суббота, июня 09, 2007

Управление "виртуальной личностью"

Как часто внутрикорпоративные разработчики задумываются о вопросах безопасности? А если задумываются, насколько легко интегрировать создаваемые custom-решения с соответствующей инфраструктурой организации? Вроде бы те же Java EE-разработчики используют соответствующие механизмы управления ролями пользователей, входа в систему .... однако, если в организации используется Directory Server, Active Directory, регламенты безопасности, аудит доступа к системам? А ведь политики безопасности диктуются самой природой деятельности организаций, говорим ли мы о банке, GSM-операторе, страховой компании, заводе, управляющей компании или органе власти.

Существует и другая сторона безопасности - обмен информацией не ограничивается обменом по электронной почте. Все более тесными становятся связи между организациями, говорим ли мы о размещении заказов у поставщика продукции или хостинге приложений.

И речь, как уже стало ясно, не о SOA, хотя сервис-ориентированных систем это ой как касается, ведь они же предполагают обеспечение сквозного управления и контроля бизнес-процесса через множество систем, задействованных в обработке информации.

Речь об Identity Management (Id Management или просто IdM). Буквально на днях наступил на классический грабли, написав по русски "управление идентификацией". А ведь identity это нечто уникальное - "признак личности", если так можно выразиться. И когда мы говорим "управление идентификацией" мы лишь касаемся вопроса установления личности, но никак ни всего что связано с ее поддержанием в заданном контексте (читай ИТ-инфраструктуре предприятия).

Вполне естественно говорить об identity или id (сразу вспоминаем полицейские фильмы на английском языке ;-) как о паспорте личности. А ведь его нужно создать, сопроводить атрибутами, уникальными для владельца, ограничить срок его действия, а уже в контексте ИТ - ассоциировать с системами, а точнее правами доступа к ним и , чего греха таить, мониторить его исопльзование и ограничить его владельца от кражи личности, которая может случиться не только когда воруют пластиковую карту... Необходимо полноценное управление жизненным циклом виртуальной личности - identity lifecycle management.

Эта задача, конечно, возникла не сегодня, и не вчера. Сколько лет уже используются службы каталогов? Именно. А как часто они интегрированы с системой отдела кадров / HR-модулем ERP? ... А если вот так не побояться и спросить про учетную систему или нечто развернутое на сервере приложений при всей своей кластеризации и отказоустойчивости, живущее абсолютно своей жизнью с точки зрения безопасности? ... вы сами знаете...

А ведь "правила игры" начинают определяться в тот момент когда информацию о сотруднике заносят в базу отдела кадров. И когда мы говорим жизненном цикле identity, то это значит, что в том же банке, в зависимости от должности, на которую человек оформляется, служба безопасности должна поставить виртуальный штампик - к каким системам человек должен иметь доступ, а какие ему как минимум не нужны для работы, а иногда и просто вредны ;) Если же серьезно смотреть на эту проблему, то в том же банке существуют операционные и репутационные риски, а на них оказывает серьезное влияния ИТ, даже если мы не берем в расчет ИТ-аудиторов с COBIT, и "нам не страшен" SOX и Basel II, существуют стандарты безопасности (17799, отображаемый со стороны COBIT и более практический - 27001:2005, по которому уже проводится аудит и аттестация на соответствие) и руководящие документы ЦБ РФ, его рекомендации и письма играющие роль реальных стандартов для финансовой сферы. И, конечно, вопросы identity management касаются не только банков. Достаточно посмотреть на последние исследования по информационной безопасности:
Как говорится, вирусы вирусами, но, при всем уважении к Касперскому ;) утечки данных идут совсем с другой стороны... Естественно, озабоченность бизнеса этими вопросами напрямую отражается и на разработчиках, которые интегрируют системы не только с точки зрения обмена данными, но и доступа к этим данным и функциональности по их обработке.

Ну а для начала разговора уже о решениях Identity Management, хочу обратить внимание на еще один свободно-доступный Web-курс:
  • WMT-IDM-1400 Sun Java Identity Management - Overview
    он расчитан на 2 часа и включает два модуля:
    - Business Case for Identity Management о проблематике задач IdM
    - Sun's Identity Management Portfolio уже о конкретной IdM-платформе Sun
В отличие от других Web-курсов, о которых я писал в предыдущем посте, этот курс на закладке "Notes" включает полный текст курса, который читается преподавателем. Объем этого курса при закачке для работы в офлайн - 42 Мб. Они стоят того,чтобы ориентироваться и в проблеме и в ее решении, от того же банка до сервис-провайдера, так как в курсе дается представления о всех компонентах, входящих в Sun Java Identity Management Suite:
Конечно, Sun Java System Identity Manager включает не только встроенные средства прописывания соответствующих workflow (говорим ли мы о визуальном редакторе workflow или встроенном языке xpress) - есть и соответствующие API SDK, о которых (и не только о них, но и о сответствующих open source-решениях Sun) можно, например, прочитать в специальном разделе Sun Developer Network (SDN). Более того, уже практически готов специальный интеграционный модуль NetBeans (в составе Enterprise Pack), позволяющий Java-разработчикам легко расширять функциональность своих систем в соответствии с требованиями безопасности доступа и, конечно, следуя стандартам, в том числе - OASIS SAML.

Ярлыки: , , , ,

Комментарии: 0:

Отправить комментарий

Подпишитесь на каналы Комментарии к сообщению [Atom]

Ссылки на это сообщение:

Создать ссылку

<< Главная страница