.
В мае 2012 г. аналитик Gartner Марк Диодати опубликовал отчет «Identity Bridges: Uniting Users and Applications Across the Hybrid Cloud» («Мосты идентификации: объединение пользователей и приложений в гибридном облаке») по адресу http://www.gartner.com/id=2008315. Отчет содержит обобщенный анализ эволюции продуктов этого сегмента, о котором я пишу статьи с тех пор, как начал сотрудничать с Windows IT Pro. Диодати удачно назвал эту категорию продуктов мостом идентификации, поскольку речь идет о «наведении моста» между традиционной локальной системой управления идентификацией и доступом (IAM), например, Active Directory (AD) и «облачными» службами, доступ к которым требует предъявления учетных данных для идентификации. Специалистам необходимо знать о тех возможностях, которые несут в себе мосты идентификации, потому что они должны понимать и при необходимости давать рекомендации относительно того, что требуется их компаниям для наведения собственных мостов в «облако».
Возможно, Диодати не имел такого намерения, но я не могу не упомянуть об удачном аналоге «моста идентификации» в скандинавской мифологии. На рисунке вы видите Бифрост –радужный мост в Асгард, обитель скандинавских богов, который соединяет знакомый нам мир смертных (то есть локальную систему идентификации) с призрачной небесной обителью («облачными» службами). Проводя аналогию дальше, заметим, что стражу богов Хеймдалля можно уподобить компоненту, осуществляющему маршрутизацию процесса идентификации и охраняющему «мост» от неправомерных действий. Странно, что компания Nordic Edge, специализирующая на программных средствах управления идентификацией и приобретенная компанией Intel, нуждавшейся в начальном импульсе для выхода на этот рынок, никогда не обращала внимания на эту аналогию.
Рисунок. Бифрост — прообраз моста идентификации |
Отчет Диодати содержит обзор различных типов продуктов и возможностей, которые могут потребоваться для прямого и безопасного подключения локальной системы идентификации к «облаку». Этот анализ охватывает широкий диапазон технологий – от хорошо известных и развитых до тех, чей путь только начинается. Продукты различаются по типу решаемых задач, но все же можно выделить некоторые общие возможности мостов идентификации.
* Федерация на основе единой регистрации (SSO) для доступа к «облачным» службам. Основным компонентом в реализации этой концепции является возможность трансформации маркеров безопасности из стандарта, принимаемого в одной области (например, билетов Kerberos в среде AD), в стандарт, принимаемый в другой области (например, маркеры SAML в среде веб-служб или OAuth в мобильной среде).
* Синхронизация каталогов. Эта функция обычно имеет одностороннюю направленность от поставщика услуги идентификации (например, системы AD в данной компании) к поставщику службы (целевая «облачная» служба) и обеспечивает репликацию изменений, вносимых поставщиком идентификации (например, блокировка учетной записи), на стороне поставщика службы.
* Философия управления на основе принципа «по требованию» Just-in-Time (JIT). Согласно этому принципу, очередная учетная запись создается только тогда, когда пользователь впервые обращается к данной службе. Помимо прочих преимуществ, это означает, что компании начисляется плата за доступ пользователя к службе только тогда, когда он реально начинает ее использовать. Заметим, однако, что концепция JIT распространяется только на создание учетных записей; обновления и удаление должны регулироваться другими методами.
* Службы авторизации (AuthZ), регулирующие правомочность доступа к службам.
* Служба виртуальных дисков (VDS), дающая совокупное представление обо всех разрозненных хранилищах корпоративных данных идентификации.
* Функция хранения паролей. Хотя концепция федерации идентификации направлена на обеспечение безопасного доступа к «облачным» службам, сегодня мелкие поставщики программного обеспечения, реализуемого в виде услуги Software as a Service (SaaS), как правило, не готовы поддерживать федерацию. Вместо этого они используют аутентификацию путем указания идентификатора и пароля пользователя. Функция хранения паролей позволяет сохранять учетные данные пользователей в службе идентификации и воспроизводить их на сайте поставщика SaaS, как если бы пользователь осуществлял прямую регистрацию у них. Кстати, именно так дополнение LastPass (https://lastpass.com/) для браузера реализует функции автоматического ввода логина и пароля при регистрации на разные сайты. Упомянутую функцию хранения паролей я встречал только в составе решений, поставляемых в форме арендуемой службы идентификации Identity as a Service (IDaaS).
Некоторые мосты идентификации (например, служба федерации Active Directory (AD FS) от Microsoft) не имеют SaaS-компонента (даже при наличии Windows Azure AD), но многие из них тесно интегрированы со службами управления идентификацией, либо полностью основаны на службах. Стандартным компонентом быстро стало управление мобильными устройствами с возможностью распространения учетных аутентификационных данных на смартфоны и планшеты.
Подобно многим рыночным сегментам, начало рынку мостов идентификации было положено вновь создаваемыми фирмами, предлагавшими уникальные продукты специального назначения. По мере развития рынка новые предприятия перерастают в более крупные компании с широкими наборами продуктов, комбинирующих более широкие возможности и часто решающих несколько задач, относящихся к сфере идентификации. Эти компании часто приобретаются ведущими участниками рынка, желающими войти в данный сегмент, либо быстро дополнить свои продукты новыми возможностями. На данном уровне развития появился особый класс продуктов, который Диодати называет супермостами. Эти продукты имеют расширенный набор возможностей (например, организация хранения или выравнивание сетевой нагрузки), выходящих за рамки простого обслуживания идентификации.
Обзор Диодати позволяет быстро постичь различные аспекты технологии «наведения мостов» для систем идентификации, и понять, кому принадлежат ключевые роли на этом рынке. Рынок быстро развивается, и можно предположить, что через год одни фигуры сменятся другими, хотя большая часть основных технологий сохранит актуальность. И словно бы для того, чтобы сделать акцент на грядущих изменениях и на своей вере в дальнейшее расширение этого рыночного сегмента, Диодати в августе ушел из Gartner в Ping Identity. Отчет можно загрузить с сайта Ping Identity по ссылке «Identity Bridge + Identity-as-a-Service: Where will it take you?» (https://www.pingidentity.com/landing-pages/catalyst-2012.cfm). Я продолжу обсуждение этой темы и буду держать вас в курсе интересных разработок.