Train4Business Azure–Az előadó szemével (5)
Ég és föld között – ez a kifejezés arra utal, hogy a felhő várhatóan hosszú ideig együtt létezik majd a hagyományos vállalati rendszerekkel, megoldást kell tehát találnunk a két környezet együttélésére mind egymás szolgáltatásainak elérése, mind pedig a közös felhasználó-azonosítás és hozzáférés-vezérlés szempontjából. Ennek biztosítása a Windows Azure platform esetében az AppFabric nevű összetevő feladata, amiről Farkas Bálintot kérdezem. Szóval, kedves Bálint…
Vállalati felhasználó vagyok, bejelentkezhetek az Active Directory-fiókommal a felhőbe?
Ez a konkrét alkalmazástól függ, amit használni szeretnél. Viszont a fejlesztők kimondottan egyszerűen megvalósíthatják ezt a funkciót, így jó eséllyel a cégednél lévő alkalmazás is támogatni fogja az Active Directory-hitelesítést.
Az Active Directory már egy ideje rendelkezik egy Federation Services nevű komponenssel (ADFS), ami megvalósítja az úgynevezett federált hitelesítést. Ez azt jelenti, hogy nem kell a felhőbe feltennie a cégednek az Active Directoryt (ami természetesen nagyon bizalmas információkat tartalmaz), ehelyett a felhő-alkalmazás továbbíthatja a te hitelesítési adataidat a helyben futó AD felé, az pedig egy kis adatcsomagot, egy tokent ad vissza az alkalmazásnak. Ezen a tokenen „állítások” vannak, amik leírnak téged – mi a neved, milyen szerepköreid vannak, stb. Azaz úgy tudsz bejelentkezni a cégednél lévő AD-be, hogy a felhő-alkalmazás is biztonságos módon megkapja a bejelentkezés eredményét.
Mindezt kézzel sem lenne lehetetlen leprogramozni, de a felhőnek van egy Azure AppFabric Access Control nevű komponense, amiben szinte csak egy varázslót kell végigkattintgatni az ADFS igénybe vételéhez. Ajánld ezt fejlesztőitek figyelmébe!
Magánfelhasználó vagyok, egyszer már bejelentkeztem a Live ID / Open ID / GMail / Facebook segítségével. Újra azonosítanom kell magamat?
Gondolom, itt arra vagy kíváncsi, hogy mi történik akkor, amikor egy „általános” weboldalon már bejelentkeztél, és ellátogatsz egy Azure AppFabric Access Control által hitelesített weboldalra.
Az internet nagyon hasonlít a vállalati informatikai rendszerek egy korábbi korszakához, amelyben még nem egységesítették a címtár használatát, és gyakorlatilag mindegyik üzleti alkalmazásban saját felhasználóneve és jelszava volt a felhasználóknak. Ezeket persze nehezen tudták csak fejben tartani, ami mindenféle biztonsági problémákat szült. A vállalatok esetében az segített, hogy a sok versengő címtár közül kiválasztottak egy győztest (az esetek többségében ez a Windows Server beépített Active Directory szolgáltatása lett), az új alkalmazásokat úgy írták meg, hogy a címtárral integrált hitelesítést használjanak, a reménytelenül régieknél pedig bevetettek egy identitáskezelő megoldást.
Az interneten nincs kitüntetett címtár, viszont több, széles körben használt rendszer létezik; a kérdésedben fel is soroltad ezek egy részét. Vegyük pl. a Live ID működését. Minden egyes weboldalhoz, amire te Live ID-val bejelentkeztél, külön cookie kerül a gépedre. Viszont fiókadataid is hasonlóképp nyilvántartásban vannak, így amikor egy újonnan meglátogatott weboldalon kattintasz a „Bejelentkezés” linkre, a böngésző és a Live ID motor megpróbál ezen adatok alapján oda is bejelentkeztetni. Biztonsági beállításoktól függően vagy bekéri újra a jelszavadat, vagy nem. Szóval nincs olyan, hogy egy gépen általánosságban „bejelentkeztél Live ID-val”; ez csak egy illúzió, amit a háttérben működő mechanizmusok keltenek, a valóságban weboldalanként külön-külön vagy hitelesítve. Hasonló a helyzet a többi általad idézett fióktípussal is.
Mindebből az következik, hogy néha bizony újra kell magadat azonosítani. De még ha meg is kell ezt tenned, ugyanazt a fiókot adod meg még egyszer, ahelyett, hogy megpróbálnál visszaemlékezni a 65. név/jelszó párosodra. Így a Live ID / Open ID stb. használata weboldalakon mindenképp könnyebbség a felhasználók számára, az Access Control pedig a fejlesztők dolgát teszi egyszerűbbé.
Szeretném kívülről elérhetővé tenni a vállalati alkalmazásom egyes funkcióit, de nem akarok rést ütni a tűzfalamon. Segít ebben a felhő?
Igen, a fentebb már említett Azure AppFabric termékcsaládba az Access Control mellett tartozik egy Service Bus nevű szolgáltatás is. Ez egy könnyen használható, biztonságos infrastruktúrát ad a fejlesztők kezébe, amivel két szinte tetszőleges eszközt összeköthetünk bármilyen hálózati viszonyok között (pl. egy GPRS-en át internetre kapcsolódó mobiltelefont és egy vállalati tűzfal mögött lévő laptopot). Ez úgy működik, hogy a nyilvánossá tett eszközt összeköti a felhővel (átvezetve azt tűzfalakon, stb. keresztül), a felhőben létrehoz számára egy jól látható végpontot, erre a végpontra pedig könnyűszerrel csatlakozhat a másik fél.
A Service Bus-t igénybe véve közzéteheted a vállalati alkalmazás kívánt funkcióit a tűzfalaitokon, proxy szervereiteken, routereiteken át is, még külön IP címet sem kell neki szerezni. A platform a biztonságról is gondoskodik, igény szerint használhatsz titkosított adatforgalmat, korlátozhatod a hozzáférést. Az így létrejött végpontra pedig akárki könnyűszerrel rácsatlakozhat, akinek engedélyt adtál.
Nem zavar, ha ilyeneket kérdezek?
Nem, szeretek az Azure-ral foglalkozni. Az idegesítene igazán, ha a munkakörnyezetemet piszkálná valaki, ahogy a miniMIX-en is előfordult előadás közben – ráadásul interneten keresztül! Remélem, nem ismétlődik meg a T4B-n.
(Na jó, az utolsó kérdés kicsit ködösre sikerült – maradjunk annyiban, hogy a jelenlevők számára minden világossá válik. A budapesti rendezvény megnövelt kapacitású terme is betelt, a győri, debreceni és szegedi állomáson viszont még vannak helyek. – A szerk.)