midPoint – Open source řešení pro identity management
V minulém čísle časopisu IT Systems se Pavel Štros ze společnosti Datasys věnoval pragmatickému přístupu k informační bezpečnosti. Jedním z jeho doporučení bylo neopomíjet při výběru vhodných nástrojů a řešení otevřený software. Připomněl, že v současnosti existuje mnoho plnohodnotných bezpečnostních nástrojů se svobodnou licencí a podporou výrobce i zkušených dodavatelů. Příkladem takového nástroje je i midPoint – open source IDM řešení využitelné ke zvýšení bezpečnosti v mnoha různých typech podniků a organizací. Je to user provisioning systém, který umožňuje synchronizovat uživatelské účty mezi různými koncovými a zdrojovými systémy a spravovat jejich přístupová práva.
Systém midPoint vytváří vztah mezi pracovníkem (zaměstnancem, externistou apod.) a jeho účty a poskytuje globální pohled na stav účtů, jejich vlastníků a jejich práva na všech koncových systémech připojených do řešení. Kromě správy účtů umožňuje midPoint i spouštění interních workflow pro schvalování přístupů, které je vhodné využít především při vytvoření a změně rolí. Reálně využívají tento nástroj univerzity s miliony uživatelů, finanční instituce se stovkami systémů, ale i malé společnosti, kde je k IDM připojeno jen pár systémů s desítkami uživatelů.
Proč implementovat IDM ve společnosti?
- Výrazné zvýšení bezpečnosti správy identit – Přístup k systémům a aplikacím, tedy k firemním informacím, zdrojům a aktivům, má jen oprávněný uživatel.
- Efektivní správa identit – Přehledná správa přístupů uživatelů v reálném čase. Oprávněný pracovník díky automatickému workflow zavede do systému nové uživatele, zákazníky či partnery, jednoduše a rychle je i vyřadí – zamezí přístup při změně kompetencí či odchodu uživatele nebo skupiny – provisioning/deprovisioning.
- Redukce TCO – Díky předchozím dvěma bodům, ale i zefektivnění provozu stávajících i zavádění nových aplikací a obchodních procesů šetříte náklady. Centrální řízení všech účtů a přístupů k IT zdrojům organizace.
- Požadavky legislativy a regulace hlavně na finanční organizace, kde je třeba přesně evidovat a reportovat, kdo a kdy měl nebo má přístup do daného systému či aplikace.
Základem úspěchu je detailní analýza
Úspěšná implementace midPoint nezačíná platbou za licence jako u konkurenčních řešení, ale dokonalou analýzou stávající infrastruktury, procesů v organizaci a požadavků klienta. Výstupem je analýza současného stavu u klienta, návrh řešení a technická specifikace. Ve spolupráci s odpovědnými pracovníky by měl být vypracován katalog uživatelských identit a rolí a matice přístupů. Jen dokonalou analýzou docílíme komplexního obrazu o způsobu implementace a rozsahu prací při customizaci. Na základě analýzy infrastruktury vznikne podrobný implementační plán vč. integrace do IDM, vybere se vhodné místo v síti na instalaci midPoint a stanoví se síťové propojení. Vypracuje se návrh bezpečnostní dokumentace k implementaci a integraci IDM.
Implementace IDM systému a integrace s vybranými systémy se skládá z (některé kroky je možné nahradit integrací s existujícími řešeními):
- Instalace serveru pro midPoint
- Instalace webového serveru
- Instalace databáze pro midPoint
Minimální požadavky systému
Samotný systém midPoint je webová aplikace, která ke své činnosti potřebuje J2EE aplikační server. Údaje o uživatelích a převážná část konfigurace jsou uloženy v repozitáři identit (Identity Repository). Rozhraní pro konfiguraci a správa účtů vyžadují jen běžný webový prohlížeč.
Velkou výhodou řešení midPoint je jeho nenáročnost na hardware. Pro typickou instalaci řešení je potřeba jeden server: server OS RAM CPU 1 Linux nebo Windows, může být virtuální (jakákoliv aktuální verze nebo distribuce), min. 4 GB 2 core. Řešení může být instalováno s vlastní databází na stejném serveru jako midPoint. Alternativně lze využít existující databázi, kterou již odběratel provozuje. V tomto případě midPoint potřebuje jen vytvoření vlastního databázového schématu v existující databázi. To může být výhodnější z provozních důvodů – znovu se použijí procedury zálohování a obnovy stávající databáze, monitoring a podobně. Dopady midPoint na existující databázi jsou typicky velmi nízké.
Implementace se realizuje postupně, k IDM se připojují jednotlivé systémy v etapách navržených na základě analýzy. K dokonalému zvládnutí provozu by měl zpočátku pomáhat klientovi tým řešitele.
Příklad logické architektury řešení midPoint
Praktické zkušenosti s vývojem a nasazením midPointu
Léta zkušeností ukazují na důležitost jednotlivých kroků při implementaci:
- Vývojové prostředí – Slouží k bezprostřednímu vývoji komponentů řešení a může být distribuováno mezi členy realizačního týmu. Sem patří zejména osobní počítače, na kterých se připravuje konfigurace pro chování systému midPoint (mapovací pravidla apod.), a konektory pro koncové systémy.
- Testovací prostředí – Slouží k otestování funkčnosti vyvinutých komponent a předběžnému testování dílčího i celého řešení. Architektura testovacího prostředí je zjednodušená oproti produkčnímu prostředí, nemusí obsahovat reálné údaje o uživatelích, musí však obsahovat všechny typy dat, pomocí kterých se bude řešení testovat (testovací koncové systémy, všechny atributy testovacích uživatelů).
- Produkční prostředí – Slouží pro provoz řešení.
Po implementaci by měl být systém udržován týmem specialistů tak, aby byly zachovány požadavky uživatelů. Nasazováním nových verzí se rozšiřuje funkčnost systému, buď na základě požadavků klienta, které sám určí v rámci placené podpory, nebo v rámci plánovaného rozvoje produktu.
Schematické znázornění role řešení midPoint. Zdroj: Evolveum
Kritičnost řešení
Systém midPoint je komponenta řešení, která přímo zajišťuje správu účtů na koncových systémech, nepředstavuje však kritickou část infrastruktury. Pokud je systém nedostupný, uživatelé mohou nadále využívat koncové systémy a správa účtů nativními prostředky koncových systémů je i během výpadku IDM nadále možná. Pro zvýšení dostupnosti je možné nakonfigurovat řešení v high availability režimu pro aplikační server a úložiště dat.
Údaje o uživatelích evidované v databázi midPoint je možné i po výpadku systému kdykoli synchronizovat s koncovými systémy (pomocí rekonciliace), pro důvěryhodnost řešení jsou však kritické auditní záznamy. Databázi midPoint proto navrhujeme zálohovat denně, nejméně však jednou za týden. Obnovení databáze ze zálohy vyžaduje restart aplikačního serveru se systémem midPoint a rekonciliace s koncovými systémy.
Statické soubory midPoint (konektory, knihovny apod.) není třeba zvlášť zálohovat, je možné je snadno obnovit instalací. Poškození či vymazání databáze midPoint nezpůsobuje nedostupnost účtů uživatelů na koncových systémech.
Výhody implementace midPoint
Zavedení systému midPoint znamená úsporu času stráveného vytvářením a schvalováním přístupových práv do jednotlivých systémů. Přístupy do všech systémů jsou soustředěny do jednoho bodu. Vše je rychlé a automatické. Zároveň se eliminuje možnost opomenutí deaktivace přístupu do některého systému při odchodu zaměstnance nebo při změně práv. Vždy máte detailní a online přehled, kdo, kdy, komu a kam povolil přístup. Můžete si tak být jisti, že se nikdo nedostane k datům, která nemá vidět.
Největší výhodou systému midPoint je, že je založený na open source technologii. Je nenáročný na implementaci i provoz. Pro mnoho systémů existuje hotový a implementovaný konektor. Na straně systémů zákazníka jsou při implementaci vyžadovány jen minimální změny (z 99 % se přizpůsobuje midPoint). Specifické požadavky zákazníků, které se dají využít všeobecně i pro další klienty, jsou integrovány do řešení. Tím se celý systém každou další implementací zdokonaluje. Díky promyšlené filozofii a obrovskému množství instalací a implementací po celém světě získává midPoint stále více zákazníků a jeho funkčnost narůstá s každou další implementací.
 |
Miroslav Sopkovčík Autor článku je obchodním ředitelem společnosti IBA Slovakia ze skupiny IBA Group. |
