Журнал "Information Security/ Информационная безопасность" #4, 2020

висов каталога. Подобные проекты не занимают большое количество времени и быстро показывают результат, в пер- вую очередь позволяя компании опера- тивнее обозначить требования к новым приложениям. До внедрения IAM компа- ния даже может не знать о важности наличия в приложениях функций входа через внешний сервис. Это достигается поддержкой стандартов OpenID Connect или SAML. Раннее внедрение IAM позволит избе- жать появления приложений, вход в кото- рые требовал бы дополнительных усилий со стороны пользователя или был бы невозможен. На что же в сервисах IAM стоит обратить внимание? Такой разный IAM В IAM выделяют два различных тех- нологических подхода: l технология корпоративного единого входа (Enterprise SSO, ESSO); l технология поставщика идентифика- ции (Web SSO, Identity Provider, IDP). В первом случае при внедрении тех- нологии на каждое пользовательское устройство устанавливают программу- агент ESSO. Когда устройство включают, ESSO просит пользователя пройти иден- тификацию и аутентификацию с исполь- зованием комбинации методов – про- верки пароля, смарт-карты, биометрии. После этого пользователь может запу- стить нужное ему приложение. В свою очередь, приложение ничего не знает об использовании ESSO и во время запуска попробует показать пользова- телю экран запроса логина и пароля. Но агент ESSO перехватывает экран входа и сам подставляет за пользователя его логин и пароль. Таким образом, пользователь полу- чит надежную идентификацию/аутен- тификацию при входе в устройство, а также удобный автоматический вход во все приложения компании. Но такой подход обусловлен так называемым обманом приложений. Вход в них с помощью логина/пароля в обход запу- щенного агента ESSO по-прежнему возможен, значит сохраняются многие присущие парольной аутентификации угрозы, и это, безусловно, недостаток. Есть еще один важный момент в использовании ESSO – ограничен- ность устройств, на которых возможна установка агента. Могут возникнуть проблемы с поддержкой Linux и macOS, iOS и Android. Второй технологический подход – внедрение IDP. Этот подход лишен недо- статков ESSO. Пользователь может использовать любые устройства, а для работы достаточно веб-браузера. В каче- стве устройств могут применяться не только ПК и смартфоны, но и голосовые станции, игровые приставки и Smart TV. Расплатой за такую гибкость становится необходимость поддержки со стороны приложений возможности подключения к IDP. Другими словами, приложение должно поддерживать какой-либо из стандартов взаимодействия с IDP. Но большинство популярных приложений и облачных сервисов уже умеют это делать, так что недостатком это не является. При использовании IDP пользователь обращается в приложение, а оно вместо отображения своего экрана входа отправляет серверу запрос на иденти- фикацию. Если IDP уже знает пользо- вателя, то происходит проверка разре- шения на вход в приложение и регист- рация факта посещения. После этого сведения о пользователе, полученные из каталога учетных записей компании, вернутся приложению. Если же IDP не знает пользователя, то попросит его сначала пройти идентификацию и аутен- тификацию. Вместо простой проверки логина/пароля IDP может использовать дополнительные методы аутентифика- ции, в зависимости от контекста входа и политики доступа. Например, при входе в приложение из рабочей сети пользователь может быть автоматиче- ски идентифицирован по результатам проверки в домене (технология Kerberos SSO). Если пользователь хочет зайти в какое-то очень важное приложение или, например, осуществляет вход из сети Интернет с незнакомого устрой- ства, то IDP может запросить подтвер- ждение – потребовать ввести разовый пароль, отправленный по СМС, либо сгенерированный мобильным приложе- нием выработки разовых паролей. Для идентификации IDP может также сам обратиться к внешней системе входа, например к ЕСИА, социальным сетям, Apple ID. Выбор решений IAM на рынке доста- точно разнообразен. Есть решения, кото- рые можно устанавливать на серверах компании, и решения, которые можно арендовать в формате облачного сер- виса (Identity as a Service). Можно также разработать свой IAM на основе Open Source-решений или внедрить проприе- тарное ПО, в том числе разработанное отечественными компаниями, включен- ное в единый реестр российских про- грамм. Еще раз подчеркну, что начинать соз- дание системы управления доступом целесообразно именно с внедрения IAM. l • 11 КОНТРОЛЬ ДОСТУПА www.itsec.ru IAM – это пропускная система для пользователей приложений компании. IAM унифицирует управление идентификацией, аутентификацией и контролем доступа пользователей. Ваше мнение и вопросы присылайте по адресу is@groteck.ru Реклама