля, его минимальная длина или сочетание алфавитно-цифровых символов).
Скорректированный пароль пользователю не сообщается, и тот знает лишь пароль для выхода на v-GO SSO. Таким образом, когда авторизованный пользователь увольняется, менеджеру по кадрам достаточно просто отменить его авторизацию в системе контроля. После этого ушедший сотрудник полностью теряет доступ к данным своей бывшей организации.
К сожалению, v-GO SSO работает только с операционными системами Windows, что не позволяет использовать его в разнородных средах.
Система Neusine фирмы Castle Systems предназначена для организаций, которым необходимо выполнять требования закона о сохранении медицинской страховки и отчетности по ней, касающиеся контроля доступа к записям о пациенте и к страховой информации. Этот продукт, в частности, используется фирмой Sutter Health.
Neusine представляет собой старую технологию в новом обличье. Чтобы пройти аутентификацию, пользователю нужно двигать элементы картинки по Java-интерфейсу. Система следит, чтобы объекты перемещались в правильном порядке и фиксировались в соответствующих местах. При этом анализируются все неуверенные движения пользователя и характер его поведения. Метод имеет много общего с определением ритма работы на клавиатуре.
Еще одно отличие Neusine от известных нам систем состоит в том, что этот продукт предлагается в виде сервиса. При работе с ним приходится платить за каждую аутентификацию пользователя. Цена договорная, и при больших объемах отдельная операция обходится в доли цента. Любая система управления идентификацией требует затрат на сопровождение, поэтому в тех случаях, когда аутентификация производится в массовом масштабе, схема “сдельной” оплаты может оказаться весьма рентабельной. За пользование системой Neusine взимается и абонентская плата: каждое рабочее место обходится в 10-12 долл. в год.
Хотя эта услуга Castle Systems предназначена для медицинских учреждений, никаких технических ограничений на ее применение в других отраслях нет, и любой ИТ-менеджер может изменить представление своих пользователей о том, какими бывают пароли.
Инфраструктуры
Tivoli Identity Manager и Tivoli Access Manager корпорации IBM, семейство Nsure фирмы Novell, пакеты eTrust Identity Management и eTrust Access Management фирмы Computer Associates International призваны перенести аутентификацию и авторизацию в более общую область проверки пользователей.
Подобные инфраструктуры хорошо подходят организациям, уже имеющим надежные системы контроля над пользователями. Лучшее место для них - крупномасштабные, четко структурированные среды.
Nsure быстро выводит на дисплей экран общей регистрации и вставляет в него вводимые пользователем имя и пароль
Фактически чем строже правила организации и интенсивнее ее процессы, тем лучше. Описываемые системы могут за завтраком съесть бюрократическую информацию, а к обеду выдать профиль пользователей едва ли не автоматически. Правда, на предприятиях с путаными или слабо определенными правилами проверки пользователей подобные продукты принесут мало пользы.
Покупатель Nsure получает от Novell и лицензию на службу каталога eDirectory, без которой некоторые компоненты этой системы просто не работают. В результате пользователи получают весьма впечатляющие возможности автоматизации.
Пакеты Tivoli Identity Manager и Tivoli Access Manager корпорации IBM работают вместе, предоставляя исчерпывающий набор функций аутентификации и контроля доступа в крупных корпоративных сетях. Как и продукт Novell, эта платформа содержит не только широкий спектр приложений с контролируемым доступом, но и элементы каталога.
Разработки IBM и Novell интегрируются с различными средствами аутентификации, и здесь все зависит только от того, насколько органично каждый из них вписывается в ИС конкретной компании.
Фирма Computer Associates International в семействе eTrust реализовала поэтапный подход к управлению идентификацией.
По своей архитектуре eTrust Identity Manager и eTrust Access Manager очень близки к платформе IBM Tivoli. Так же как и она, эти продукты поддерживают широкий диапазон корпоративных приложений. Совместимы они и с целым рядом реализаций каталогов, благодаря чему ИТ-менеджеры без труда развернут их, не затрагивая имеющуюся инфраструктуру.
К достоинствам продуктов Computer Associates следует отнести их способность обеспечивать единый вход в систему, элементы самообслуживания пользователей и другие потребительские функции. Они не только удобны, но и позволяют снизить затраты на администрирование. Очень радует, что фирма наконец-то отошла от своего принципа “все или ничего”, который явно просматривался в ее подходе к управлению информационными технологиями в конце 90-х годов.
Компоненты eTrust должны дать ИТ-менеджерам достаточное пространство для маневра и помочь им выдерживать установленные сроки, обходясь при этом без орды консультантов.
Ваш идентификатор, пожалуйста
На что нужно обращать внимание при выборе системы управления идентификацией
- Требуется ли установка программного обеспечения на клиентской системе? Старайтесь избегать систем с клиентским ПО. Если без него обойтись невозможно, убедитесь, что механизм обновления клиентов сможет работать с системой рассылки ПО. Такой системы у вас нет? Значит, предложить своим пользователям единую регистрацию организация еще не готова.
- Допускает ли платформа самостоятельный сброс пароля? В списке ваших требований видное место должно быть отведено самообслуживанию пользователей. Если сбросом и восстановлением паролей будет заниматься администратор, о высокой рентабельности можно даже не мечтать.
- Совместима ли новая система с каталогом, который уже используется в вашей организации? Если да - отлично. В противном случае готовьтесь к тому, чтобы сначала развернуть новый каталог, а уж затем беритесь за систему управления идентификацией.
- Как аннулируются права пользователя? Возможность блокировать доступ бывших сотрудников и не уничтожать при этом записи об их прежней работе в системе нельзя переоценить.