Dylematy tożsamości
-
- Antoni Bielewicz,
- 28.06.2004
Po wielu latach argumenty producentów na temat zarządzania tożsamością zaczęły wreszcie trafiać na podatny grunt.
Po wielu latach argumenty producentów na temat zarządzania tożsamością zaczęły wreszcie trafiać na podatny grunt.
Rozwój rynku rozwiązań do zarządzania tożsamością i kontroli dostępu postawił klientów przed poważnym dylematem: czy wdrażając je postawić na integrację najlepszych produktów, czy też raczej oprzeć się na narzędziach jednego producenta?
Wdrożenie rozwiązań do zarządzania tożsamością użytkowników i kontrolą dostępu do sieci korporacyjnych staje się jednym z priorytetów nowoczesnego przedsiębiorstwa. Wcześniej czy później każdy menedżer IT musi sobie zadać pytanie, czy jest gotów ponosić ryzyko rozbudowy systemów informatycznych bez narzędzi umożliwiających ścisły nadzór nad dostępem do nich.
Największe światowe korporacje już sobie na to pytanie odpowiedziały. Zdaniem analityków z firmy Burton Group w ciągu najbliższych dwóch lat w projekty związane z zarządzaniem tożsamością i kontrolą dostępu zaangażują się wszystkie duże firmy.
Konsolidacja rynku
Podstawowy problem, na jaki natykają się firmy wdrażające zarządzanie tożsamością, wynika z mnogości rozwiązań umożliwiających zarządzanie dostępem. Obejmują one wiele różnorakich, ale często wzajemnie przenikających się mechanizmów, np. systemy metakatalogów, systemy ochrony oparte na hasłach oraz funkcje umożliwiające dostęp do wszystkich systemów po jednokrotnym zalogowaniu się do sieci (single sign-on).
Ta wyjątkowa kompleksowość oferty jest wynikiem zróżnicowanego tempa rozwoju poszczególnych produktów. W jeszcze większym stopniu jest to jednak efekt postępującej konsolidacji firm zajmujących się rozwiązaniami do zabezpieczania sieci korporacyjnych.
Zmiany własnościowe w tej branży postępują w iście ekspresowym tempie. Tylko w ostatnich miesiącach Netegrity przejęła firmę Business Layers, zaś Sun Microsystems zakupił Waveset Technologies. Obie przejęte firmy tworzą rozwiązania do zarządzania zintegrowanymi profilami użytkowników obejmującymi wiele różnych zestawów uprawnień. Z kolei HP przejął dostawcę rozwiązań do zarządzania tożsamością TruLogica. Firma zakupiła też część produktów do zarządzania bezpieczeństwem od firmy Baltimore Technologies. IBM kupił dostawcę rozwiązań technologii umożliwiającej zarządzanie udostępnianiem zasobów Access 360 oraz nową firmę MetaMerge rozwijającą rozwiązanie metakatalogowe.
Porządki w liniach
Mimo komplikacji wynikających z różnic technologicznych między produktami łączących się firm dostawcy dokładają starań, by ich produkty były możliwie jak najprostsze we wdrożeniu i zarządzaniu i jak najbardziej zintegrowane wewnętrznie.
Technologie umożliwiające tworzenie zintegrowanych profili użytkowników i synchronizację haseł stają się częścią systemów do zarządzania prawami użytkowników. Pakiety umożliwiające dostęp do zasobów za pośrednictwem sieci Web, delegację uprawnień użytkowników i administratorów, a także audyty bezpieczeństwa są dołączane do systemów bezpiecznego uwierzytelniania.
Co oczywiste, największe koncerny dążą także do wewnętrznego uporządkowania linii produktów. Sun Microsystems skonsolidował swoje systemy do zarządzania tożsamością, zmniejszając liczbę linii produktowych z ośmiu do trzech. Microsoft opiera swoją ofertę w zakresie zarządzania tożsamością na trzech liniach produktów. Firma zakłada, że ewentualne luki w ofercie wypełnią niezależni dostawcy.
Konsolidacja linii produktowych ma zarówno pozytywne, jak i negatywne następstwa. Na plus wypada zaliczyć to, że firmy chcące wdrażać mechanizmy zarządzania tożsamością mają dzięki konsolidacji możliwość szybkiego zorientowania się i porównywania ofert.
Nie bez znaczenia jest także koszt wdrożenia. Według Gartnera koszt integracji wielu produktów do zarządzania tożsamością w ramach jednej firmy bywa nawet kilkakrotnie wyższy niż wdrożenie jednego, kompleksowego rozwiązania.
W wyniku konsolidacji staje się jednak ograniczony wybór produktów, z których można złożyć rozwiązanie szyte na miarę. Ta popularna dotychczas ścieżka wdrażania systemów identyfikacji zostaje więc w naturalny sposób ograniczona i na dłuższą metę zahamuje z pewnością spadek cen licencji.
Przede wszystkim integracja
Wyniki badań firm analitycznych na rynku amerykańskim pokazują, że bardziej od możliwości wyboru klienci cenią sobie wewnętrzną integrację rozwiązań. Zdaniem analityków z Gartner ponad 60% amerykańskich przedsiębiorstw deklaruje chęć zakupu rozwiązań licencjonowanych i wspieranych przez jednego dostawcę.
Oczywiście, nie wyklucza to całkowicie możliwości integracji z systemami pochodzącymi od innych producentów. Po to zresztą powstają takie standardy, jak Security Assertion Markup Language (SAML) czy Extensible Access Control Markup Language (XACML). Pozwalają one na zachowanie jednolitości technologicznej rozwiązań podstawowych, np. Active Directory i Microsoft Identity Integration Server, z możliwością uzupełnienia ich produktami niszowych firm.
Roli otwartych standardów nie da się tu przecenić. SAML, który umożliwia wdrażanie mechanizmów identyfikacji i jednokrotnego logowania, jest wykorzystywany w rozwiązaniach firmy RSA Security, ale także w produktach Oblix, Phaos Technology, Ping Identity czy Trustgenix. Jest też wspierany przez Sun Microsystems, IBM i Microsoft, choć równolegle każdy z nich rozwija własną architekturę zarządzania tożsamością.
Wybór jednej z dróg nie musi wcale oznaczać przywiązania do jednego dostawcy bądź konieczności ponoszenia horrendalnych kosztów integracji różnych produktów. Analitycy specjalizujący się w rozwiązaniach z zakresu bezpieczeństwa coraz częściej rekomendują scenariusz wdrożenia, w którym przedsiębiorstwo opiera się na rozwiązaniach jednego dostawcy, uzupełnionych punktowymi rozwiązaniami firm specjalistycznych, "uszczelniającymi" cały zintegrowany system zarządzania tożsamością.
Problem z usługami sieciowymi
Zapewnienie kompleksowej, a jednocześnie w miarę jednolitej infrastruktury do kontroli tożsamości w ramach firmy może się wydawać sukcesem, ale tylko do momentu, kiedy systemy wewnętrzne trzeba będzie w jakiś sposób zintegrować z systemami partnerów biznesowych. Problem ten widać bardzo jaskrawo w kontekście integracji realizowanej za pośrednictwem usług sieciowych (web services).
Leżąca u podstaw technologii usług sieciowych daleko posunięta automatyzacja procesów biznesowych sprawia, że ważne jest zarządzanie tożsamością nie tylko ludzi, ale także urządzeń i komponentów programowych. Na razie nie ma narzędzi, które umożliwiałyby łatwe, kompleksowe zarządzanie tożsamością "wszystkiego". Zdaniem analityków wypracowanie ostatecznych wersji standardów w tej dziedzinie może potrwać 2-5 lat.
Na szczęście do tego czasu
mechanizmy do zarządzania tożsamością staną się częścią niemal wszystkich najważniejszych aplikacji biznesowych. To przerzuci przynajmniej część odpowiedzialności za integrację rozwiązań na barki producentów.
Trudno o dziedzinę o większym skomplikowaniu produktów, usług i dostawców niż zarządzanie tożsamością i kontrola bezpieczeństwa. Każdy koncern informatyczny ma w ofercie co najmniej kilka różnych linii produktów, usług, pakietów i modułów, które odpowiadają za realizację tych funkcji związanych z bezpieczeństwem. Nic dziwnego, że coraz częściej słyszy się postulaty proponujące uproszczenie oferty.
Najszybciej wzięły je sobie do serca firmy Sun Microsystems i Netegrity. Już w lipcu br. na rynku pojawią się trzy linie skonsolidowanych produktów Suna do zarządzania tożsamością i kontroli dostępu, zintegrowane z technologiami umożliwiającymi provisioning przejętymi wraz z firmą Waveset. Produkty te będą dostępne pod nazwą Sun Java System: Identity Manager, Access Manager oraz Directory Server Enterprise Edition.
W końcu czerwca na rynku pojawi się nowa wersja pakietu Netegrity IdentityMinder eProvision 4.0. Pakiet będzie zawierać nowe mechanizmy do zarządzania pracą grupową i administrowania, zaprojektowane przez Business Layers, firmę kupioną niedawno przez Netegrity. Nowy produkt umożliwi łatwe zarządzanie przepływem pracy oraz kreowaniem i konfigurowaniem polityk/reguł przy użyciu narzędzi drag & drop. Do nowego pakietu dodano scentralizowaną konsolę ułatwiającą bieżące zarządzanie. Oprogramowanie będzie dostępne zarówno dla Solaris, jak i Windows.
O podjęciu podobnych działań mających na celu integrację produktów do zarządzania tożsamością poinformowały pod koniec maja firmy IBM, Novell, a także Microsoft. Ta ostatnia zapowiedziała, dostarczenie w przyszłym roku nowych funkcji związanych z tworzenie zintegrowanych profili użytkowników i zarządzaniem tożsamością, dostępnych jako usługi.
Dlaczego dostawcy decydują się na dość kosztowny proces reorganizacji linii produktowych? Najlepiej wyjaśnia to Kevin Cunningham, dyrektor ds. marketingu produktów z zakresu zarządzania tożsamością w Sun Microsystems. "Dwa, trzy lata temu musieliśmy uświadamiać użytkowników w podstawowych zagadnieniach związanych z tożsamością w systemach informatycznych. Dziś wszyscy są świadomi znaczenia tej problematyki. Teraz musimy pokazać im, jakie komponenty są potrzebne do stworzenia mechanizmów zarządzania tożsamością użytkownika i kontrolą dostępu" - mówi. Edukacja wymaga prostoty, stąd konsolidacja pozwalająca na szybkie zorientowanie się który produkt wykonuje konkretne funkcje.
W przypadku produktów Suna podział ten będzie dość klarowny. Sun Java System Identity Manager, zawierający funkcje pakietów Sun Meta-Directory, Sun Identity Synchronization for Windows oraz Waveset Lighthouse, będzie realizować zadania związane z tworzeniem i zarządzaniem profilami użytkowników i prawami dostępu, zarządzaniem metakatalogami oraz synchronizacją informacji o tożsamości w sieci korporacyjnej.
Sun Access Manager (dawny Identity Server) umożliwia dostęp do zasobów firmy za pośrednictwem sieci Web i przy użyciu mechanizmów jednokrotnego logowania. Trzecia linia produktów Sun Directory Server to kombinacja systemów Sun Directory, Proxy Server oraz Password Synchronization for Windows. Sun Directory Server zawiera konsolę do zarządzania opartą na produkcie Waveset Directory Master i odpowiada za równoważenie obciążenia i zabezpieczanie sieci, a także integrację z usługami Microsoft Active Directory.
