midPoint – Open source řešení pro identity management

23. 10. 2016

Miro Sopkovčík, Business Development IBA Slovakia, popsal ve svém článku pro říjnový ITSystems výhody i úskalí implementace IDM systému.

midPoint – Open source řešení pro identity management

Bezpečnost je žhavé téma v médiích, parlamentu, ale i malých společnostech či rodinách. Na letištích, hranicích, ve velkých nadnárodních společnostech i finančních institucích vnímáme zvyšování bezpečnosti jako zcela samozřejmé. Nezapomínáme ale občas na bezpečí našich dat a systémů?

IDM – midPoint je open source řešení určené ke zvýšení bezpečnosti v celém spektru společností. Je to user provisioning systém, který umožňuje synchronizovat uživatelské účty mezi různými koncovými a zdrojovými systémy a spravovat jejich přístupová práva. Systém vytváří vztah mezi pracovníkem (zaměstnancem, externistou apod.) a jeho účty a poskytuje globální pohled na stav účtů, jejich vlastníků a jejich práva na všech koncových systémech připojených do řešení. Kromě správy účtů umožňuje midPoint i spouštění interních workflow pro schvalování přístupů, které je vhodné využít především při vytvoření a změně rolí.

Reálně využívají tento nástroj univerzity s miliony uživatelů, finanční instituce se stovkami systémů, ale i malé společnosti, kde je k IDM připojeno jen pár systémů s desítkami uživatelů.

Základem úspěchu projektu je detailní analýza

Úspěšná implementace midPoint nezačíná platbou za licence, jako u konkurenčních řešení, ale dokonalou analýzou stávající infrastruktury, procesů v organizaci a požadavků klienta. Výstupem je analýza současného stavu u klienta, návrh řešení a technická specifikace. Ve spolupráci s odpovědnými pracovníky by měl být vypracován katalog uživatelských identit a rolí a matice přístupů.

Jen dokonalou analýzou docílíme komplexního obrazu o způsobu implementace a rozsahu prací při customizaci. Na základě analýzy infrastruktury vznikne podrobný implementační plán vč. integrace do IDM, vybere se vhodné místo v síti na instalaci midPoint a stanoví se síťové propojení. Vypracuje se návrh bezpečnostní dokumentace k implementaci a integraci IDM. Implementace IDM systému a integrace s vybranými systémy se skládá z (některé kroky je možné nahradit integrací s existujícími řešeními):

  • Instalace serveru pro midPoint
  • Instalace webového serveru
  • Instalace databáze pro midPoint

Minimální požadavky systému

Samotný systém midPoint je webová aplikace, která ke své činnosti potřebuje J2EE aplikační server. Údaje o uživatelích a převážná část konfigurace jsou uloženy v repozitáři identit (Identity Repository). Rozhraní pro konfiguraci a správa účtů vyžadují jen běžný webový prohlížeč.

Velkou výhodou řešení midPoint je jeho nenáročnost na hardware. Pro typickou instalaci řešení je potřeba jeden server: Server OS RAM CPU 1 Linux nebo Windows, může být virtuální (jakákoliv aktuální verze nebo distribuce), min. 4 GB 2 core. Řešení může být instalováno s vlastní databází na stejném serveru jako midPoint. Alternativně lze využít existující databázi, kterou již odběratel provozuje. V tomto případě midPoint potřebuje jen vytvoření vlastního databázového schématu v existující databázi. To může být výhodnější z provozních důvodů – znovu se použijí procedury zálohování a obnovy stávající databáze, monitoring a podobně. Dopady midPoint na existující databázi jsou typicky velmi nízké.

Implementace se realizuje postupně, k IDM se připojují jednotlivé systémy v etapách navržených na základě analýzy. K dokonalému zvládnutí provozu by měl zpočátku pomáhat klientovi tým řešitele.

Best practices ve vývoji a nasazení

Léta zkušeností ukazují na důležitost jednotlivých kroků při implementaci.

Vývojové prostředí: Slouží k bezprostřednímu vývoji komponentů řešení a může být distribuováno mezi členy realizačního týmu. Sem patří zejména osobní počítače, na kterých se připravuje konfigurace pro chování systému midPoint (mapovací pravidla apod.), a konektory pro koncové systémy.

Testovací prostředí: Slouží k otestování funkčnosti vyvinutých komponent a předběžnému testování dílčího i celého řešení. Architektura testovacího prostředí je zjednodušená oproti produkčnímu prostředí, nemusí obsahovat reálné údaje o uživatelích, musí však obsahovat všechny typy dat, pomocí kterých se bude řešení testovat (testovací koncové systémy, všechny atributy testovacích uživatelů).

Produkční prostředí: Slouží pro provoz řešení.

Po implementaci by měl být systém udržován týmem specialistů tak, aby byly zachovány požadavky uživatelů. Nasazováním nových verzí se rozšiřuje funkcionalita systému, buď na základě požadavků klienta, které sám určí v rámci placené podpory, nebo v rámci plánovaného rozvoje produktu.

Kritičnost řešení

Systém midPoint je komponenta řešení, která přímo zajišťuje správu účtů na koncových systémech, nepředstavuje však kritickou část infrastruktury. Pokud je systém nedostupný, uživatelé mohou nadále využívat koncové systémy a správa účtů nativními prostředky koncových systémů je i během výpadku IDM nadále možná. Pro zvýšení dostupnosti je možné nakonfigurovat řešení v high availability režimu pro aplikační server a úložiště dat.

Údaje o uživatelích evidované v databázi midPoint je možné i po výpadku systému kdykoli synchronizovat s koncovými systémy (pomocí rekonciliace), pro důvěryhodnost řešení jsou však kritické auditní záznamy. Databázi midPoint proto navrhujeme zálohovat denně, nejméně však jednou za týden. Obnovení databáze ze zálohy vyžaduje restart aplikačního serveru se systémem midPoint a rekonciliace s koncovými systémy.

Statické soubory midPoint (konektory, knihovny apod.) není třeba zvlášť zálohovat, je možné je snadno obnovit instalací.

  • Poznámka: poškození či vymazání databáze midPoint nezpůsobuje nedostupnost účtů uživatelů na koncových systémech.

Výhody implementace midPoint

Zavedení systému midPoint znamená úsporu času stráveného vytvářením a schvalováním přístupových práv do jednotlivých systémů. Přístupy do všech systémů jsou soustředěny do jednoho bodu. Vše je rychlé a automatické. Zároveň se eliminuje možnost opomenutí deaktivace přístupu do některého systému při odchodu zaměstnance nebo při změně práv. Vždy máte detailní a on-line přehled, kdo, kdy, komu a kam povolil přístup. Můžete si tak být jisti, že se nikdo nedostane k datům, která nemá vidět.

Největší výhodou systému midPoint je, že je založený na open source technologii. Je nenáročný na implementaci i provoz. Pro mnoho systémů existuje hotový a implementovaný konektor. Na straně systémů zákazníka jsou při implementaci vyžadovány jen minimální změny (z 99 % se přizpůsobuje midPoint). Specifické požadavky zákazníků, které se dají využít všeobecně i pro další klienty, jsou integrovány do řešení. Tím se celý systém každou další implementací zdokonaluje. Díky promyšlené filozofii a obrovskému množství instalací a implementací po celém světě získává midPoint stále více zákazníků a jeho funkcionalita narůstá s každou další implementací.

Přečtěte si více
Zpět