Identity and Access Management або система управління обліковими даними. Рішення Microsoft Azure AD

Назва White Paper: Identity and Access Management або система управління обліковими даними. Рішення Microsoft Azure AD.

Рецензенти:

• Yevgeniy Leybzon, Chief Architect, Technology, GlobalLogic
• Orkhan Gasimov, Director, Technology, GlobalLogic

Дата розробки: жовтень 2021.

Огляд

Цей документ пояснює, що таке Identity and Access Management (IAM), які основні виклики пов’язані з цією системою, а також яким є майбутнє IAM.

Він описує, як найкраще можна використовувати систему, а також порівнює переваги й недоліки старих і сучасних сервісів IAM.

Що таке IAM

IAM – це набір технологій для цифрової ідентифікації людини, включно з акаунтом, синхронізацією, управлінням тощо. Кожен користувач повинен мати правильний доступ до правильних ресурсів у правильний час.

IAM переміщується в хмару. Azure, Google, Amazon створюють нові IAM-сервіси, що дозволяють централізувати управління обліковими даними, а також створити гібридні рішення. Система актуальна для всіх компаній, що переймаються питаннями безпеки.

Більшість компаній так чи інакше використовують IAM. Системи можуть бути не структурованими та потребувати багато ресурсів відділу ІТ, щоб керувати акаунтами і доступом до кожного застосунку, сервісу тощо. Чим більше користувачів – тим більше потрібно ресурсів і часу для забезпечення надійного рівня безпеки.

На які питання слід звертати увагу, коли ми говоримо про IAM сьогодні:

• Структуровані ресурси, методи аутентифікації, сховища ідентифікаційних даних.
• Можливість отримати список доступу для будь-якої особи та будь-якого ресурсу.
• Користувачі не повинні встановлювати різні паролі.
• Самообслуговування (скидання пароля, запити / схвалення).
• Доступ повинні затверджувати менеджери, а не ІТ-відділ.

Багато компаній досі мають різні ранні версії рішень IAM. Це пояснюється тим, що хмарні сервіси IAM виникли пізніше, ніж потреба управляти різними користувачами й доступами. Тому раніше користувалися локальними рішеннями, щоб розв'язувати цю проблему. Така IAM-інфраструктура може бути масштабною та складною, тому необхідні час та зусилля, щоб відповідати останнім тенденціям у сфері безпеки. Ранні IAM-інфраструктури застаріли, підтримувати їх стає дедалі складніше.

Основні недоліки ранніх версій IAM:

• Потребують власної інфраструктури (серверів, баз даних)
• Для підтримки потрібно більше часу та фахівців
• Складно знайти інженерів із знанням технологій, що вже не є актуальними
• Складно відповідати сучасним підходам безпеки й IAM

Виходячи з цих недоліків, застарілі IAM-системи роблять актуальними такі питання, які в будь-якому випадку мають бути вирішені в сучасному світі:

• Технологія єдиного входу
• Багатофакторна автентифікація (MFA)
• Надання й позбавлення доступу
• Централізоване управління доступом

Виклики технології єдиного входу

• Пароль зберігається майже всюди
• У користувачів можуть бути різні паролі
• Кожен сервіс / додаток повинен аутентифікувати користувачів

Виклики надання й позбавлення доступу

Складна інфраструктура з різними локальними чи хмарними застосунками ускладнює синхронізацію між всіма директоріями директоріях.

Виклики централізованого управління доступом

Складна інфраструктура з різними точками автентифікації й протоколами ускладнює управління доступом, а також здійснення моніторингу та аудиту.

Модернізація IAM 

Міграція на сучасні сервіси IAM – складний процес. Проте він набуває ключового значення, щоб слідувати сучасним практикам безпеки. У майбутньому управління IAM стає легшим.

Рішення

На ринку є різні рішення, що можуть вирішити виклики, згадані вище. Деякі з них розв'язують проблеми лише частково, деякі – повністю. Інколи їх можна інтегрувати один з одним, щоб розв'язувати різні задачі. Популярні продукти – наприклад, Amazon IAM, Okta, Google IAM, Azure тощо – мають відповідні рішення, а також продовжують їх розвивати.

Наступна тема показує як згадані проблеми можна вирішити на прикладі Azure Active Directory.

Azure AD (AAD) як IAM-система 

IAM система Azure (AAD).

Azure AD підтримує всі сучасні принципи IAM: технологію єдиного входу, багатофакторну аутентифікацію, моніторинг та аудит, централізоване керування, роботу з акаунтами співробітників і споживачів. Цю систему можна інтегрувати в існуючі хмарні або локальні сервіси, як-то Salesforce, Oracle, Active Directory тощо.

• Система єдиного входу

AAD змінює процес єдиного входу. Система надає єдину точку аутентифікації як постачальник ідентифікації (IdP). Сервіси можуть працювати з ID-токенами замість зберігання паролів користувачів:

• Надання й позбавлення доступу

В AAD можна налаштувати надання й позбавлення доступу можна для багатьох застосунків. Також можна включити локальні додатки, якщо є необхідність їхнього використання, а також гібридну IAM-інфраструктуру:

• Централізоване управління

Єдина точка входу та ADD-додатки для управління доступом в одному місці дозволяють централізувати моніторинг і аудит, а також управління доступом загалом:

Багато компаній у сфері комерції та роздрібної торгівлі працюють з цифровими акаунтами споживачів, яким надають послуги. Це також є важливим в контексті рішення IAM. AAD має сервіс для B2C, що надає:

• Єдину точку доступу для всіх акаунтів користувача (наприклад, соціальні мережі або локальні акаунти)
• Інтеграція з наявними провайдерами, що підтримують SAML, OAuth 2.0 та OID
• UserJourneys – кожним акаунтом можна керувати окремо й інтегрувати в існуючі API

Кейси GlobalLogic 

Корисні лінки:

• https://docs.microsoft.com/en-us/azure/active-directory-b2c/overview
• https://www.microsoft.com/security/blog/2020/04/30/zero-trust-deployment-guide-azure-active-directory/
• https://docs.microsoft.com/en-us/azure/active-directory-b2c/quickstart-native-app-desktop
• https://docs.microsoft.com/en-us/azure/active-directory/authentication/concept-mfa-howitworks

Глосарій:

• Cloud - хмарні сервіси, як Google Cloud Platform, Amazon AWS, Azure
• Legacy - застарілі інформаційні системи
• Single Sign-On (SSO) - технологія єдиного входу
• On-prem - інформаційні системи, що розгортаються і працюють в інфраструктурі компанії
• Access management - управління доступом
• Account - інформаційне відображення користувача, включає такі дані як пароль, ім’я, електронна пошта та інші.
• Provisioning and deprovisioning - створення, модифікація і видалення акаунтів в інформаційній системі