Тимур Мухаметгалеев,
руководитель департамента системной интеграции Amphora Group
tmoukhametgaleev@aqt.ru

Развитие современной организации неразрывно связано с внедрением новых технологий, в том числе и информационных. При этом в каждый отдельно взятый момент времени внедряются ИТ-системы, необходимые для решения текущих актуальных задач. В результате в организации образуется множество разнородных ИТ-систем, достаточно слабо связанных между собой, а зачастую и не имеющих стандартных средств взаимодействия друг с другом, - можно сказать, что организация получает "лоскутное одеяло" из разнородных ИТ-систем. Явные признаки такого явления - избыточность и дублирование однотипной информации, хранящейся в разных ИТ-системах, ее противоречивость и, наконец, большой штат специалистов, основной задачей которых становится поддержание этого массива информации в согласованном и актуальном состоянии. Особенно остро проблема "лоскутного одеяла" встает при разграничении доступа сотрудников к конфиденциальной информации в различных ИТ-системах.

Проблематика

В качестве примера возьмем стандартную операцию приема сотрудника в компанию. Попробуем перечислить все действия, которые необходимо выполнить ИТ-подразделению типичной организации после оформления сотрудника на работу (рис. 1).

Fig.1 Рис. 1. Необходимые шаги для включения нового сотрудника в работу.

  1. Новому сотруднику необходимо установить рабочее место (персональный компьютер). Эта задача обычно возлагается на службу поддержки пользователя. При этом зачастую компьютеру присваивается ни с чем не связанное имя - первое, что придет на ум специалисту, выполняющему эту операцию.
  2. Для нового сотрудника нужно завести почтовый ящик, а также учетные записи для входа в корпоративную сеть и доступа в Интернет. Обычно эти задачи входят в зону ответственности одного подразделения или сотрудника.
  3. Необходимо создать учетные записи для сотрудника в других системах, которые он будет использовать для выполнения своих прямых обязанностей, соблюдая при этом необходимые правила информационной безопасности. За администрирование каждой из этих систем обычно отвечают отдельные администраторы. Они обладают всеми необходимыми знаниями для сопровождения и поддержки этих систем, но при этом между собой практически не взаимодействуют. Часто в компаниях это приводит к тому, что полноценное включение нового сотрудника в работу занимает более недели.

Необходимо отметить, что при следовании описанным выше путем возникает ряд проблем, связанных с жизнедеятельностью и ростом предприятия. В ходе развития компании заменяются старые и внедряются новые информационные системы (ИС). Помимо приема новых сотрудников, в этих системах необходимо отражать увольнения и изменения статусов текущих сотрудников. В результате постепенно накапливается целый ворох проблем с актуализацией информации о сотруднике и его правах доступа в различных ИТ-системах, а также с согласованием всех данных о пользователе, хранящихся во всех источниках (рис. 2). Перечислим основные из этих проблем.

Fig.2
Рис. 2. Наиболее типичные проблемы актуализации данных о пользователях.

Сложность процесса администрирования совокупной информации о пользователе. Сложность возникает по причине того, что совокупная информация о пользователе распределена по различным ИТ-системам, - для того, чтобы собрать и увидеть полную картину по одному пользователю, необходимо проанализировать множество разных источников информации.

Большой штат сотрудников ИТ-подразделения. Компаниям приходится содержать множество специалистов, отвечающих за администрирование отдельных ИТ-систем. Одна из причин роста штата ИТ-подразделения - внедрение нового продукта без учета проблем его органичной интеграции в существующую ИТ-инфраструктуру компании. С ростом организации все острее проявляется необходимость в отдельных администраторах для каждой ИТ-системы, а это влечет за собой несогласованность их действий и потерю информации при передаче от одной группы администраторов к другой.

Следствием большого количества администраторов становится сложность внедрения стандартизованного процесса администрирования всех эксплуатируемых ИТ-систем. В такой ситуации крайне трудно заставить получившееся нагромождение систем работать как единый механизм. Приходится учитывать особенности администрирования различных систем, невозможность их прозрачной интеграции стандартными средствами и множество других факторов.

Другой проблемой становится сложность поддержания непротиворечивости всей имеющейся информации о пользователе, распределенной между разными ИТ-системами. Невозможно гарантировать согласованность и корректность этой информации, так как внесение изменений в одной из систем может остаться незамеченным для других систем.

Нередко встречается многократное дублирование информации о пользователе в разных источниках информации. Как правило, наиболее простое решение - многократное дублирование одной и той же информации о пользователе в разных ИС.

Обычное явление для крупных корпораций - сложность получения полной непротиворечивой информации о пользователе. Довольно трудно организовать процесс сбора полной информации, что может привести к появлению противоречивых сведений об одном и том же пользователе в разных ИС.

Отметим, что все перечисленные проблемы сводятся к тому, что объемы и разнообразие форм хранения информации возрастают, а существующие механизмы управления этой информацией уже не обеспечивают ее эффективного использования. Соответственно перед ИТ-подразделением организации встает задача - разработать и внедрить в рамках организации единый инструмент управления информацией о пользователях ИТ-инфраструктуры. Данный инструмент должен обеспечивать следующие функции:

  • создание и внедрение единых политик управления идентификационными данными о пользователях (сотрудниках) компании (identity information);
  • поддержание политики управления identity information в актуальном состоянии;
  • создание единого корпоративного хранилища полной и непротиворечивой идентификационной информации о пользователях компании;
  • обеспечение простоты и прозрачности процедур приема/увольнения/изменения положения сотрудников в компании - как для сотрудников ИТ-подразделения, так и для руководства, а также обеспечение необходимого уровня конфиденциальности в компании;
  • подготовка базы для создания в организации единой точки входа, т. е. механизма управления именами пользователей, их паролями и правами доступа во всех ИТ-системах;
  • обеспечение масштабируемости решения как в плане простого увеличения ИС, которыми оно оперирует, так и в плане расширения перечня характеристик пользователя и усложнения правил работы с идентификационной информацией.

Способы решения

Технических и организационных подходов к решению названных проблем достаточно много, однако необходимо учесть, что эта задача решается на живом организме информационной среды конкретной организации. Известные подходы можно разделить на несколько групп.

Кардинальная перестройка ИТ-инфраструктуры с внедрением единообразных ИТ-систем, имеющих стандартный интерфейс взаимодействия и не требующих глубоких настроек и программирования. Следствием такого решения будет полная перестройка ИТ-инфраструктуры, которая, в свою очередь, не гарантирует решения поставленной задачи в будущем.

Написание собственных интерфейсов взаимодействия между существующими компонентами ИТ-инфраструктуры. Такое решение позволяет сохранить существующую ИТ-инфраструктуру, однако не способно полностью решить задачу внедрения единых политик управления идентификационной информацией.

Внедрение единого интеграционного решения, которое обеспечит как предоставление полной идентификационной информации, так и внедрение единых политик управления этой информацией в различных компонентах ИТ-инфраструктуры, а также обеспечит инструменты для удовлетворения всех остальных перечисленных требований. Такое решение позволит максимально сохранить имеющуюся информационную среду и организовать взаимодействие со всеми ИТ-компонентами для различных сценариев. Важная особенность интеграционного решения - оно должно быть предельно гибким и открытым для дальнейшего развития ИТ-инфраструктуры. Данный подход представляется наиболее рациональным как с точки зрения соотношения ресурсы/покрытие требований, так и с точки зрения перспектив масштабирования. Наиболее полная реализация описанного механизма возможна при внедрении систем класса Identity Management*, именно о них и пойдет речь в этой статье.


* Identity Management (IM) - управление идентификацией.

Компоненты и топология систем IM

Классическая система Identity Management состоит из следующих основных компонентов (рис. 3).

Fig.3 Рис. 3. Концептуальная архитектурная схема классической системы Identity Management.

MetaDirectory представляет собой единое корпоративное хранилище идентификационной информации. Данный компонент консолидирует всю информацию об объекте, собранную из различных источников, таких, как каталоги, базы данных, файлы и т. д. Информация об объекте собирается из всех доступных источников (Система 1, Система 2, ..., Система N), преобразуется в унифицированный и стандартизованный формат хранения, а также проходит проверку на достоверность, после чего сохраняется в MetaDirectory. Данный компонент - это не открытая база данных, он скорее служит репозиторием для системы Identity Management. Доступ к информации из MetaDirectory можно получить через специализированный интерфейс управления или посредством справочника. MetaDirectory должна иметь прикладной интерфейс для общения со справочником и интерфейс управления и предоставлять такие сервисы, как агрегация всей информации об объекте учета в едином хранилище и обеспечение единого унифицированного представления всей известной информации о каждом объекте учета.

Справочник представляет собой набор правил управления идентификационной информацией. Как уже отмечалось, помимо консолидации и обработки информации об объекте ИТ-инфраструктуры, решение Identity Management позволяет реализовать правила управления этой информацией в рамках всей организации. В качестве таких правил можно привести прием/увольнение сотрудника, изменение его служебного положения, а также любые формализуемые бизнес-правила, имеющие отношение к объектам учета, например, изменение паспортных данных сотрудника или членство в группе безопасности. Данный компонент берет на себя выполнение всех необходимых действий, связанных с изменением как отображаемой в различных системах информации об объекте, так и его прав доступа к другим сетевым и информационным ресурсам. Кроме того, данный компонент позволяет формализовать и реализовать наиболее типичные профили таких объектов инфраструктуры, как пользователи, группы, организационные подразделения и т. д.

Справочник предоставляет следующие сервисы:

  • выполнение правил обработки и распространения информации об объекте учета;
  • выполнение правил консолидации и обработки информации;
  • снижение степени избыточности и исключение противоречивости информации, хранимой в разных ИТ-системах;
  • автоматическое создание новых объектов учета и удаление неактуальных объектов учета в подключенных ИТ-системах;
  • повышение эффективности управления информацией.

Адаптеры (коннекторы) - это компоненты, реализующие передачу информации между MetaDirectory и подключенными системами. Они избавляют администратора системы IM от необходимости каждый раз кодировать интерфейс доступа к ИТ-компоненту, в особенности при изменении ширины информационного потока между ИТ-компонентом и системой IM.

Интерфейс управления представляет собой компонент, позволяющий настраивать и администрировать систему Identity Management в интерактивном режиме. Обычно он тесно интегрирован как со справочником, так и с MetaDirectory, и предоставляет средства дальнейшей разработки системы в целом в интерактивном режиме и средства конфигурирования запуска системы IM в пакетном режиме.

Внедрение IM-системы

Как внедрение любой сложной инфраструктурной системы, построение системы Identity Management требует определенных затрат со стороны и внедренческой компании, и заказчика. При этом подрядчик должен обладать необходимыми знаниями в области IM и иметь успешный опыт построения подобных систем.

Зачастую внедрение IM-систем совмещают с модернизацией инфраструктуры организации - например, c переходом с доменов Windows NT 4.0, Windows 2000 и одноранговых сетей к единому лесу Active Directory 2003, с внедрением новых систем доступа в Интернет и т. д. Само по себе такое совмещение - нормальное явление, однако параллельное ведение работ по внедрению системы IM и по модернизации инфраструктуры заказчика уже недопустимо, так как система IM должна опираться в своем функционировании на базовую инфраструктуру заказчика, уже сложившуюся и надежную. Строить систему IM на неизвестной базе нецелесообразно, поскольку впоследствии при реорганизации базовой инфраструктуры с высокой вероятностью придется пересматривать большинство сделанных предположений и реализованных алгоритмов, а это приведет к дублированию работ, перерасходу времени и средств заказчика и, как следствие, к его неудовлетворенности результатом.

Кроме того, реорганизация базовой инфраструктуры сама по себе связана с массой рисков, таких, как неприятие проекта новой инфраструктуры ключевыми сотрудниками, неудовлетворительные результаты испытаний новой инфраструктуры, проблемы организационного плана, проблемы с поставкой аппаратной платформы и т. д. То же самое справедливо по отношению к процессу внедрения системы IM - данный процесс достаточно сильно затрагивает интересы ключевых сотрудников заказчика, отвечающих за вопросы администрирования имеющихся информационных систем и инфраструктурных решений. И наконец, в каждой организации, помимо всех вышеперечисленных аспектов, существует еще целая когорта специфичных именно для этой организации проблем.

Исходя из всего этого, напрашивается вывод о желательности разнесения по времени этапов модернизации существующей инфраструктуры и процесса внедрения системы IM. При этом проектирование новой инфраструктуры и системы IM может идти параллельно, как и их отработка на тестовом стенде.

Опираясь на мировой опыт внедрения сложных информационных систем, можно выделить следующие классические фазы построения систем IM (рис. 4).

Fig.4
Рис. 4. Этапы построения систем Identity Management.

Анализ требований - на данном этапе анализируется текущая практика работы организации, выявляются требования ключевых заинтересованных сторон к системе IM. Результаты данного этапа должны быть оформлены в виде документа, содержащего основные функциональные и нефункциональные требования к системе IM, включая основные сценарии работы.

Проектирование системы - с учетом сложившейся инфраструктуры или спроектированной и одобренной заказчиком инфраструктуры выполняется эскизное и детальное проектирование системы IM. Обычно результаты этого этапа оформляются в виде документа, отражающего основные концептуальные предположения, и технического задания на реализацию системы IM. Кроме того, на данном этапе должны быть формализованы тестовые испытания, включая методику их проведения и параметры тестового стенда.

Реализация и отработка на тестовом стенде с проведением испытаний, имитирующих работу будущей системы как в наиболее типичных, так и в экстремальных условиях, характерных для данной организации. Результат работ данного этапа - реализованная система IM, удовлетворяющая всем изложенным в соответствующих документах требованиям, а также успешно прошедшая тестовые испытания.

Внедрение системы - внедрение спроектированной и разработанной системы в продуктивную среду организации с проведением опытной эксплуатации и приемосдаточных испытаний. После успешной опытной эксплуатации и испытаний система может быть переведена в промышленную эксплуатацию.

Для процесса внедрения системы IM характерны определенные особенности, от учета которых зависит успех процесса построения системы IM в целом. Особенности начинаются на первом же этапе - требуется глубокое изучение всех ИС, вовлеченных в процесс функционирования системы IM. На этом этапе необходимо выявить и описать все атрибуты учетной информации по объекту, выявить специфику процессов рутинного администрирования ИС.

На втором этапе необходимо грамотно спроектировать систему и ответить на следующие основные вопросы:

  • необходимы ли процедуры синхронизации паролей?
  • достаточны ли схемы ИС для включения их в процесс identity management или требуется расширить эти схемы?
  • возможно ли однозначно связать характеристики одного объекта в разных системах с использованием формализованных правил и критериев?
  • какая информация должна обрабатываться системой - ее охват, основные процессы обработки этой информации?
  • необходимо ли реализовать отображение организационно-штатной структуры предприятия в инфраструктуру организации?

Кроме того, следует определить приоритеты подключаемых систем при изменении одной и той же информации об одном и том же объекте, а также форматы взаимодействия системы IM с подключаемыми информационными системами. На этом же этапе необходимо сделать выбор базовой платформы для построения системы IM, если таковая не оговорена заранее заказчиком.

На этапе реализации необходимо в первую очередь наполнить MetaDirectory данными из кадровой системы; при этом часть атрибутов в MetaDirectory останется незаполненной (они будут определены позже). Не стоит подключать все системы сразу - отлаживать взаимодействие всей системы IM лучше поэтапно. На данном этапе стоит также провести предварительное связывание - процедуру, в рамках которой устанавливаются однозначные соответствия между учетной информацией объектов в различных ИС и в MetaDirectory. Выполнение этой процедуры с полной имитацией всех подключаемых ИС позволит выявить все проблемные случаи и начать их устранение. Тем не менее не стоит рассчитывать, что в автоматическом режиме удастся связать все объекты во всех подключаемых ИС, - необходимость ручного связывания, скорее всего, возникнет, но вы уже будете иметь информацию, по которой можно вручную связать объекты.

На этапе внедрения необходимо также четко структурировать выполняемые действия - сначала развертывание базовой платформы, далее подключение кадровой системы и создание в MetaDirectory базовой информации об объектах, затем постепенное подключение каждой новой системы. После подключения всех систем необходимо провести первоначальное связывание (как автоматическое, так и ручное), а затем, убедившись в корректности выполненных действий, можно переключаться на отслеживание всех изменений по объектам учета.

Средства управления идентификацией

Инструменты для управления идентификацией весьма сильно различаются как по функционалу, так и по сложности внедрения и даже по способу лицензирования. Минимальным требованиям к управлению паролями отвечают достаточно простые системы, такие, как v-GO SSO от фирмы Passlogix или Neusine от Castle Systems. Такие решения обеспечивают единую точку входа в ИС предприятия, управление пользователями, коррекцию паролей и некоторые другие функции.

Более масштабные продукты, например, MIIS 2003 (Microsoft), Tivoli Identity Manager (IBM), Identity Manager (Sun), eDirectory (Novell), обладающие развитым функционалом, предоставляют пользователям более впечатляющие возможности автоматизации. Такие системы оснащены исчерпывающим набором функций аутентификации и контроля доступа в крупных корпоративных сетях, способны увеличивать масштаб до миллиарда (и более) объектов, поддерживают широкий диапазон корпоративных приложений, а также обладают мощными инструментами аудита и мониторинга.

Пример внедрения

Российская практика внедрения систем IM пока не богата примерами; фактически она представлена единственным масштабным проектом в ОАО "Аэрофлот - Российские авиалинии".

В компании "Аэрофлот" возникла потребность в реорганизации существующей ИТ-инфраструктуры, включая перестроение процесса управления всеми элементами этой инфраструктуры. Ситуация была хрестоматийной - наличие множества разнородных ИС как прикладного, так и системного назначения; большое количество сотрудников, распределенных по различным офисам. Средний сотрудник использовал в своей работе не менее 5-7 различных ИС, для администрирования которых существовали отдельные группы администраторов, слабо связанные друг с другом. Основные из этих систем и были выбраны для реализации проекта внедрения IM: кадровый модуль, почтовая система, внутренняя система на базе Lotus Domino, система доступа в Интернет, а также новая Active Directory 2003 (развернутая взамен старой инфраструктуры).

На первом этапе был проведен всесторонний анализ ситуации и были обобщены требования к результатам проектных работ. Поскольку была поставлена дополнительная задача модернизировать существующую Windows-инфраструктуру до уровня Active Directory 2003 и провести миграцию пользователей, рабочих станций и серверов в новую инфраструктуру, проект включал в себя две задачи (модернизация + миграция и внедрение IM), и работы выполнялись по обоим направлениям. Заказчику была представлена вся разработанная документация с описанием его текущей инфраструктуры, а также сформулированные требования к результатам проектных работ, включая требования к аппаратному обеспечению.

На втором этапе выполнялось проектирование новой инфраструктуры и процедуры миграции, а также детальный дизайн системы IM. На этом этапе были смоделированы и формализованы форматы взаимодействия системы IM и подключаемых ИС. В качестве базовой платформы было предложено использовать продукт Microsoft Identity Integration Server 2003, так как функционал этого продукта точно соответствовал требованиям заказчика, а наличие специальных интерфейсов (Management Agents) обеспечивало наиболее удобную интеграцию с компонентами сложившейся инфраструктуры.

MIIS 2003

Microsoft Identity Integration Server 2003 (MIIS 2003) - это одна из последних версий пакета Microsoft Metadirectory Services (разработка этого пакета была начата еще в 1989 г. фирмой Zoomit, а в 1999 г. компания была куплена корпорацией Microsoft). Сегодня MIIS представляет собой гибкую среду для поддержания идентичности и синхронизации учетных данных на предприятии. Обеспечивая согласованность учетных данных в разных хранилищах, MIIS 2003 упрощает разработку, внедрение и эксплуатацию метакаталога для организаций любого размера, а также создает удобное представление учетных данных в используемых ИС. Система уменьшает трудоемкость исполнения текущих задач, связанных с администрированием учетных записей, за счет чего снижается вероятность ошибок и возможность рассогласования настроек учетных записей, а значит, уменьшаются предпосылки к возникновению инцидентов с безопасностью.

В ходе третьего этапа на тестовом стенде, максимально точно повторяющем конфигурацию новой Windows-инфраструктуры и типичных рабочих станций, была развернута новая инфраструктура и базовая платформа для системы IM, а также установлены тестовые образцы реальных ИС. На том же этапе проводились итерации по первоначальному связыванию, была разработана и оттестирована процедура синхронизации паролей между всеми системами, подключенными к MIIS 2003.

Этап внедрения повторял все итерации третьего этапа, но уже применительно к продуктивной среде. На заключительной стадии были включены правила для отслеживания изменений идентификационной информации во всех подключенных системах, после чего проект был успешно завершен.

Новая инфраструктура отличается высокой степенью централизации, надежности, устойчивостью к попыткам несанкционированного доступа и возможностью масштабирования под нужды заказчика. По мнению экспертов, новые возможности позволят "Аэрофлоту" заметно увеличить эффективность использования существующих информационных ресурсов, в частности, повысить управляемость инфраструктуры и прозрачность протекающих в ней процессов. Автоматизация рутинных операций позволит высвободить квалифицированные кадры для решения более важных для компании задач в сфере управления ИТ-инфраструктурой и обеспечения необходимого уровня информационной безопасности. Кроме того, внедрение единых продуманных правил управления информацией о пользователях и их правах в эксплуатируемых ИТ-системах уменьшит риск получения несанкционированного доступа к информации или завышенных прав доступа к конфиденциальной информации.

***

Мировой опыт показывает, что системы IM в рамках организации позволяют решить вопросы эффективного управления идентификационной объектной информацией (identity information) в условиях увеличения размеров организации, растущего количества ИТ-компонентов и объема хранящейся информации. Будучи важным звеном в построении надежной системы управления ИТ, включая обеспечение необходимого уровня информационной безопасности, система IM позволяет реализовать внутренние стандарты и бизнес-правила организации, касающиеся управления всей пользовательской информацией и распределения необходимых категорий доступа к корпоративной информации. Это, в свою очередь, дает возможность автоматизировать рутинные операции администрирования, облегчить процесс администрирования в целом и увеличить его прозрачность за счет предоставления достоверной и максимально полной информации о каждом объекте. Кроме того, система IM предоставляет возможность высокоуровневого управления и мониторинга всей массы пользовательской информации из одной точки, что тоже служит достаточно важным аргументом для внедрения подобных систем.