Novell conNection - 2005. március
Identity Manager
A személyazonosságok és jelszavak felügyeletének biztonságossá tétele
A DirXML továbbfejlesztett változata, a Novell Identity Manager 2.0 a hagyományos DirXML-képességeken túlmutató funkciókkal rendelkezik. A Novell Identity Manager 2.0 nem csak jelentősen egyszerűsíti a szabályalkotási folyamatot, de egy másik kényes felügyeleti pontot is egyszerűsít: a jelszókezelést.
A Novell Identity Manager egy platformközi szolgáltatás, amely segítséget nyújt a személyazonossági információk felügyeletében. A Novell Identity Manager bármely rendszeren segítheti a személyazonossági információk felügyeletét, amelyhez a Novell (vagy egy külső gyártó) megírt egy speciális csatolót. A Novell csatolói illesztőfelületet nyújtanak a legnépszerűbb alkalmazásokhoz, adatbázisokhoz és címtárakhoz, így az SAP HR-hez, a GroupWise-hoz, a Microsoft Exchange-hez, a Lotus Noteshoz, az Oracle-höz és a Microsoft Active Directoryhoz. (A Novell csatolóinak teljes listája: www.novell.com/products/dirxml/drivers.)
Annak kézbentartásához, hogy hogyan és mikor kerülnek kicserélésre a személyazonossági információk ezek között a rendszerek között, az ezekhez tartozó csatolókat különféle szabályok használatával kell konfigurálni. (Ezek a szabályok a vállalati igényekre, illetve a cégnek a partnereivel és dolgozóival való kapcsolataira épülnek.) Régebben számos ügyfél ijesztőnek találta ezeket a szabálykészítési folyamatokat, különösen azok a felhasználók, akik számára szokatlan volt az eXtensible Markup Language (XML) és az eXtensible Stylesheet Language Transformations (XSLT) használata – ez az Identity Manager szabályok két hagyományos formátuma.
A Novell Identity Manager az eDirectoryn fut és minden, az eDirectory által támogatott platformot támogat - ezek közé tartozik a NetWare, a Microsoft Windows NT/2000, a Linux, a Solaris, az AIX és a HP-UX. Az Identity Manager számos javítással és új funkcióval bővíti az alapjául szolgáló DirXML-terméket, így a naplózási és figyelési funkciókkal és az új szerep alapú jogosultsági irányelvekkel.
1.ábra: A Novell Identity Manager 2.0-ban az Irányelvkészítőnek (Policy Builder) nevezett grafikus felhasználói felület segítségével hozható létre az irányelveket alkotó szabályok túlnyomó része
Az Identity Manager számos figyelemre méltó funkciót tartalmaz, amelyek közül az alábbiak a legérdekesebbek:
Egy új, az irányelvek (régebbi nevükön szabályok) készítésére használható grafikus felhasználói felület, amely a csatlakozó rendszerek közötti információáramlást vezérli.
Új jelszókezelési funkciók, amelyek
lehetővé teszik a csatlakozó rendszereken a jelszavak létrehozását meghatározó jelszó-irányelvek készítését;
segítenek a felhasználóknak az elfelejtett jelszavak visszanyerésében, vagy a lejártak alaphelyzetbe állításában;
szinkronizálják a jelszavakat az eDirectory és számos más csatlakozó rendszer között.
Irányelvek létrehozása
Az Identity Manager leegyszerűsíti az irányelvek létrehozásának folyamatát. Az irányelvek szabálygyűjtemények, amelyek feltételeket és tevékenységeket határoznak meg az Identity Manager környezet csatlakozó rendszerei közötti információáramlás irányításához. Egy létrehozási irányelv például olyan szabályokat tartalmaz, amelyek előírják, hogyan és mikor történik új objektumok létrehozása.
A DirXML 1.x-ben a szabályok XML-ben vagy XSLT-ben hozhatók létre. Az XML alapvetően az egyszerű logikára épülő szabályokhoz használható, például sémaleképezési, létrehozási, illesztési és elhelyezési irányelvekhez. Az XSLT az összetettebb logikát igénylő szabályok készítésére való, mint például a kimeneti és bemeneti szabályok, vagy az eseményekkel kapcsolatos és parancsátalakítási irányelveknek. Sajnos, ezzel a látszólag kedvező egyenlettel szemben a valóság az, hogy mindössze a szabályok 20 százalékához használható az XML, és a többi 80 százalékhoz a sokkal bonyolultabb XSLT-re van szükség.
A Novell-mérnökök áttervezték a DirXML-t, így az Identity Manager lényegében felcseréli ezeket a százalékokat. Az Identity Managerrel csak a szabályok 20 százalékát kell XSLT-ben elkészíteni, és 80 százalékát lehet egy új, egyszerűsített XML-verzióban, amelyet DirXML Scriptnek hívnak. Ami még fontosabb, nem kell DirXML (vagy XML, vagy XSLT) scripteket írni az irányelveket alkotó szabályok létrehozásához, hanem fel lehet azokat építeni egy Policy Builder nevű grafikus felület használatával.
A létrehozott szabályokat az irányelvkészítő (Policy Builder) fordítja le DirXML Script nyelvre. Az irányelvkészítőnek része egy varázsló, amellyel a DirXML Scriptté fordítható bármilyen régi stílusú meglévő XML (vagyis a DirXML korábbi verzióival írt szabályok). Egész pontosan, a sémaleképezési szabályok kivételével le is kell fordítani majd a régi szabályokat ahhoz, hogy működjenek az új, frissített környezetben.
Jelszó: Irányelv, szolgáltatás és szinkronizálás
|
Az Identity Manager biztosítja, hogy amikor a felhasználók a Self Service Console-ban frissítik a jelszavukat, az az összes kapcsolódó – és ezt az információt előfizető – rendszerben frissítésre kerüljön. |
Az irányelvkészítővel a Novell azt, ami az Ön számára is „a világ legrosszabb feladatainak egyike” volt, a legkevésbé fárasztó feladatok egyikévé formálja át. A személyazonosság- felügyeleti problémák természetesen nem érnek véget a csatolók beállításával, amelyekkel a rendszer megoszthatja a személyazonossági információkat. Elméletileg még mindig ott vannak a jelszavak felügyeletével járó kellemetlenségek – legalábbis ott lennének, ha nem lenne az Identity Manager.
Az Identity Manager a Novell jelszófelügyeleti megoldása. Használatával minimálisra csökkenthető az az idő és energia, amelyre a biztonsági harcban a vállalat első védelmi vonalát jelentő titkok felügyeletéhez szükség van. Az új jelszófelügyeleti funkciók három kategóriára bonthatók:
Jelszavakkal kapcsolatos irányelvek
Jelszavakkal kapcsolatos önkiszolgáló lehetőségek
A jelszavak szinkronizálása
Az új jelszófelügyeleti funkciók több okból lehetnek vonzóak Önnek. Egyrészt azért, mert használatukkal egységes jelszó-irányelvek kényszeríthetők ki számos heterogén rendszerben, ami nagyobb védelmet jelent. Másrészt azért, mert segítségükkel a felhasználók segíteni tudnak magukon, és ezzel csökken a helpdeskre nehezedő nyomás. Harmadrészt azért, mert ezekkel a funkciókkal minimálisra szorítható azoknak a jelszavaknak a száma, amelyeket a felhasználóknak meg kell jegyezniük, és ezzel erősödik a jelszavas hitelesítés biztonsága a hálózaton. Végül pedig azért, mert kevesebb jelszó használatával a felhasználók kisebb valószínűséggel húzzák keresztül az egész jelszókoncepciót azzal, hogy leírják (és így kihirdetik) titkaikat.
2.ábra: A létrehozott jelszóirányelvek előírják a jelszavak szintaxisát, hosszát, a különleges karakterek használhatóságát, és hogy engedélyezve van-e a felhasználók számára a jelszavak visszanyerése és alaphelyzetbe állítása
Egy irányelv minden rendszerhez
Az Identity Managerrel olyan jelszóirányelv hozható létre, amely egy kicsit kézzelfoghatóbb és sokkal kikényszeríthetőbb, mint egy pár szó a biztonsági kézikönyv egyik oldalán.
Az Identity Managerben a jelszóirányelv a felhasználói jelszavak létrehozásához és pótlásához használt szabályok gyűjteménye. Ezek a szabályok határozzák meg az elfogadható jelszó ismertetőjegyeit. Szabályok létrehozásához válasszon ki és adjon meg értékeket a különféle ismertetőjegy-mezőkben (lásd 2. ábra).
Az Identity Manager azzal is segíti az irányelvek betartásának kikényszerítését, hogy emlékezteti a felhasználókat a megfelelő jelszóra vonatkozó szabályokra, amikor megpróbálják alaphelyzetbe állítani az iManager önkiszolgáló konzolját (Self-Service Console). (Az önkiszolgáló konzol használata a jelszó-irányelvek felügyelete (Manage Password Policies) felületen engedélyezhető.
Mindenki nyer: A felhasználó, a vállalat, és Ön is
Az új architektúra végeredménye ugyanaz, mint az Identity Manager minden továbbfejlesztett fukciójának végeredménye: egy, a felhasználók, a vállalat és az Ön számára egyránt előnyös szituáció. A jelszófelügyeleti funkciókkal az Identity Manager felruházza a vállalati hálózat felhasználóit azzal a képességgel, hogy megoldják a saját jelszóproblémáikat–és talán csökkenti is ezek előfordulásának számát. Azzal, hogy ugyanazt a jelszót szinkronizálja több rendszer között, az Identity Manager lehetővé teszi a felhasználók számára szükséges jelszavak számának csökkentését. Amikor a felhasználók elfelejtik a jelszavukat, az Identity Manager segítségével alaphelyzetbe állíthatják vissza–a helpdesk terhelése nélkül. Ráadásul útmutatást is kapnak az iManager Self-Service Console-ból arra nézve, milyen típusú jelszót kell készíteniük.
3.ábra: Amikor Ön vagy egy felhasználó alaphelyzetbe állít egy jelszót a támogatott felületek valamelyikével, az Identity Manager az összes többi, a kétirányú jelszószinkronizációt támogató rendszeren frissíti az információkat
Míg a felhasználók talán értékelni fogják ezt a szabadságot, lehet, hogy nem örülnek majd annak, ami vele jár. Az a tény, hogy a Self-Service Console az irányelveknek megfelelő jelszavak készítésére szólítja fel a felhasználókat, azt jelenti, hogy erősebb jelszavakat kell kitalálniuk. Az eddig elmondottak mellett, mivel csökkenthető a szükséges jelszavak száma, a felhasználóknak kisebb valószínűséggel kell a jelszavak megjegyzéséhez módszereket kitalálniuk–módszereket, amelyek rontják e titkok biztonságos védelmét.
Ezek hatalmas előnyök a felhasználók és a vállalat számára is, de talán az a legérdekesebb az Identity Managerrel kapcsolatban, hogy leegyszerűsíti a munkát. Amikor a Novell először bemutatta a DirXML-t, talán még Ön is kézzel írogatta be a személyazonossági információkat újra és újra, egy csomó rendszeren. Mivel hosszú ideje elfogadta, hogy ez az egyáltalán nem hatékony módszer egyfajta szükséges rossz a munkájában megörült az időt rabló feladat automatizálására szolgáló DirXML-nek. Mindemellett számos más emberrel együtt valószínűleg Ön is úgy véli, hogy az automatizálást végző csatolók beállítása legalábbis bonyolult.
Az Identity Manager irányelvkészítője ezt a bonyolult munkát teszi könnyen elvégezhetővé. Az irányelvkészítő segítségével a legtöbb esetben egyetlen sornyi kód írása nélkül beállíthatók a csatolókat vezérlő irányelvek. A kevesebb kód kevesebb idegeskedést és több felhasználható időt jelent.
Kérdések tisztázása
A cikk elolvasása után rájöhetett, hogy a Novell a DirXML legutóbbi kiadásának nevét Novell Identity Manager 2.0-ra változtatta. Miért volt szükség erre a módosításra?
Régebben a Novell egy platformközi szolgáltatásként írta le a DirXML-t, amely adatokat oszt meg és szinkronizál az alkalmazások, adatbázisok és címtárak között az intraneten vagy vállalatok között. Sajnos sem a név, sem a leírás nem tartalmazta, hogy a megosztott és szinkronizált adatok személyazonossági információk. Ezzel szemben a Novell Identity Manager név röviden magában foglalja, mi ez a termék: egy, a teljes rendszerben a személyazonossági adatok felügyeletére alkalmas eszköz. Arra is rávilágít, melyik termékcsaládba tartozik: a Novell Nsure biztonságos személyazonosság-felügyeleti családba.
A névváltozás az Identity Manager és a Novell exteNd közötti különbségek egyikét is jelzi; egy olyan különbséget, amelyet a marketingszövegek néha homályban hagyhatnak. Amíg az Identity Manager a személyazonossági adatok jobb felügyeletét teszi lehetővé, a Novell exteNd a régebbi háttérrendszerekről származó adatokat teszi hozzáférhetőbbé a belső és külső hálózati felhasználók számára. A Novell exteNd egy, az üzleti alkalmazások és a webes szolgáltatások fejlesztésére és működtetésére alkalmas eszközgyűjtemény. Eszközeinek használatával a meglévő rendszerek erőforrásai dinamikus portálokon elérhető nyílt webes szolgáltatásokká alakíthatók át.
Ennek fényében világosan látható, hogy az Identity Manager név megfelelően kidomborítja a termék egyedi célját.