midPoint - Open source riešenie pre identity management

24. 10. 2016

Miro Sopkovčík, Business Development IBA Slovakia, opísal vo svojom článku pre októbrový ITSystems výhody aj úskalia implementácie IDM systému.

midPoint - Open source riešenie pre identity management

Bezpečnosť je horúca téma v médiách, parlamente, ale aj malých spoločnostiach či rodinách. Na letiskách, hraniciach, vo veľkých nadnárodných spoločnostiach aj finančných inštitúciách vnímame zvyšovanie bezpečnosti ako úplne samozrejmé. Nezabúdame ale občas na bezpečie našich dát a systémov?

Základom úspechu projektu je detailná analýza

Úspešná implementácia midPoint nezačína platbou za licencie, ako u konkurenčných riešení, ale dokonalou analýzou existujúcej infraštruktúry, procesov v organizácii a požiadaviek klienta. Výstupom je analýza súčasného stavu u klienta, návrh riešenia a technická špecifikácia. V spolupráci so zodpovednými pracovníkmi by sa mal vypracovať katalóg používateľských identít a rolí a matice prístupov.

Len dokonalou analýzou docielime komplexný obraz o spôsobe implementácie a rozsahu prác pri customizácii. Na základe analýzy infraštruktúry vznikne podrobný implementačný plán vr. integrácie do IDM, vyberie sa vhodné miesto v sieti na inštaláciu midPoint a stanoví sa sieťové prepojenie. Vypracuje sa návrh bezpečnostnej dokumentácie k implementácii a integrácii IDM. Implementácia IDM systému a integrácia s vybranými systémami sa skladá z (niektoré kroky je možné nahradiť integráciou s existujúcimi riešeniami):

  • Inštalácia servera pre midPoint
  • Inštalácia webového servera
  • Inštalácia databázy pre midPoint

Minimálne požiadavky systému

Samotný systém midPoint je webová aplikácia, ktorá ku svojej činnosti potrebuje J2EE aplikačný server. Údaje o užívateľoch a prevažná časť konfigurácie sú uložené v repozitári identít (Identity Repository). Rozhranie pre konfiguráciu a správa účtov vyžadujú len bežný webový prehliadač.

Veľkou výhodou riešenia midPoint je jeho nenáročnosť na hardware. Pre typickú inštaláciu riešenia je potrebný jeden server: Server OS RAM CPU 1 Linux alebo Windows, môže byť virtuálna (akákoľvek aktuálna verzia alebo distribúcia), min. 4 GB 2 core. Riešenie môže byť inštalované s vlastnou databázou na rovnakom serveri ako midPoint. Alternatívne je možné využiť existujúcu databázu, ktorú už odberateľ prevádzkuje. V tomto prípade midPoint potrebuje len vytvorenie vlastnej databázovej schémy v existujúcej databáze. To môže byť výhodnejšie z prevádzkových dôvodov - znova sa použijú procedúry zálohovania a obnovy existujúcej databázy, monitoring a podobne. Vplyvy midPoint na existujúcu databázu sú typicky veľmi nízke.

Implementácia sa realizuje postupne, k IDM sa pripájajú jednotlivé systémy v etapách navrhnutých na základe analýzy. K dokonalému zvládnutiu prevádzky by mal spočiatku pomáhať klientovi tím riešiteľa.

Best practices vo vývoji a nasadenie

Roky skúseností poukazujú na dôležitosť jednotlivých krokov pri implementácii. Vývojové prostredie: Slúži na bezprostredný vývoj komponentov riešenia a môže byť distribuované medzi členov realizačného tímu. Sem patria najmä osobné počítače, na ktorých sa pripravuje konfigurácia správania systému midPoint (mapovacie pravidlá a pod.), a konektory pre koncové systémy.

Testovacie prostredie: Slúži na otestovanie funkčnosti vyvinutých komponentov a na predbežné testovanie čiastkového aj celého riešenia. Architektúra testovacieho prostredia je zjednodušená oproti produkčnému prostrediu, nemusí obsahovať reálne údaje o užívateľoch, musí však obsahovať všetky typy dát, pomocou ktorých sa bude riešenie testovať (testovacie koncové systémy, všetky atribúty testovacích používateľov).

Produkčné prostredie: Slúži pre prevádzku riešenia.

Po implementácii by mal byť systém udržiavaný tímom špecialistov tak, aby boli zachované požiadavky užívateľov. Nasadzovaním nových verzií sa rozširuje funkcionalita systému, buď na základe požiadaviek klienta, ktoré sám určí v rámci platenej podpory, alebo v rámci plánovaného rozvoja produktu.

Kritičnosť riešenia

Systém midPoint je komponent riešenia, ktorý priamo zabezpečuje správu účtov na koncových systémoch, nepredstavuje však kritickú časť infraštruktúry. Ak je systém nedostupný, užívatelia môžu naďalej využívať koncové systémy a správa účtov natívnymi prostriedkami koncových systémov je aj počas výpadku IDM naďalej možná. Pre zvýšenie dostupnosti je možné nakonfigurovať riešenie v high availability režime pre aplikačný server a úložisko dát.

Údaje o užívateľoch evidované v databáze midPoint je možné aj po výpadku systému kedykoľvek synchronizovať s koncovými systémami (pomocou odsúhlasovania), pre dôveryhodnosť riešenia sú však kritické auditné záznamy. Databázu midPoint preto navrhujeme zálohovať denne, najmenej však raz za týždeň. Obnovenie databázy zo zálohy vyžaduje reštart aplikačného servera so systémom midPoint a odsúhlasovania s koncovými systémami.

Statické súbory midPoint (konektory, knižnice a pod.) Nie je potrebné zvlášť zálohovať, je možné ich ľahko obnoviť inštaláciou.

  • Poznámka: poškodenie či vymazanie databázy midPoint nespôsobuje nedostupnosť účtov užívateľov na koncových systémoch.

Výhody implementácie midPoint

Zavedenie systému midPoint znamená úsporu času stráveného vytváraním a schvaľovaním prístupových práv do jednotlivých systémov. Prístupy do všetkých systémov sú sústredené do jedného bodu. Všetko je rýchle a automatické. Zároveň sa eliminuje možnosť opomenutia deaktivácie prístupu do niektorého systému pri odchode zamestnanca alebo pri zmene práv. Vždy máte detailný a on-line prehľad, kto, kedy, komu a kam povolil prístup. Môžete si tak byť istí, že sa nikto nedostane k dátam, ktoré nemá vidieť.

Prečítajte si viac
Späť na zoznam aktualít