Novell conNection - 2006. április

A Novell személyazonosság alapú biztonság-filozófiája

Megérkezett a Novell Identity Manager 3

Napjaink egyik legnagyobb globális kihívását az informatikai rendszerek biztonsága jelenti. A biztonsági megoldások iránti igény már nem csak a hálózat határainak biztonságára és fenyegetések észlelésére vonatkozik. Bármilyen tűzfallal, vírusvédelmi megoldással rendelkezhet egy cég, ha a különböző rendszerekben a jogosultságok nincsenek megfelelően beállítva, illetve ha a jelszó irányelvek nem elegendően szigorúak. A Novell személyazonosság alapú biztonsági megoldásainak segítségével a szervezeti hierarchiának megfelelően alakíthatjuk ki a személyazonosságok és hozzáférések biztonságos kezelését. Már a munkába állás napján kioszthatóak a fontos üzleti erőforrások, igény szerint akár egy jelszóval elérhetőek a különböző rendszerek, az egyes jogosultságok kiosztása és visszavonása azonnal megtörténhet.

A biztonság megteremtése

Amennyiben informatikai rendszereinket illetően nem rendelkezünk konzisztens felhasználói adatokkal, a szolgáltatások szintjének emelése, a biztonsági gyenge pontok megszüntetése, vagy az IT adminisztrációs költségek lefaragása érdekében tett erőfeszítéseink eleve kudarcra vannak ítélve. Az új felhasználók tétlenül fognak ülni mindaddig, amíg nem kapnak hozzáférést az üzleti rendszerekhez, miközben kilépett alkalmazottaink még hetekig, hónapokig használhatják azokat. Sokszor okoz problémát az is, hogy a különböző rendszereket használó alkalmazottaink a közös projektek részleteit nem tudják megfelelően megosztani egymással, így nem tudnak hatékonyan együtt dolgozni. A fentiekből könnyen beláthatjuk, hogy még az üzleti szabályozások figyelembe vételével kialakított, rendszerezett folyamatok szerint működő vállalat sem tud sikeres lenni ellenőrizhető, pontos és időben történő személyazonosság-kezelés nélkül. A biztonság megteremtése tehát a vállalaton belül a személyazonosságok és hozzáférések hatékony kezelésével valósulhat meg.

Miért biztonságos?

A Novell metacímtár technológiája a Novell Identity Manager (NIM), a Novell kiforrott, több mint 10 éves tapasztalattal rendelkező, teljes szolgáltatáskörű címtár-technológiájának, az eDirectory-nak a kiterjesztése, amely maximális

„A biztonság megteremtése a vállalaton belül a személyazonosságok és hozzáférések hatékony kezelésével valósulhat meg”

mértékben kihasználja a Novell címtárának erősségeit. A Novell méltán büszke arra, hogy a metacímtár megoldásának alapját képező eDirectory-ba 1993-as megjelenése óta nem történt illegális behatolás.

A Novell Identity Manager

A Novell személyazonosság-kezelő megoldásával olyan szinkronizációs mechanizmus valósítható meg, amely a különféle – akár különböző korból származó – felhasználói és alkalmazás-adattárak adatait üzleti szabályoknak és irányelveknek megfelelően integrálja és szinkronizálja. A hálózat összes címtárát, felhasználói nyilvántartását összekapcsolhatjuk egy központi címtárral, biztosítva, hogy az egyforma adatok valóban egységesek legyenek az összes nyilvántartásban és adattárban – még abban az esetben is, ha azok egyedi típusúak. Az egységesítésen túl automatizálható és biztonságossá tehető a személyazonosságok és hozzáférések kezelése a folyamatosan változó felhasználói közösség teljes életciklusán keresztül. A rendszer így garantálja, hogy csak a megfelelő jogosultsággal rendelkező munkatárs férhet hozzá az adatokhoz, ő viszont bárhonnan bármikor.

A Novell Identity Manager 3 újdonságai

A Novell Identity Manager 3-as verziószámú változata az eddigi funkciók megtartása mellett hatékony megoldást kínál a folyamatok egyszerűsítésére és felgyorsítására. Az Identity Managerhez fejlesztett munkafolyamat-támogató rendszer és felhasználói portál egy jól kiszámolható, naplózott és biztonságos rendszert alkotnak, és együttesen szüntetik meg a kézi adminisztrációból származó pontatlanságokat, tévesztéseket.

Új felhasználói funkciók

Automatizált jóváhagyásos munkafolyamatok

Az Identity Manager saját workflow rendszerében egyszerűen és gyorsan összeállíthatók azok a munkafolyamatok, amelyek a vállalat meglévő jóváhagyásos engedélyezési eljárásait tükrözik le. A munkafolyamat végén a metacímtár által az érintett rendszerben automatikusan beállításra is kerül az adott erőforrás (pl. hozzáférés a fizetési adatokhoz az SAP-ban), így nincs szükség informatikusok általi kézi adminisztrációra.

Delegált adminisztráció

A vezetők és a szervezeti egységek saját maguk állíthatják be az alkalmazottaik jogosultságait, és nem kell az informatikus kollégáknak ezzel a feladattal foglalkozniuk. A portálon kialakított csapatok adminisztrátorai megadhatják a jóváhagyási munkafolyamatokban, hogy ki kit helyettesíthet és mely feladatban, illetve beállíthatják, hogy ki veheti át kinek a szerepkörét. A számos beállítási lehetőség segítségével finoman lehet szabályozni a munkafolyamatok szereplőinek feladatait, és ez az intuitív felület segítségével jelentősen le is egyszerűsödik.

Felhasználói self-service folyamatok

Az alkalmazottak saját maguk részére igényelhetik meg a portálon a munkavégzéshez szükséges erőforrásokat, illetve kezdeményezhetik saját metacímtárban tárolt adataik megváltoztatását. A jóváhagyási folyamat végén az érintett információ átírásra kerül a metacímtárban és ezáltal minden hozzá csatolt rendszerben, így a kívánt erőforrás automatikusan kiosztható a metacímtár által.

Megújult címtáralkalmazások

Az NIM3 webes portáljába – a már említett jóváhagyási munkafolyamatok kezelésén túl – az alábbiakban ismertett funkciók is integrálásra kerültek. Természetesen valamennyi funkció testre szabható és tetszés szerint bővíthető, így mindig hozzáigazítható az adott környezethez, mivel nincsenek a rendszerbe „beégetett” beállítások.

„A rendszer garantálja, hogy csak a megfelelő jogosultsággal rendelkező munkatárs férhet hozzá az adatokhoz, ő viszont bárhonnan bármikor”

Webes telefonkönyv

Az eGuide-hoz hasonló továbbfejlesztett webes telefonkönyv (Advanced White Pages) bármilyen címtárban tárolt objektum kényelmes és villámgyors kereshetőségét biztosítja.

Hierarchikus nézetek

A metacímtárban tárolt adatok közötti összefüggések (pl. szervezeti egységek hierarchiája, főnök – beosztott viszony, csoporttagságok stb.) hierarchikus fastruktúrában jeleníthetők meg.

Részletes adatok nézet

A részletes adatok nézet, a szervezeti ábrán, vagy a keresőfelületen kikeresett alkalmazott vagy más objektum adatainak megjelenítésére szolgál.

Adatok karbantartása, új felhasználók (vagy más objektumok) rögzítése

Amennyiben ezt az adminisztrátor lehetővé teszi számukra, a felhasználók módosíthatják saját adataikat a portálon - természetesen beállítható, hogy pontosan mely adatokat változtathatják meg a felhasználók. Az adatok felvitelét a webes alkalmazásokban már jól ismert fix listák, kijelölőmezők és súgók tehetik egyszerűbbé az alkalmazottak részére. Az erre feljogosított alkalmazottak új objektumokat is rögzíthetnek a portálon, mint például a HR-es munkatársak az új vagy külsős dolgozók adatait.

1. ábra: Egy tipikus felhasználói életciklus

Jelszó-visszaállítás

Az elfelejtett jelszavakat a felhasználók az NIM3 portálján visszaállíthatják saját maguk részére, mégpedig anélkül, hogy a HelpDesk-et vagy az informatikus munkatársakat telefonon zaklatniuk kellene. A jelszó-viszszaállítás során a kérdések helyes megválaszolása után a NIM lehetőséget biztosít a jelszó megváltoztatására, egy emlékeztető üzenet megjelenítésére, vagy a jelszó e-mailben történő elküldésére a felhasználó részére. A beállítható automatikus értesítések funkcióval levelet is küldhetünk a megfelelő felhasználók részére az olyan eseményekről, mint a jelszó lejárata vagy sikertelen jelszó-visszaállítási kísérlet.

2. ábra: A Designer tervező

Új adminisztrátori funkciók

Novell Designer – új fejlesztői és adminisztrációs felület

Az új Novell Designer egyszerű felületet biztosít a NIM3 rendszer fejlesztéséhez és az adminisztrációs feladatok ellátásához, sőt a projekt dokumentációja automatikusan összeállítható, ezzel jelentős időt takarítva meg. A Designer offline módon működik, így a teljes NIM projekt lementhető és eltárolható, majd bárhol újra felhasználható. Így a fejlesztés sebessége is nagymértékben megnő, mivel a műveletek a lokális gépen történnek, a jól átgondolt felületek és képernyők pedig még tovább gyorsítják az eszközt (pl. kevesebb kattintás szükséges, szülő ablakokat nem kell külön bezárni stb.).

Felhasználói portál adminisztrációja

Az NIM3 felhasználói portál webes adminisztrációs felületén különösebb informatikai képességek nélkül nyílik lehetőség a JBOSS alapú alkalmazásunk finomhangolására.

Munkafolyamatok adminisztrációja

A NIM3 portálon a felhasználók által kezdeményezhető munkafolyamatokat az iManager webes adminisztrációs felületen keresztül, varázsló segítségével lehet egyszerűen és gyorsan összeállítani. Az előre definiált sablonokból kiindulva, a jóváhagyás nélküli folyamattól kezdve akár hat vagy hét jóváhagyásos munkafolyamat is könnyedén definiálható. A munkafolyamat definiálásakor kell beállítani azt is, hogy a jóváhagyott folyamat végén melyik erőforrás kerüljön kiosztásra, vagy esetleg visszavonásra. A metacímtár az alkalmazáscsatolókon keresztül a csatolt rendszerekben elvégzi a szükséges beállításokat. Szintén az iManager felületén van lehetősége a rendszeradminisztrátornak a NIM3 portálon megindított munkafolyamatokat felügyelni, illeve monitoringozni is. Egy megakadt munkafolyamat itt pár kattintással átruházható egy másik jóváhagyó személy részére, vagy akár teljesen törölhető, a munkafolyamatok eseményeiről küldött értesítő email üzentek tartalma pedig szintén az iManager-ben kerülhet beállításra.

A NIM rendszer működésének áttekintése

A Novell Identity Manager a felhasználók és jelszavak adminisztrációját a személyazonossághoz kötődő információ különálló rendszerek közötti szinkronizálásával egyszerűsíti le. Az alkalmazások, rendszerek és a teljes vállalat is profitál a konzisztens, egységes felhasználói adattárak nyújtotta előnyökből, miközben magukat az alkalmazásokat nem kell átalakítani vagy fejleszteni. Az XML-t mint formátumot használva, az adatok az üzleti irányelveknek megfelelően áramolhatnak az összekapcsolt rendszerek között.

Asszociációk

A régebbi integrációs technológiák és sok mai metacímtár megoldás is általánosan megköveteli, hogy minden összekapcsolt alkalmazásban és címtárban létezzen egy közös egyedi azonosító, amely összerendeli az objektumokat a különálló rendszerekben. A Novell Identity Manager számára a rendszerenként eltérő egyedi azonosítók nem jelentenek akadályt. A NIM asszociációkat épít ki, amelyek virtuális kapcsolatokat létesítenek a megfelelő objektumokkal a csatolt rendszerekben. A NIM-ben tárolt asszociációk végeredményben különböző azonosítók listái.

Minden azonosító két értékből tevődik össze:

  • egy hivatkozásból a kapcsolt alkalmazásra/rendszerre
  • és egy értékből, amely egyértelműen azonosítja az objektum párját a csatolt rendszerben

Az alkalmazás által átadott asszociáció értéke teljesen egyedi az alkalmazásra nézve, így nincs szükség a csatolt alkalmazás módosítására vagy valamilyen idegen kulcs bevezetésére. Minden rendszer továbbra is azt az egyedi azonosítót használhatja, amely eredetileg került bevezetésre.

Hiteles adatforrások

A Novell Identity Manager különböző korból, gyártóktól származó, eltérő célokat és szervezeti egységet szolgáló, heterogén rendszerek között teremt lehetőséget az értékes adatok megosztására. Amint az összekapcsolt alkalmazások egyikében megváltoztatásra kerül valamely adat, az publikálható minden olyan rendszer részére, amely igényt tart erre az adatra.

A NIM segítségével egyszerűen és rugalmasan meghatározható, hogy az egyes adatok esetében melyik rendszer tekinthető hiteles adatforrásnak. Ily módon csak a hiteles adatforrások felől érkezhetnek adott adatra vonatkozó változások, a többi csatolt rendszer maximum átveheti ezeket a változásokat.

A NIM komponensei

A Novell Identity Manager-t legfelső szinten az alábbi komponensek és szolgáltatások alkotják:

  • A címtár absztrakciós réteg biztosítja a kapcsolatot és az interfészt a központi címtár (Identity Vault) és a felhasználói portál elemei között. A réteg feladata a sémák összerendelése, így a munkafolyamatok egy állandó felületen keresztül jeleníthetőek meg, függetlenül az eDirectory címtárséma változásaitól. A címtár absztrakciós réteg közvetlenül frissíti a központi címtárban tárolt objektumokat. A réteg működésének konfigurációja a Novell Designer eszközön keresztül történhet.

  • A felhasználói portál megbízható és robusztus JBOSS alkalmazásszerveren fut, és biztosítja a felhasználói interfészt a munkafolyamatokhoz és a különböző címtárra épülő alkalmazásokhoz.

  • A workflow rendszer kezeli és irányítja a munkafolyamatokat. A workflow rendszer valamennyi adatát a háttér adatbázisban tárolja, nem terheli ezzel a feladattal a központi címtárat. Egy jóváhagyott engedélyezési munkafolyamat végén a workflow rendszer a címtár absztrakciós rétegen keresztül ír a központi címtárba.

  • A központi címtár (Identity Vault) az a hely ahol a személyazonosságok, a szinkronizált adatok tárolásra kerülnek. Szintén itt vannak eltárolva a létrejött asszociációk és azok az irányelvek, amelyek az egyes csatolókhoz készültek. Az itt lefektetett irányelvek szabályozzák az adatáramlást az egyes csatolt rendszerek között.

  • A NIM motor (DirXML Engine) támogatja a különböző alkalmazáscsatolók futtatását. Szintén a motor feladata a tárolt irányelveknek megfelelő logika feldolgozása és végrehajtása. A NIM motor garantálja az események végrehajtását a központi címtárban.

  • Az alkalmazáscsatolók (DirXML Driver App Shim) létesítenek kapcsolatot az egyes alkalmazásokkal. A csatolók az alkalmazások natív interfészein keresztül kapcsolódnak az alkalmazásokhoz, és közvetlenül kommunikálnak a másik oldalról a NIM motorral.

A következő komponensek alkalmazáscsatolónként léteznek:

  • Az előfizetői csatornán (Subscriber Channel) keresztül az adatok a metacímtár felől a csatolt alkalmazás irányába áramlanak. A csatolt rendszer az „előfizetője” a metacímtár adatainak.

  • A kiadói csatornán (Publisher Channel) keresztül az adatok a csatolt alkalmazás felől a metacímtár irányába áramlanak. Ebben az esetben a kapcsolt alkalmazás publikálja (kiadója) saját adatainak.

  • Mindkét csatornán irányelvek (Policies) definiálhatók az adatáramlás szabályozására. Az irányelvek segítségével határozható meg az, hogy milyen események mehetnek át egy adott csatornán, egy esemény milyen eseményt eredményezzen a másik rendszerben stb. Az irányelvek képezik le azokat az üzleti szabályokat és folyamatokat, amelyek szerint a cég működik.

Jelszókezelés

A Novell Identity Manager biztosítja a beállított jelszó-irányelvek automatikus kikényszerítését és a felhasználói jelszavak rendszerek között történő szinkronizálását. A NIM bevezetésével megoldható, hogy egy felhasználó egy jelszóval érhesse el a vállalat összes csatolt alkalmazását. Amikor a felhasználó visszaállítja saját elfelejtett jelszavát, vagy a jelszót annak lejáratakor lecseréli, az új jelszó szinkronizálásra kerül a központi címtárhoz csatolt rendszerekbe.

Naplózás, auditálás és kimutatások készítése

A NIM biztosítja a személyazonosságokkal történő események biztonságos naplózását és auditálását. Az auditált adatok, naplóállományok segíthetnek kétes események felderítésében, és biztosítják az események letagadhatatlanságát. A NIM megoldás részét képező Novell Audit Starter Pack változat segítséget nyújt egy központi naplózó rendszer kiépítésében.