ΕΛ/ΛΑΚ | creativecommons.gr | mycontent.ellak.gr |
freedom

Προκλήσεις και προβληματισμοί για το μέλλον του Identity and Access Management (IAM)

Όταν οι εταιρείες φέρνουν εξωτερικούς χρήστες για εργασία μέσα στις επιχειρηματικές τους δραστηριότητες, μέσω συγχωνεύσεων, εξαγορών, εξωτερικής ανάθεσης και επιτρέπουν την σύνδεση από τους τελικούς χρήστες  μέσω κοινωνικών δικτύων, δημιουργείται πρόβλημα λόγω της ποικιλίας των πρωτοκόλλων που μπορεί να χρησιμοποιήσει το κάθε ένα από αυτά.

Τις περισσότερες φορές αυτά τα εξωτερικά μέρη δεν συμφωνούν να μοιράζονται τη βάση των χρηστών τους. Σε αυτήν την περίπτωση,το identity federation ή η επαλήθευση ταυτότητας μεταξύ τομέων (cross domain authentication) έρχεται να προσφέρει μια λύση σε αυτό το πρόβλημα. Υπάρχουν πρωτόκολλα  που έχουν εξελιχθεί με το χρόνο για να καλύψουν τις απαιτήσεις ενός identity federation όπως τα OpenID, SAML, WS-Federation και OpenID connect. Παρόλο που τα πρωτόκολλα αυτά ήταν σε θέση να καλύψουν αυτές τις απαιτήσεις, καθώς οι εξαγορές και οι συγχωνεύσεις αυξάνονται σε αριθμό, οι λύσεις αυτές εξακολουθούν να αντιμετωπίζουν δύο μεγάλους περιορισμούς:

1) Federation Silos

Όταν υπάρχει απαίτηση federation, οι οργανισμοί θα επιλέξουν ένα από τα διαθέσιμα πρωτόκολλα ως το πιο κατάλληλα για αυτούς και θα προχωρήσουν με αυτό. Κάθε νέο σύστημα που θα ενσωματωθεί θα πρέπει να υποστηρίζει αυτό το πρωτόκολλο, καθώς θα είναι σε θέση να συνεργαστεί με το υπάρχον σύστημα. Αυτό έχει σαν αποτέλεσμα να δημιουργείται ένα anti-pattern  που μπορεί να είναι ένα σιλό με SAML federation, ένα σιλό με OpenID Connect federation ένα σιλό OpenID federation ή κάποιο άλλο πρωτόκολλο. Σταδιακά αυτό καθιστά πάρα πολύ δύσκολη την εισαγωγή ενός συστήματος το οποίο δεν υποστηρίζει άλλο πρωτόκολλο και το σύστημα μας περιορίζεται μέσα στα όρια ενός συγκεκριμένου πρωτοκόλλου.

2) Ταυτότητα σπαγγέτι

Όταν εξετάζεται το ενδεχόμενο μεγάλης κλίμακας ανάπτυξης ενός federation, παρατηρείται αυτό το πρόβλημα. Όταν εξετάζεται ένα σιλό από το παραπάνω σχήμα, μπορεί να υπάρχουν τόσα μέρη που εμπλέκονται σε οποιοδήποτε από τα πρωτόκολλα ως παροχείς υπηρεσιών και παροχείς ταυτότητας σε μια επιχείρηση. Σχεδόν όλα αυτά τα πρωτόκολλα εξαρτώνται από μια σχέση εμπιστοσύνης μεταξύ αυτών των μερών, προκειμένου να λειτουργήσει η αυθεντικοποίηση του federation. Σε μεγάλη κλίμακα αυτό σημαίνει ότι υπάρχουν πολλές σχέσεις εμπιστοσύνης από σημείο σε σημείο που πρέπει να διατηρηθούν όπως παρακάτω. Αυτή η προστιθέμενη πολυπλοκότητα το καθιστά ένα πρόβλημα που πρέπει να απαλλαγούμε από αυτό.

Ως εκ τούτου, απαιτείται ένας μηχανισμός ενσωμάτωσης μεταξύ αυτών των φορέων παροχής υπηρεσιών και των παρόχων ταυτότητας. Αν αυτή η ενσωμάτωση απλώς εστίαζε σε κάθε ενιαία οντότητα που θα αλληλεπιδράσει η επιχείρηση, τότε μπορεί να καταλήξει σε κάτι παρόμοιο με το παρακάτω, το οποίο δεν κάνει τίποτα καλύτερο από αυτό παραπάνω.

Ενσωμάτωση με τα εξωτερικά συμβαλλόμενα μέρη για τη διαχείριση ταυτότητας

Όπως φαίνεται στο σχήμα, εάν ληφθεί αυτή η προσέγγιση, το τελικό αποτέλεσμα είναι ένα σχέδιο δαπανηρό και πολύπλοκο στη συντήρηση του. Αυτό σημαίνει ότι πρέπει να γράφονται adaptors για κάθε νέο μέλος που συνδέεται το επιχειρησιακό σύστημα, το οποίο οδηγεί σε αρκετές επιπλοκές:

  • Οι adaptors πρέπει να είναι γραμμένοι (μπορεί και από το μηδέν) πράγμα που απαιτεί χρόνο και συνεπάγεται σημαντικό κόστος
  • Με την αύξηση του αριθμού των adaptors, η πολυπλοκότητα της συντήρησης είναι υψηλή
  • Λιγότερη επαναχρησιμοποίηση των διαθέσιμων πόρων μια και υπάρχει εστίαση στις προσπάθειες για την συγγραφή adpators
  • Δεν υπάρχει κεντρική τοποθεσία που να μπορεί να ελέγχει τις ταυτότητες που εμπλέκονται στην επιχείρηση.

Η διαχείριση ταυτότητας περιλαμβάνει διάφορες πτυχές, όπως την πιστοποίηση ταυτότητας, την εξουσιοδότηση, τον χειρισμό αιτημάτων των χρηστών, την παροχή χρηστών κ.λπ. Αυτά έχουν κοινούς παράγοντες για όλα τα μέρη, τα οποία μπορούν να επαναχρησιμοποιηθούν μεταξύ τους. Επίσης,  θα πρέπει να υπάρχουν πολιτικές που να είναι αποτελεσματικές σε όλο το σύστημα για την εξουσιοδότηση χρηστών. Με τον παραπάνω σχεδιασμό αυτό είναι πολύ περίπλοκο και δεν υπάρχει ενιαία τοποθεσία που να μπορεί να καλύψει την παρακολούθηση ή τη διαχείριση των απαιτήσεων.

Πηγή άρθρου: http://pushpalankajaya.blogspot.gr

Leave a Comment