Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Глава 3. Технологии управления идентификаторами и доступом Microsoft
Опубликовано 11 мая 2004 | Обновлено 26 июня 2006
Эффективное управление идентификаторами и доступом предусматривает использование нескольких взаимозависимых технологий и процессов. Эти элементы объединяются в целях поддержки единого представления об идентификаторов в организации и их эффективного использования. Основными темами для обсуждения вопросов, касающихся управления идентификаторами и доступом, являются службы каталогов, управление жизненным циклом идентификаторов, управление доступом и способы интеграции приложений в единую инфраструктуру.
Примечание. В настоящей главе приведен краткий обзор каждой из указанных тем, а в остальных главах процессы и службы, касающиеся каждой темы, описаны более подробно. Данная глава позволяет получить общее представление о данной тематике. А более строгое, формальное описание приведено в главах 4–7.
Многие технологии и решения, касающиеся управления идентификаторами и доступом, были разработаны независимо друг от друга в ответ на возникновение конкретных тактических проблем. Представители организаций, аналитики, поставщики и системные интеграторы постепенно пришли к выводу, что все подобные технологические и деловые проблемы являются взаимозависимыми, поэтому в конечном итоге выделили их в одну категорию, которая носит название «управление идентификаторами и доступом».
Чтобы можно было представить визуально эту взаимозависимость, специалисты корпорации Microsoft создали инфраструктуру управления идентификаторами и доступом — графическое изображение служб и процессов, связанных с управлением идентификаторами и доступом.
Основные компоненты инфраструктуры управления идентификаторами и доступом Microsoft показаны на следующем рисунке.
.gif)
Рис. 3.1. Основные компоненты инфраструктуры управления идентификаторами и доступом
В настоящей главе дано определение каждого из компонентов инфраструктуры и приведено краткое описание технологий, служб и процессов, поддерживающих каждый из этих компонентов.
В число элементов инфраструктуры управления идентификаторами и доступом Microsoft входят руководящие принципы обеспечения производственной деятельности, безопасности и конфиденциальности, в которых воплощаются конкретные требования организации. Эти элементы позволяют определить предположения, правила, стандарты и ограничения, из которых исходит организация, принимая решение о том, как должны применяться технологии и процессы в соответствии с поставленными перед ней целями. Например, широкие и далеко идущие следствия вытекают из установленных принципов обеспечения безопасности, которые оказывают влияние на все аспекты управления идентификаторами и доступом.
С другой стороны, принципы обеспечения конфиденциальности определяются под влиянием специфики самой организации, отрасли промышленности, в которой она ведет свою деятельность, а также страны и региона, где она находится. Определение таких руководящих принципов позволяет приступить к разработке обоснованных мер по защите персональных данных в хранилищах идентификаторов организации. Значительную роль в определении принципов обеспечения конфиденциальности играет внутреннее и международное законодательство, которое представлено такими документами, как Акт о передаче и защите данных учреждений здравоохранения (The Health Insurance Portability and Accountability Act, HIPAA) от 1966 года, принятый в Соединенных Штатах, Закон об охране информации (Data Protection Act) от 1998 года, принятый в Великобритании, Директива по защите данных (Data Protection Directive) 95/46/EC, принятая в Европейском союзе, а также международно признанные соглашения и принципы «безопасной гавани» (safe harbor).
На этой странице
Службы каталогов Управление жизненным циклом идентификатора Управление доступом Приложения Заключение
Службы каталогов
Основой для любой инфраструктуры управления идентификаторами и доступом являются службы каталогов. Службы каталогов представляют собой единственный источник авторитетных сведений о цифровых идентификаторов. В состав этой информации может входить информация о безопасности, такая как пароли и отображения сертификатов X.509, а также информация профилей пользователей в форме атрибутов пользователей, которые включают данные об адресах, номерах телефонов, занимаемой площади служебного помещения, должностях и названиях отделов.
Корпорация Майкрософт рекомендует определить минимальное количество каталогов, которые становятся доверенным хранилищем (хранилищами) цифровых идентификаторов для организации. Такое сокращение немедленно приносит положительные результаты и позволяет создать надежную основу, на которой может проводиться интеграция всех прочих компонентов.
Службы каталогов, применяемые в технологиях корпорации Майкрософт
Корпорация Майкрософт впервые начала поддерживать службы каталогов на платформе Microsoft® Windows® после создания операционной системы Windows NT® 3.1. В настоящее время корпорация Майкрософт предоставляет перечисленные ниже службы каталогов.
Служба каталогов Microsoft Active Directory®, которая является неотъемлемой частью операционных систем Windows 2000 Server и Windows Server™ 2003.
Режим приложений Active Directory (ADAM).
Для получения дополнительных сведений о службах каталогов Microsoft см. главу 4, «Службы каталогов», этой статьи.
Управление жизненным циклом идентификатора
Для управления пользователями, а также полномочиями и учетными данными применяется несколько взаимосвязанных процессов. Они перечислены ниже.
Службы интеграции идентификаторов, включая агрегирование и синхронизацию.
Средства инициализации, в том числе средства управления взаимосвязанными процессами, протекающими перед, во время и после инициализации (часто называемыми «технологический процесс»).
Делегируемые средства администрирования, такие как средства управления учетными записями, используемые персоналом организации-партнера.
Средства администрирования по принципу самообслуживания, такие как запросы на предоставление полномочий, инициаторами которых являются пользователи.
Средства управления учетными данными и паролями, включая средства смены паролей конечными пользователями и средства переопределения паролей службой поддержки.
Средства деинициализации, включая средства перевода в неактивное состояние или удаления учетных записей.
Средства управления группами.
Службы интеграции идентификаторов
Необходимость в использовании служб интеграции идентификаторов, как правило, возникает, если в организации имеется несколько каталогов или хранилищ идентификаторов. При этом каждый из таких каталогов содержит определенное подмножество общего множества информации о пользователе, поэтому службы интеграции идентификаторов могут оказать помощь в создании агрегированного представления информации, полученной из всех хранилищ идентификаторов.
Службы интеграции идентификаторов создают такое агрегированное представление, извлекая идентификационную информацию из различных авторитетных источников, таких как существующие каталоги, приложения отдела кадров и бухгалтерии, каталоги электронной почты и различные базы данных. Всей этой идентификационной информацией, собранной службами интеграции идентификаторов, заполняется единственная база данных, или метаверсия, — единое глобальное интегрированное представление всех комбинированных объектов, агрегированных на основе идентификационной информации, собранной из нескольких взаимосвязанных источников данных.
После создания такой централизованной базы данных, содержащей всю необходимую информацию, появляется возможность применять к используемым данным правила, управляющие потоком данных в ходе выполнения операций импорта и экспорта. Благодаря тому, что появляется возможность создавать на основе правил потоки данных импорта и экспорта, обеспечивается реализация на практике процессов синхронизации идентификаторов и даже инициализации. Поскольку обеспечивается возможность автоматизировать такие процессы синхронизации и инициализации с помощью программируемых правил, службы интеграции идентификаторов позволяют организации уменьшить расходы, связанные с управлением идентификаторами, и свести к минимуму ошибки, возникающие при выполнении операций администрирования человеком.
Средства инициализации
Ключевым компонентом управления идентификаторами и доступом является применяемый способ создания цифровых идентификаторов. Процесс инициализации предоставляет мощное инструментальное средство, в котором пользовательская информация, содержащаяся в инфраструктуре каталогов организации, применяется для ускорения процессов предоставления и отмены доступа к информационным ресурсам на основе учетных записей пользователей и полномочий. К таким ресурсам могут относиться электронная почта, телефонная служба, приложения отдела кадров, отраслевые и функциональные приложения, доступ к интрасети и экстрасети, а также службы поддержки.
Автоматизация процессов создания цифровых идентификаторов позволяет резко сократить затраты и повысить производительность труда. Например, после приема в организацию на работу нового сотрудника система инициализации позволяет предоставить ему учетную запись пользователя и права доступа не за неделю, а всего лишь за несколько часов. Автоматизированная инициализация позволяет также устранить значительную часть времени, затрачиваемого менеджерами на обработку всех необходимых документов, а также уменьшить продолжительность времени, которое персонал финансового отдела, отдела кадров и ИТ-отдела тратит на утверждение и выполнение запросов.
Технологический процесс
При вводе в действие большинства процессов инициализации необходимо прежде всего разработать сам технологический процесс. Запросы на предоставление ресурсов вводятся в оперативном режиме, направляются по заранее определенному пути на контроль и утверждение, а затем в конечном итоге передаются лицу (или системе), которое создает учетную запись пользователя. Запросы и электронные копии сопровождающих материалов автоматически перенаправляются каждому участнику этого процесса. Процессы применяются последовательно и полностью в рамках всех отделов, причем каждый фрагмент информации вводится лишь единожды. Имеется полный контрольный журнал, позволяющий узнать о том, кто утвердил и когда это было сделано. Технологические процессы контролируются автоматически, что позволяет известить руководителя или администратора высокого уровня, если действия по контролю или утверждению не будут выполнены своевременно.
Строго регламентированный технологический процесс позволяет также помочь в осуществлении некоторых процессов делегируемого администрирования и самообслуживания, например, если требуется перенаправить некоторые запросы на утверждение.
Делегируемое администрирование
В типичной модели администрирования участвует небольшая группа доверенных лиц, способных управлять всеми аспектами функционирования хранилища идентификаторов. Эти администраторы создают и удаляют пользователей, устанавливают и переопределяют пароли, а также могут задавать любые атрибуты пользователей.
Тем не менее, в организации часто имеются весомые основания для того, чтобы не создавать единственную централизованную группу администраторов, которые управляли бы всеми аспектами обработки идентификаторов пользователя. Например, если в каталоге экстрасети хранятся учетные записи персонала организации-партнера, то для организации, владеющей этим каталогом, предпочтительнее было бы делегировать задачи администрирования этих учетных записей администратору организации-партнера. В таком случае администратор организации-партнера принимает на себя ответственность за ведение всех учетных записей, относящихся к сотрудникам своей организации. Такое распределение обязанностей имеет смысл с административной точки зрения, поскольку организация-партнер имеет лучшее представление о том, когда должны быть созданы или удалены учетные записи пользователей, к тому же запросы на предоставление ресурсов обрабатываются локально.
Делегируемое администрирование может также иметь место в самой организации, когда доверенные лица в различных отделах управляют подмножествами хранилища идентификаторов организации.
Администрирование по принципу самообслуживания
Типичные пользователи, такие как сотрудники организации, имеют много пользовательских атрибутов, которые не связаны с безопасностью; в организации может быть принято решение о том, чтобы пользователям разрешалось самим изменять такие атрибуты. Например, пользователям может быть разрешено корректировать в своих данных номера сотовых телефонов. Но администрирование по принципу самообслуживания должно осуществляться с учетом определенных ограничений, связанных с соблюдением соглашений об именовании и с проверкой допустимости.
Управление учетными данными
Учетные данные — это основа для проверки подлинности и авторизации, поэтому управление этими данными должно осуществляться с учетом особых требований, а сами эти данные должны всегда находиться в полной безопасности, независимо от того, в каких процессах они используются. Учетные данные требуют инициализации, к ним должны применяться операции администрирования (такие как отмена сертификата или переопределение пароля), а пользователям должны предоставляться возможности самообслуживания (например, для смены своих паролей). Механизм получения учетных данных должен быть тщательно регламентирован (например, указано, что пользователь обязан получать смарт-карту лично, показывая удостоверение личности, или что получение переопределяемого пароля должно осуществляться через зашифрованный прямой канал).
Управление паролями
Управление паролями представляет собой специфическую часть задачи управления учетными данными. Проверка подлинности на основе комбинаций, состоящих из имени пользователя и пароля, все еще остается наиболее широко применяемым методом в современных сетях и приложениях. Для управления информацией паролей в разнородных вариантах среды применяются различные методы.
Но один из аспектов управления паролями в большей степени касается использования определенной технологии для автоматического распространения информации паролей из одной системы в другую. Такое распространение паролей дает возможность пользователю применять один и тот же пароль для входа в несколько систем, что способствует снижению вероятности появления забытых паролей и связанных с этим обращений в службу поддержки, подготовившую пароли, которые были затем забыты. После ввода в действие средств поддержки паролей, применимых к различным платформам и приложениям, как правило, возникает потребность в централизации операций смены и переопределения паролей, выполняемых службой поддержки через общие интерфейсы.
Возможность распространения паролей следует предусматривать только в том случае, когда полностью известны характеристики безопасности каждой участвующей в этом системы. Например, в среде UNIX, в которой используется протокол Telnet и пароли передаются по сети в виде открытого текста, не должны применяться такие же пароли, как и для учетной записи Active Directory, используемой для выполнения конфиденциальных транзакций, важных для организации.
Деинициализация
Еще одной ключевой функцией управления жизненным циклом идентификаторов является деинициализация. Деинициализация обеспечивает то, что после увольнения сотрудников из организации целенаправленно происходит отмена или удаление их учетных записей, а также отзыв полномочий. Общепринятые рекомендации по безопасности требуют, чтобы учетные записи сразу же отменялись (для предотвращения возможного нарушения защиты со стороны бывших сотрудников, испытывающих недовольство), но не удалялись до тех пор, пока не пройдет какой-то приемлемый промежуток времени, на тот случай, если потребуется снова разрешить использование этой учетной записи (или же нужно будет ее переименовать и переназначить). Рекомендация, предусматривающая отмену (а не удаление) учетных записей, оправдана также для некоторых организаций, которые обязаны гарантировать, чтобы определенные атрибуты идентификаторов, такие как имена учетных записей, были уникальными и не использовались повторно на протяжении промежутка времени, который соответствует требованиям принятых принципов обеспечения безопасности.
Управление группами
В состав операций управления группами входит автоматическое и выполняемое вручную присваивание учетных записей пользователей группам и отмена такого присваивания, а также удаление учетных записей из групп. Как правило, группы определяются в службах каталогов или в почтовых системах, таких как Active Directory или Lotus Notes. Группы подразделяются на два типа: группы безопасности и группы рассылки. Группы безопасности могут использоваться для настройки полномочий, а группы рассылки (или списки рассылки) содержат сведения о получателях электронной почты. Учетные записи пользователей получают права и разрешения тех групп, к которым они принадлежат.
В организациях может возникнуть необходимость создавать группы по запросу; в этом случае принадлежность к группе зависит от значения выбранного атрибута в службе каталогов. Такое средство позволяет использовать систему управления идентификаторами и доступом, например, для создания групп, которые включают всех пользователей, находящихся в конкретном городе или офисе. Группы создаются только по уникальным значениям, характерным для каждого города или офиса. Если в группе больше не содержится членов, группа удаляется. После создания таких групп информация об их именах и составе их членов распространяется по всем взаимосвязанным службам каталогов и почтовым системам.
Управление жизненным циклом идентификаторов с применением технологий Microsoft
Технологии Microsoft, применяемые для управления жизненным циклом идентификаторов, перечислены ниже.
Active Directory, включая терминал управления пользователями и группами Microsoft (MMC) Active Directory, а также встроенные средства делегирования функций администрирования.
Приложение Microsoft Identity Integration Server 2003 Enterprise Edition (MIIS 2003 SP1), которое, в частности, предоставляет следующие возможности.
Средства инициализации
Средства синхронизации паролей и веб-интерфейс для переопределения и смены паролей.
Пакет Identity Integration Feature Pack для Microsoft Windows Server Active Directory.
Средства самообслуживания и автоматической регистрации сертификатов X.509.
Службы для UNIX 3.5 (SFU 3.5).
Службы для Netware.
Диспетчер Windows Credential Manager.
Служба рассылки извещений IdM, веб-приложение Group Management и инструментальное средство Group Populator в составе инструментов и шаблонов Identity and Access Management Tools and Templates.
Для получения дополнительной информации об управлении жизненным циклом идентификаторов с применением технологий Microsoft см. главу 5 этой статьи, «Управление жизненным циклом идентификаторов».
Управление доступом
Управление доступом предназначено для контроля доступа пользователей к ресурсам и может предусматривать, в частности, выполнение проверки подлинности для идентификации пользователя, сопоставления учетных данных для определения взаимосвязи цифровых идентификаторов или авторизацию, в ходе которой проверяется наличие прав доступа к ресурсам у идентификаторов пользователя. Кроме того, в состав задач управления доступом входит создание объединения и установление доверия в целях расширения доступа, а также выполнение аудита для отслеживания и регистрации действий, осуществляемых пользователями.
Проверка подлинности
Проверка подлинности — это процесс подтверждения подлинности цифровых идентификаторов пользователя или объекта по отношению к сети, приложению или ресурсу. После проверки подлинности пользователи получают возможность обращаться к ресурсам с учетом их полномочий, проходя процесс авторизации.
Методы проверки подлинности
Методы проверки подлинности различаются по своей сложности, начиная от простой регистрации на основе идентификатора пользователя и пароля (информация, которую должен знать пользователь) и заканчивая проверкой по биометрическим данным (признаки, которые позволяют отличить пользователя от других лиц), включая более мощные механизмы обеспечения безопасности, такие как маркеры, цифровые сертификаты и смарт-карты (предметы, которые должен иметь пользователь). В вариантах среды, характеризующихся высокими требованиями к безопасности, может возникнуть необходимость в применении многофакторного процесса проверки подлинности. Такой процесс может, например, предусматривать совместное использование информации, известной пользователю (такой как пароль), с любым отличительным признаком (таким как отпечаток пальца) или с некоторым предметом, который должен иметь при себе пользователь (таким как смарт-карта).
В среде электронной коммерции пользователям может потребоваться доступ сразу к нескольким приложениям, охватывающим целый ряд веб-серверов на одном или нескольких узлах. Эффективные стратегии управления идентификаторами и доступом позволяют развертывать готовые службы проверки подлинности, чтобы упростить взаимодействие с пользователями и уменьшить издержки администрирования. По этим причинам службы проверки подлинности должны поддерживать разнородные варианты среды.
Примеры методов проверки подлинности перечислены ниже.
Имена пользователей и пароли.
Личные идентификационные номера (PIN-коды).
Цифровые сертификаты X.509.
Одноразовые пароли.
Биометрические данные (например, результаты сканирования отпечатка пальца или радужной оболочки).
Смарт-карты.
Электронные паспорта.
Аппаратные маркеры.
Сравнение сильных и слабых методов проверки подлинности
Методы проверки подлинности различаются по своим возможностям, начиная от самых простых, в которых пользователи отправляют пароли непосредственно в приложения или на узлы, и заканчивая намного более сложными, в которых используются усовершенствованные криптографические механизмы для защиты пользовательских учетных данных от приложений и узлов, которые могут оказаться в распоряжении злонамеренных лиц.
Наиболее слабым методом проверки подлинности считается передача в приложение или на узел пароля в виде открытого текста (т.е. текста, не зашифрованного никаким способом), поскольку при использовании этого метода возникает опасность постороннего вмешательства в последовательность операций проверки подлинности. Кроме того, если пользователь предпринимает попытку пройти проверку подлинности на узле, эксплуатируемом злонамеренным лицом, то владелец этого узла получает всю необходимую информацию, чтобы осуществлять свои действия от имени этого пользователя в любом месте сети. Такой пользователь может рассматривать свой пароль как секретный, но он не более секретен, чем информация, разосланная по всем компьютерам в сети.
Более сильные методы проверки подлинности предусматривают защиту учетных данных, применяемых для проверки подлинности, что позволяет скрыть от владельца узла или ресурса, проверяющего подлинность пользователя, информацию о том, в чем фактически состоит секрет, который должен знать пользователь, чтобы пройти проверку подлинности. Как правило, эта цель достигается в результате наложения на данные криптографической подписи в виде секретного пароля, который известен только пользователю и доверенному стороннему участнику процедуры проверки подлинности (такому как контроллер домена Active Directory). Компьютер подтверждает подлинность пользователя, передавая подписанные данные доверенному стороннему участнику процедуры проверки подлинности. После этого доверенный сторонний участник процедуры проверки подлинности сравнивает подпись с той информацией о пользователе, которая ему известна, и сообщает компьютеру, является ли пользователь, согласно полученным данным, именно тем, от имени кого он выступает. Благодаря использованию такого механизма пароли действительно остаются секретными.
Единый вход
Одной из важных составляющих проблематики проверки подлинности является понятие единого входа (SSO). На прикладном уровне применение единого входа заключается в том, что между клиентской и серверной программами устанавливается своего рода «сеанс», который дает возможность пользователю эксплуатировать приложение, не предоставляя пароль каждый раз при осуществлении попытки выполнить любое действие в приложении.
Тот же подход может быть распространен на целый ряд приложений, доступ к которым предоставляется по сети. Чтобы реализовать единый вход в условиях эксплуатации множества различных приложений, можно устанавливать сеансы между клиентской программой, доверенным сторонним участником процедуры проверки подлинности в сети, а также различными серверными приложениями и сетевыми ресурсами. Во многих реализациях сеанс представляется с помощью билета (или cookie-файла), который можно проще всего определить как замену учетных данных, относящихся к пользователю. При таком подходе пользователю не передается требование предоставить свои учетные данные во время проверки подлинности; вместо этого на сервер передается билет (или cookie-файл), который принимается как доказательство подлинности идентификаторов пользователя.
Конечным результатом становится то, что пользователю требуется войти в систему только один раз перед использованием любого количества приложений, поэтому взаимодействие с пользователем осуществляется по принципу единого входа.
Примечание. Допускается, чтобы механизм проверки подлинности мог вынудить пользователя повторно вводить учетные данные для проверки подлинности, только при очень необычных обстоятельствах. С другой стороны, в приложениях иногда может быть предусмотрена передача запросов на ввод учетных данных перед выполнением особо конфиденциальных операций.
Проверка подлинности с применением технологий Microsoft
Встроенные средства поддержки целого ряда методов проверки подлинности, включая перечисленные ниже, предусмотрены в службе Microsoft Windows Server 2003 Active Directory.
Проверка подлинности на основе инфраструктуры открытого ключа (PKI).
Протокол проверки подлинности Kerberos версии 5.
Отображение сертификатов X.509.
Приложение Microsoft Passport.
Вызов/отклик Windows NT LAN Manager (NTLM).
Расширяемый протокол проверки подлинности (EAP).
Протокол SSL (Secure Sockets Layer) 3.0 и шифрование TLS (Transport Layer Security) 1.0.
Поддержка применения сертификатов X.509 для смарт-карт.
Службами Windows Server 2003 Internet Information Services 6.0 (IIS) поддерживаются не только все указанные выше возможности, но и следующие.
Проверка подлинности с помощью цифровой подписи.
Проверка подлинности на основе технологии Forms.
Базовая проверка подлинности.
В приложениях функции проверки подлинности могут вызываться с помощью интерфейсов прикладного программирования (API-интерфейсов), таких как SSPI (Security Support Provider Interface), который включает средства SPNEGO (Secure Protocol Negotiation).
Операционная система Windows XP включает интегрированные средства проверки подлинности для регистрации на рабочей станции и доступа к ресурсам, приложение Internet Explorer предоставляет интегрированные средства проверки подлинности для доступа к веб-узлам, а приложение Credential Manager обеспечивает управление паролями, цифровыми сертификатами и паспортами, используемыми для проверки подлинности.
Авторизация
Авторизация — это процесс определения того, предусматривают ли цифровые идентификационные данные право выполнять требуемое действие. Авторизация происходит после проверки подлинности, и в ходе нее сопоставляются атрибуты, связанные с цифровыми идентификаторами (такими как принадлежность к группе), и разрешения на доступ к ресурсам для определения того, к каким ресурсам позволяют получить доступ рассматриваемые цифровые идентификационные данные.
Списки контроля доступа
На различных платформах для хранения информации авторизации используются разные механизмы. Наиболее широко применяемый механизм авторизации известен под названием списка контроля доступа (ACL), который представляет собой список цифровых идентификаторов с указанием множества действий, которые могут выполняться с их помощью применительно к конкретному ресурсу (известных также как разрешения).
Как правило, допустимые действия определяются с учетом типа объекта, защищаемого с помощью ACL. Например, применительно к принтеру может быть разрешено выполнение таких действий, как «печать» или «удаление задания», а применительно к файлу — таких действий, как «чтение» и «запись».
Группы безопасности
идентификаторы Операционные системы, обеспечивающие поддержку большого количества пользователей, как правило, предоставляют возможность создавать группы безопасности, в основе которых лежат цифровые идентификаторы особого типа. Применение групп безопасности позволяет уменьшить сложность задач управления, связанных с необходимостью руководить работой тысяч пользователей в крупной сети.
Группы безопасности упрощают управление, поскольку при их использовании достаточно ввести в любой список ACL несколько записей, указывающих, какие группы имеют определенный уровень доступа к объекту. Если группы спроектированы тщательно, то списки ACL должны быть относительно неизменными. Такой подход позволяет легко корректировать правила авторизации одновременно для многих объектов, манипулируя данными о членах любой группы, поддерживаемыми в любом централизованном компоненте авторизации, таком как каталог. Если же допускается вложение одних групп в другие, то возможности модели групп с точки зрения управления авторизацией еще больше возрастают.
Роли
Во многих приложениях термин «роль» используется для обозначения категории пользователей. Например, роль «Руководитель» может применяться для обозначения всех членов группы безопасности, называемой «Руководители финансовой службы», которые в качестве членов этой группы автоматически приобретают полномочия на использование сетевых ресурсов, предоставляемые этой ролью.
Распределение ролей может также осуществляться на основании динамических решений, принимаемых в ходе эксплуатации приложения, например, касающихся авторизации для приложения формирования отчета о расходах, что позволяет добиться большей маневренности. В этом приложении могут быть предусмотрены действия по утверждению, которые разрешается осуществлять только пользователям, прошедшим авторизацию (или участникам безопасности), которым назначена роль «Руководитель, имеющий право утверждения». Но, прежде чем предоставить разрешение на утверждение расходов по авансовому отчету, система выполняет запрос к каталогу для определения того, соответствует ли атрибут «Руководитель» лица, подавшего заявку, имени человека, который может утверждать расходы. Такие процедуры, определяемые потребностями организации, почти невозможно ввести в действие с помощью механизмов типа ACL.
Роли могут быть определены либо глобально, по такому же принципу, как принадлежность к группе в каталоге, либо с применением прикладного кода, который определяет принадлежность к роли на основании динамического запроса. Могут даже применяться сочетания методов обоих типов, например, приложение, которое определяет роль «Руководители», может локально задать, что она включает роли двух глобальных групп, «Руководители отделов кадров» и «Руководители технических отделов».
У каждого из указанных методов есть свои преимущества. Качественно спроектированный механизм поддержки ролей предоставляет разработчикам приложений возможность выбирать любой из методов, который рассматривается как наиболее подходящий.
Авторизация с применением технологий Microsoft
Интегрированные средства поддержки для целого ряда методов авторизации предусмотрены в операционной системе Windows Server 2003. Технологии авторизации и поддерживающие их компоненты Microsoft перечислены ниже.
Списки контроля доступа (ACL).
Средства управления доступом на основе ролей, предоставляемые приложением Windows Authorization Manager.
Средства авторизации по URL-адресу IIS 6.0.
Средства авторизации ASP.NET.
Для получения дополнительной информации о технологиях авторизации Microsoft см. раздел «Авторизация» главы 6, «Управление доступом», этой статьи.
Доверие
Понятие доверия становится все более важным по мере того, как организации расширяют область использования ресурсов совместно со своими деловыми партнерами. В связи с этим на ИТ-системы возлагаются важные функции по поддержке требуемого уровня обмена данными, что дает возможность установить доверие между независимо администрируемыми системами. В результате установления доверия обеспечивается возможность безопасной проверки подлинности и авторизации с помощью цифровых идентификаторов, передаваемых между автономными информационными системами, что способствует сокращению расходов на управление.
Механизмы установления доверия являются сложными, поскольку независимые организации должны выполнить много заданий, чтобы иметь возможность применять процессы проверки подлинности, а затем — процессы авторизации. При этом доверяющая организация должна иметь безопасный механизм обмена данными с доверенной организацией. После того как доверяющая организация подтвердила подлинность цифровых идентификаторов другой организации, она обязана включить сведения о полномочиях, касающиеся учетной записи другой организации, в состав процесса авторизации, применяемого в этой доверяющей организации.
Объединение
Объединение — это доверие особого рода, которое устанавливается между различными организациями вне пределов границ внутренних сетей. Объединение позволяет осуществлять безопасную проверку подлинности и авторизацию с применением цифровых идентификаторов, передаваемых между автономными информационными системами на основе доверия. Например, если между двумя компаниями, A и B, создано объединение на основе отношений доверия, то пользователь из компании A получает возможность обращаться к информации, имеющейся в компании B.
Примечание. Формулировка принципа объединения стала результатом реализации перспективных спецификаций, таких как WS-Federation, созданных в ходе разработок, возглавляемых Microsoft и IBM, и проводимых в целях стандартизации способа, благодаря которому компании получают возможность совместно использовать идентификаторы пользователей и компьютеров в рамках разрозненных систем проверки подлинности и авторизации, выходящих за пределы организационных границ. Для получения дополнительной информации о спецификации WS-Federation см. страницу Web Services Federation Language.
Сам подход, связанный с применением объединения, представляет собой попытку исключить потребность в управлении учетными записями в более чем одном месте. Если создано объединение, то пользователь из одной организации может проходить проверку подлинности для получения доступа непосредственно к тому ресурсу, который находится под управлением другой организации, используя свою обычную сетевую учетную запись. Указанный подход находит все более широкое распространение, поскольку позволяет исключить необходимость в администрировании многих одинаковых учетных записей в разных местах (или, по крайней мере, отчасти добиться уменьшения объема этой работы).
Рассмотрим в качестве примера организацию, которая ведет дела с сотней различных партнеров. Если не используется объединение, то организации приходится прибегать к применению интерфейса делегируемого администрирования для управления учетными записями в сотне экстрасетей различных партнеров. Этот пример наглядно показывает, что такие методы, как делегируемое администрирование, не обеспечивают масштабирование, которое соответствовало деловой среде с высокой степенью связности. Дальнейшее расширение деловых возможностей немыслимо без надежной и безопасной поддержки функций объединения цифровых идентификаторов.
Поддержка доверия и объединений с применением технологий Microsoft
Операционная система Microsoft Windows обеспечивает поддержку доверия и объединений с помощью перечисленных ниже технологий.
Внешние отношения доверия в Windows NT 4.0 и Windows 2000 Server.
Доверие между лесами в Windows Server 2003.
Протокол проверки подлинности Kerberos версии 5.
Теневые учетные записи.
Доверие на основе PKI.
Служба ADFS (Active Directory Federation Service) в Windows Server 2003 R2.
Аудит системы безопасности
Аудит системы безопасности обычно используется для слежения за возникшими проблемами и нарушениями в системе безопасности. Аудит безопасности, как правило, используется для текущего контроля в целях обнаружения нарушений в работе и брешей в защите.
Аудит безопасности с применением технологий Microsoft
Операционная система Microsoft Windows предоставляет возможность использовать журнал событий безопасности для регистрации событий безопасности, которые могут интересовать пользователя, в том числе перечисленных ниже.
События проверки подлинности.
События авторизации.
Изменения объектов каталогов.
Приложение Microsoft Operations Manager (MOM) 2005 SP1 позволяет консолидировать журналы регистрации событий в любой среде и создавать полезные отчеты аудита.
Приложения
В конечном итоге потребителями идентификаторов и информации доступа являются деловые приложения общего назначения. В соответствии с этим необходимо обеспечить интеграцию таких приложений с платформой управления идентификаторами и доступом. Как правило, приложения интегрируются с компонентами проверки подлинности и авторизации инфраструктуры управления идентификаторами и доступом с помощью API-интерфейсов. Приложения без интеграции с указанной инфраструктурой вносят дополнительную сложность в среду, способствуют увеличению управленческих затрат и часто создают новые области, открытые для нападения, что, в свою очередь, приводит к появлению уязвимых участков в системе защиты.
Интеграция приложений с инфраструктурой безопасности
Для интеграции приложений с инфраструктурой безопасности могут потребоваться значительные усилия, но в результате успешного осуществления этого процесса интеграции может быть достигнут высокий коэффициент окупаемости инвестиций (ROI). Если в приложении имеется собственная система проверки подлинности, то единственный способ, с помощью которого организация могла бы полностью интегрировать это приложение для его эксплуатации в рамках единого процесса проверки подлинности, является перепроектирование приложения с учетом необходимости работать вместе с платформой обеспечения безопасности. Поэтому методология формирования жизненного цикла разработки программного обеспечения (SDLC) организации должна включать четкие стандарты, касающиеся того, как должны использоваться в приложении функциональные средства проверки подлинности и авторизации стандартной платформы, поскольку лишь в этом случае гарантируется совместимость приложения с инфраструктурой управления идентификаторами и доступом.
Для получения дополнительной информации об интеграции приложений с инфраструктурой безопасности с использованием технологий Microsoft см. главу 7, «Приложения», этой статьи.
Заключение
Все процессы и службы, относящиеся к инфраструктуре управления идентификаторами и доступом Microsoft, показаны на следующем рисунке.
.gif)
Рис. 3.2. Процессы и службы, относящиеся к инфраструктуре управления идентификаторами и доступом Microsoft
Загрузка
Получите серию статей Microsoft по управлению идентификаторами и доступом
Уведомления об обновлениях
Зарегистрируйтесь, чтобы получать информацию об обновлениях и новых выпусках
Обратная связь