Identity-Management: Verwalten von Identitätslebenszyklen
Es gibt eine Reihe von Lösungen und Strategien für die Identitäts-und Zugriffsverwaltung in Ihrer Organisation, und es ist wichtig, dass Sie die richtigen Kontrollen verfügen.
Darren Mar-Elia
Adaptiert von "Schutz kritische Daten von Active Directory Identity Lifecycle Management" (Realtime Publishers)
Identitäts-und Zugriffsverwaltung ist letztlich zum Verwalten des Zugriffs auf Ihre Unternehmensressourcen. Benutzer authentifizieren sich an Ressourcen mit ihrer Identität, dann verwenden Sie die Eigenschaften dieser Identität (z. B. Gruppenmitgliedschaft) autorisierten Zugriff auf Ressourcen zu erhalten.
In einem typischen mittelständischen und großen Unternehmen finden Sie möglicherweise die folgende Identität-Quellen:
- Active Directory®
- Anderen Verzeichnisdiensten
- HR-Systemen
- Datenbanken
- Benutzerdefinierte Line of Business (LOB) Anwendungen
- Drittanbieter-Software als Service (SaaS) Webanwendungen
- Lokalen Systemkonten unter Windows, Linux oder Unix
Alle diese Identität speichert die aktuellen Herausforderungen. Jeweils erfordert eine eigene Bereitstellung Ereignis (und de-provisioning-Ereignis) in was in der Regel unterschiedliche Datenspeicher sind: Verzeichnisse, Datenbanken, flat Files oder in einigen Fällen, proprietäre Formate. Jeder hat seinen eigenen Satz an Autorisierungsmechanismen und einzigartige Art und Weise Zugang gewähren.
Windows Sicherheitsgruppen verwendet, Datenbanken wie Oracle verwenden benutzerdefinierte Rollen in die Datenbank integriert und anderen LOB-Anwendungen verwenden unterschiedliche Mechanismen. In letzter Zeit sind SaaS-Anwendungen verbreitet, immer was bedeutet, dass Sie jetzt erforderlich sind, um Zugriff auf interne und externe Anwendungen bereitstellen.
Es ist wichtig, nicht verwischen die Grenzen zwischen Authentifizierung und Autorisierung. Einige Produkte können für die Authentifizierung (z. B. über Kerberos) in Active Directory integrieren, aber immer noch ihre eigenen Autorisierungsmechanismen, die direkt zu Active Directory sind z. B. Sicherheitsgruppen nutzen nicht. Diese Art von gemischten Integration kann oder kann nicht helfen, Ihre Bereitstellung Prozesse.
Diese Mischung aus Identität speichert erhöht die Komplexität um Sicherstellung der richtige Anwender in Ihrer Umgebung bereitgestellt sind, und de-provisioned, wenn die Zeit kommt. Es erhöht auch die Bedeutung der Lifecycle-Management im Ort haben, weil es viel einfacher zu "verlieren" wird von Identitäten, wenn sie nicht alle gestrickt, zusammen mit einen gemeinsamen Rahmen. Viele Organisationen hatten weit mehr Identitäten, die in einem System gespeichert, als sie Benutzer hatten. Warum das war die Frage, die Antwort war in der Regel etwas wie, "Oh, das sind alte Benutzer, die nicht mehr hier sind." Diese Art von Armen Identitätsmanagement ein Rezept für nicht autorisierten Zugriff fehlgeschlagen Prüfungen oder beides.
Identitätsspeichern reduzieren
Wenn Sie in einer der Organisationen, die eine Vielzahl von Identitätsspeichern sind, wissen Sie bereits, dass Sie Ihre Arbeit in Bezug auf die Verwaltung aller diese Identitäten in einem kohärenten Rahmen für Sie ausgeschnitten haben. Aber es gibt einen weiteren Punkt zu berücksichtigen. Eine Möglichkeit besteht darin die Verringerung der Zahl der Identitätsspeichern finden gemeinsame Identitätssysteme, in denen Sie anderen Standalone-Systeme reduzieren können. Active Directory wird zunehmend die gemeinsame Identität-System für weitere Systeme und Anwendungen.
Gibt es von Drittanbietern und integrierte Produkte, mit denen Sie mithilfe von Active Directory als primäre Authentifizierungsmechanismus für Linux, Unix und Mac. Diese Lösungen nutzen in der Regel die Pluggable Authentication Modules (PAM)-Architektur innerhalb dieser Betriebssysteme, Active Directory als eine Kerberos-Authentifizierung-Bereich für diese Systeme fast die gleiche Weise handeln, die Windows-Systemen zu tun zu lassen.
In der Tat können mit vielen dieser Mechanismen, Sie "Linux, Unix oder Mac Computer beitreten Active Directory" genauso wie Windows-PCs oder Servern. Statt sich bei Unix- oder Linux-Systemen, die mithilfe eines lokalen Kontos anmelden, können Sie jetzt ein Active Directory-Konto verwenden, Ihre Benutzer zu authentifizieren und autorisieren sie letztlich auf Unix-Ressourcen mithilfe von Active Directory-Gruppen.
Alle Anwendungen, die auf die nicht-Windows-Kisten, die PAM zum Authentifizieren und Autorisieren von Benutzern lokale Konten verwenden können jetzt Active Directory-Integration verwenden, um Active Directory-Konto-Authentifizierung und Autorisierung zu unterstützen. Diese Situation wird wieder anwendungsabhängig, aber es bedeutet, dass Sie einige Active Directory-Integration "kostenlos" erhalten können, wenn Sie die Basis OS integrieren.
Darüber hinaus unterstützen viele Anwendungen von Drittanbietern und Anwendungsplattformen, Authentifizierung und Autorisierung mithilfe von Active Directory in irgendeiner Form, einschließlich verpackte Anwendungen wie SAP und Java Web-Application-Server von Oracle Corp. und IBM Corp. Auch Oracle-Datenbanken unterstützen die Authentifizierung und Autorisierung Integration in Active Directory unter Verwendung verschiedener Integrationsmethoden gerade Kerberos für die Integration in LDAP-Verzeichnisdienst von Oracle.
Identität-Vorteile
Unabhängig von der Methode, die Sie verwenden, gibt es offensichtliche Vorteile bei dem Versuch, die Anzahl der Identitätsspeichern reduzieren, was Sie in Ihrer Identität-Management-Lebenszyklus zu falten. Wenn Active Directory den Punkt der Konsolidierung vieler Ihre Business-Anwendungen und Systeme werden können, können Sie auf Bereitstellungs- und de-provisioning Aufgaben in Active Directory konzentrieren. Die Aufgabe des de-provisioning eines Benutzers von den meisten Ihrer internen und externen Systemen und Anwendungen kann somit einfach eine Frage der Deaktivieren eines Benutzerkontos in Active Directory und an wenigen anderen Orten werden.
Es ist nicht ungewöhnlich, dass Identität durch HR-System eines Unternehmens beginnen. Dieses System legt dann, dass Identität heraus zu anderen Identitätsspeichern, wie Active Directory oder anwendungsspezifischen Identitätsspeichern erforderlich. Es ist in der Regel die Aufgabe eines formalen Bereitstellung und de-provisioning System einflog, diese Arten von Updates über die verschiedenen angeschlossenen Systeme — synchronisieren Identitäten und Herausnehmen aus allen angeschlossenen Systemen, wenn der Benutzer die Organisation verlässt.
Solche Lösungen möglicherweise ihre eigenen Verzeichnisdienst, wo alle diese Daten aus den angeschlossenen Systemen zusammengefasst. Dies ist häufig ein Meta-Directory bezeichnet. Die Lösung kann einfach verfolgen die Zuordnungen zwischen verbundenen Systemen, Zuordnen von Schlüsselfeldern in einem System zum anderen der.
Diese Zuordnung soll ein Feld zu finden, die einen Benutzer in allen Identitätsspeichern eindeutig identifiziert. Sichergestellt wird, dass John Smith in Active Directory ist der gleiche John Smith gerade eingestellt von HR und der gleichen John Smith , der Zugriff auf spezifische Anwendungen aufgrund der Identitäten hat, die den Meta-Directory speichern. Und wenn John Smith die Organisation verlässt, seine Benutzer-ID aus dem HR-System, Active Directory und den anwendungsspezifischen-Speicher in einem Arbeitsgang deaktiviert ist.
Risikominimierung
Es ist eigentlich ganz wichtig, ein System für Identity Lifecycle Management verfügen. Es gibt echte, on-the-Ground Gründe für den Aufbau eines Systems, die protokolliert, die in Ihrer Organisation vorhanden ist und was sie zugreifen können: Gründe wie Datenverlust, Regulierungsrisiken und geschäftlichen Auswirkungen.
**Datenverlust:**Ohne Zweifel einer der gruseligsten Risiken die meisten Unternehmen, die sich mit privaten Informationen — z. B. Kundendaten — Gesicht ist der unbeabsichtigten Verlust der Informationen. Eine ziemlich große Organisation heute steht eine beliebige Anzahl von Möglichkeiten für Datenverlust: von Mitarbeitern, die mit Kunden raus Listen auf USB-Sticks zur Führungskraft immer seinen unverschlüsselten Laptop mit sensible Finanzdaten gestohlen von einer Flughafenlounge. Einige Szenarien sind vermeidbar, mit der richtigen Werkzeuge und Verfahren, aber mit Abstand einer der schlimmsten Fehler, die Sie vornehmen, können Datenverlust aufgrund jemand die falsche Ebene des Zugriffs oder haben Zugang zu Systemen, die sollte längst beseitigt haben soll.
Diese Szenarien sind schlecht, weil sie alle vermeidbaren mit einem kohärenten Identität-Plan, der konzentriert sich sind auf den gewährleistet gute Prozesse und gute Automatisierung sind jedes Mal, wenn ein Benutzer eingibt, Arbeitsplätze ändert oder die Organisation verlässt. Datenverlust ist besonders schlimm in der heutigen Internet-Welt, da online-Reputation des Unternehmens und seiner Fähigkeit, zu behalten oder verlieren ihre Kundendaten haben können einen direkten und unmittelbaren Einfluss auf seine untere Linie und der Grad des Vertrauens hat es mit seinen Kunden.
Wie plant eine gute Identitätsmanagement im Ort Hilfe Datenverlust? Einfache — Wenn Sie gute Kontrolle über die Nutzer die auf Ihre Systeme und gute Verfahren haben für die Gewährung der Zugriff nur auf die Daten notwendig, um ihren Job zu authentifizieren können, sind die Chancen, die die falschen Daten in die falschen Hände fallen werden stark reduziert.
Der beunruhigende Teil dieser Herausforderung ist, dass sich die Bedrohungslage schnell verändert. Eine kürzlich Bericht über Datenschutzverletzungen, die im Auftrag von Verizon zeigt, dass zwar externe Angriffe auf Unternehmen immer noch ein wichtiger Vektor für Datenverlust, interne Bedrohungen aus beiden unbeabsichtigten Fehlern aufgrund schlechter Systemsicherheit sowie organisierten Betrug Bemühungen ein wichtiges Anliegen sind.
In der Tat in einem Nicken in Richtung haben gute Identität Steuerelemente vorhanden, zeigt die Verizon-Umfrage, dass eine große Mehrheit der internen Bedrohungen sind "normale" Nutzer keinen privilegierten Zugang verübt. So können gute Steuerelemente vorhanden um Zugriff auf Daten und Systeme einen nachweislichen Einfluß auf die Verhinderung von Datenverlust durch interne Benutzer gebogen auf bösartigen Aktivitäten haben. Diese Steuerelemente sind nur möglich, wenn Sie ein System, die Bereitstellung und die richtigen Benutzer zu identifizieren, mit der richtigen Zugriffsebenen haben, z. B. Wenn Sie ein Bereitstellungssystem verfügen, die eines Benutzers Berechtigungsstufen basierend auf seine Business-Funktion identifiziert.
**Regulierungsrisiken:**Das Risiko von Daten kommt Verlust die damit verbundenen Risiken für Unternehmen unterliegen gesetzlichen Vorschriften. Vorschriften, wie z.B. der Sarbanes-Oxley Act (SOX), Gesundheit Insurance Portability and Accountability Act (HIPAA), Payment Card Industry (PCI) und andere haben unterschiedlichem explizite Rezept, wenn es um Methoden zum Schutz von Kunden- und nicht öffentliche Daten geht.
Diese Regelungen schreiben vor, dass solche Daten geschützt werden müssen. Gibt es steife Geldstrafen und möglichen kriminellen Verzweigungen von grober Fehler, solche Daten zu schützen. Wenn Ihre Organisation solchen Regelungen unterliegt, und Sie keinen guten Plan haben, sich die Vielfalt der Risiken um Datenmissbrauch angehen, bitten Sie Ärger. Zusätzlich zu den anderen Steuerelementen können Einführung eines festen Identität-Management-Plans Sie erhalten bessere Kontrolle, wer auf Ihre Systeme zugreift.
**Geschäftliche Auswirkungen:**Neben Daten-Verlust und Compliance-Risiken ergibt gute Identitätsmanagement bessere Systemverfügbarkeit und weniger Datenproblemen. Identity Managementsysteme steuern den Zugriff auf nicht nur Geschäftsdaten und Anwendungen, sondern auch Systeme. Setzen einen "geringsten Berechtigung" Plan für die Systemautorisierung an Ort durch Ihr Identity-Management-System, so dass nur die Administratoren auf Serverressourcen zugreifen, für die sie verantwortlich sind, gehen einen langen Weg zur Vermeidung unerwünschter Serverausfälle.
Was Sie unter allen Umständen vermeiden möchten, ist ein Administrator mit Privilegien weit größer als seine Rolle einer Änderung an dem falschen Server zur falschen Zeit und bringen Sie Ihre Business-Systeme. Es gibt unzählige Anekdoten von Administratoren mit Domänen-Admins Zugriff auf Active Directory — das ist im wesentlichen uneingeschränkten Zugang zum Lesen und schreiben die meisten Objekte in Active Directory — versehentlich eine kritische Anwendungsdienstkonto oder versehentlich Verschieben von Objekten von einer Organisationseinheit (OU) zum nächsten.
Dadurch können verschiedene Gruppenrichtlinien auf Organisationseinheiten anwenden und anschließend ihr Verhalten ändern. Entweder dieser Beispiele möglicherweise genug, um einen großen Ausfall verursachen, nur weil jemand nicht Politik zu verfolgen, als es Zeit zur Bereitstellung von einem Benutzerkonto kam und gewährt diesen Benutzer weit mehr Rechte, als er benötigt oder Stellwerksgebäude behandeln.
Gruppenrichtlinien sind ein weiterer Bereich, der ist reif dafür, dass ein gutes System Platz zum Steuern, wer zugreifen und Änderungen vornehmen kann. Gruppe-Policy-Änderungen haben eine enorme Auswirkung auf einer Organisation. Diese Arten von Änderungen profitieren von stellt sicher, dass das Delegationsmodell um Gruppenrichtlinien streng kontrolliert wird. Dies beinhaltet in der Regel, sicherzustellen, dass Benutzern in der richtigen Active Directory-Gruppen sind, die Gruppenrichtlinienobjekte ändern können.
Gewähren von Berechtigungen
Das Endergebnis mit all diesen Fragen ist, dass eine gut Identity-Management-System im Ort — mit einer standard-Prozess für die Bereitstellung und Aktualisierung von Benutzerkonten mit ihren richtigen Gruppen und andere Berechtigungen — sorgt der richtige Benutzer haben Zugriff auf die richtigen Ressourcen.
Denken Sie daran, dass "Berechtigungsvergabe" Ressourcen dazu die tatsächlichen Gewährung ist nicht als Teil des Benutzers Bereitstellungsprozess abgedeckt. Es ist jedoch eine wichtige Voraussetzung für die Möglichkeit, Ihre Identität Bereitstellungsprozess richtig zu nutzen.
.jpg)
Darren Mar-Elia ist eine Microsoft Gruppenrichtlinien-MVP, Schöpfer des populären Gruppenrichtlinien-Website gpoguy.com und Mitautor von "Microsoft Windows Group Policy Guide" (Microsoft Press, 2005). Außerdem ist er CTO und Gründer von SDM Software Inc.
Für weitere Informationen zu dieser und anderen Titeln von Realtime Publishers, check-out Realtime Publishers.