Organizatiile sunt din ce in ce mai interesate sa isi multe masinile virtuale, aplicatiile si serviciile in cloud. Principalele beneficii cautate sunt scalabilitatea, elasticitatea si agilitatea pe care tehnologiile cloud le ofera din plin. In consecinta, noul data center nu mai este on premises, noul data center este cloud-ul. Insa nevoia de a face un management al accesului la aplicatii pentru utilizatori nu s-a schimbat.
In mod traditional, tool-urile folosite in managementul identitatii utilizatorului au fost reprezentate de LDAP sau Microsoft Active Directory. Si pot fi folosite fara probleme atunci cand aplicatii se afla localizate in data center-ul local, on-premises. Insa nu sunt la fel de potrivite pentru o aplicatie de tip SaaS sau gazduita in cloud-ul unui furnizor de astfel de servicii. Pentru organizatiile care trebuie sa urmeze cerintele de securitate referitoare la acordarea si revocarea accesului la aplicatii din standarde precum PCI DSS, GDPR sau HIPAA pot exista repercusiuni serioase (pierderea increderii clientilor, amenzi semnificative, downtime in activitate) daca aceste cerinte sunt implementate intr-o maniera deficitara.
O referinta pentru implementarea masurilor necesare de control al accesului utilizatorului este standardul NIST S P 800-53 Rev. 5 care mentioneaza 25 de masuri de control cu 115 submasuri referitoare la managementul conturilor, acordarea de drepturi si implementarea principiului “least privilege”. Adoptia si folosirea unei aplicatii cloud-based suna acum ca un task extrem de anevoios care nu va face decat sa introduca un risc aditional si sa consume si mai mult timp si mai multe resurse din departamentul IT. Dar acest lucru nu trebuie neaparat sa se intample.
Utilizatorii sunt nevoiti sa aiba cate un cont pentru fiecare aplicatie pe care o folosesc in vederea desfasurarii activitatilor zilnice. Acest lucru creste gradul de oboseala si de stres pe care user-ul il experimenteaza. Fiecare cont in parte trebuie gestionat corespunzator: creare, modificare de parola, reset de parola, stergere cont. Oare exista o alternativa?
Da, si ea poarta numele de Identity Federation. Identity Federation reprezinta un mod de a stabili o relatie de incredere intre doua organizatii cu scopul de a valida identitatea utilizatorilor si de a transmite informatiile necesare pentru stabilirea nivelului de acces la resurse, cu scopul de a reduce la minim numarul de autentificari necesare din partea user-ului. Un mare avantaj pe care sysadmin-ii il au atunci cand folosesc Identity Federation este ca aceeasi relatie de incredere poate fi re-utilizata de organizatie cu mai multi furnizori de servicii cloud (ca Dropbox, DocuSign, Salesforce, etc).
Standardul folosit este SAML 2.0 (Security Assertion Markup Language) permite o autentificare in aplicatii de tipul Single Sign On (SSO) si implica existenta unui “identity provider – IdP” cu rolul de a transmite credentialele de autorizare ale user-ului unei organizatii catre un “service provider-SP”, furnizorul aplicatiei cloud. Exemple de identity provider sunt Azure AD, Google Workspace, Okta, OneLogin si alti cativa. Avantajele autentificarii de tip SAML SSO fata de logare cu username si parola sunt:
- eliminarea nevoii de a introduce la fiecare autentificare credentialele de acces
- eliminarea nevoii de a tine minte parola de acces si de a o reinoi periodic
- eliminarea parolelor slabe, usor de ghicit
- o mai buna experienta pentru utilizator
- mai putine tichete de deblocare a conturilor sau resetare de parole pentru departamentul IT
- o postura de securitate mai buna pentru organizatie
Permisiunile acordate fiecarui utilizator pot fi controlate printr-o politica de tipul RBAC (role-based access control), iar conturile utilizatorilor pot fi sincronizate cu furnizorul de identitate-IdP folosind protocolul SCIM-System for Cross-domain Identity Management. Organizatiile pot folosi SCIM pentru a proviziona sau decomisiona user-ii din Azure AD catre un IdP compatibil precum Okta.
Avand aceste trei elemente (SAML pentru autentificare, RBAC pentru permisiuni si SCIM pentru provizionare), se poate face trecerea de la modelul “un singur utilizator – mai multe conturi” la modelul “un singur utilizator – un singur cont”. Organizatiile pot obtine astfel o centralizare a conturilor folosite de utilizatori si o administrare mult mai usoara a acesora care reduce riscul si complexitatea asociate cu managementul user-ilor, si ca bonus, experienta user-ului este mult imbunatatita.
Mihai Dumitrascu, Sr Systems Engineer
