16.03.2011

Критерии оценки Single Sign-On решений

При выборе Single Sign-On (SSO) решения, приходится учитывать множество факторов, от которых зависит успешность проекта. Новый продукт необходимо встроить в существующую информационную среду, не создав дополнительной нагрузки на ИТ-службу, и, главное, SSO должно эффективно выполнять свои функции в конкретном окружении компании. В этом посте я постарался собрать вместе и описать критерии, которые полезно учитывать при выборе SSO-системы.

КритерийКомментарий
Поддержка технологии строгой аутентификацииТехнологий Single Sign-On, упрощая жизнь конечных пользователей, может стать причиной снижения информационной безопасности. Если при однократной аутентификации используется пароль (т.н. мастер-пароль), то злоумышленник, узнав данный пароль, автоматически получает доступ ко всем приложениям, входящим в SSO-профиль пользователя. По этому, крайне желательно, чтобы для однократной аутентификации использовались надежные технологии аутентификации.
Какие технологии строгой аутентификации поддерживаются SSO-решениемОтдельно стоит оценить технологии аутентификации, предлагаемые SSO-решением. По этой теме есть хороший пост в нашем блоге.
Как происходит наполнение SSO-профиля доступа сотрудника учетными даннымиВозможные сценарии:

 

  • Централизованное наполнение (администратор указывает логин и пароль)
  • Самообучение (пользователь вводит данные при первом входе)
  • Автоматическая генерация при первом входе в приложение
  • Импорт из файла
  • Импорт из системы Identity Management (IDM)
Централизованное администрирование системыЦентрализованное управление доступом, например, дает возможность оперативно отозвать доступ сотрудника (например, при увольнении).
Доступ к рабочему столу Windows®Возможность использовать технологию строгой аутентификации при доступе к рабочему столу. В этом случае, момент первоначальной аутентификации в SSO-системе, как правило, совмещается в понятной конечному пользователю точке — моменте входа в Windows.
Возможность защитить запуск SSO-приложения с помощью требования повторной аутентификации при каждом входе в приложениеВ большинстве случаев, данная функциональность гарантирует что вход в приложение выполняется в присутствии и с согласия пользователя (т.е. пользователь уже не сможет сказать «Я отошел от ПК и в этот момент кто-то запустил приложение и выполнил какие-то действия»).
Возможность работы в offline-режимеВ offline-режиме недоступна ИТ инфраструктура предприятия. Например, доступ в приложения с ноутбука в командировке.
Поддержка терминального режима работы (терминальные сервера, тонкие клиенты)Позволяет ли SSO-решение выполнять вход в приложения, запущенные на терминальных серверах (Microsoft TS, Citrix Metaframe и т.п.). Поддерживаются ли при этом тонкие клиенты.
Использование ролевой модели предоставления доступа.Ролевая модель позволяет установить соответствие между должностью (ролью) сотрудника и набором приложений, доступном сотруднику.
Аудит событий системыФиксирует ли система факты изменения/предоставления/получения доступа. В каком формате это делается, возможно ли построение отчетов на базе этой информации.
Поддерживаемые платформы приложенийКакие целевые приложения поддерживаются:

 

  • Win32
  • Java
  • Web, Flash
  • консольные приложения.
Возможность поддержки нового целевого приложения силами клиентаМожно ли самостоятельно интегрировать новое приложение в SSO-систему, насколько это сложно сделать.
Возможность поддержки нового целевого приложения силами вендораТакая возможность будет полезна, например, в случае сложного для интеграции приложения.
Необходимость модификации целевого приложенияНужно ли что-то менять в целевом приложении. Как правило, менять приложение очень не желательно (например, можно лишиться технической поддержки, в случае изменения программной части).
Интеграция с популярными Identity Management (IDM) системамиНапример, с Oracle IDM или Microsoft Forefront Identity Management. Интеграция с такими системами позволяет добиться полной автоматизации в предоставлении доступа пользователям. После занесения нового пользователя в систему и определения его должности, (а) для него автоматически создаются все необходимые учетные записи (отрабатывает IDM-решение) и (б) он сразу получает прозрачный доступ во все необходимые приложения (часть Single Sign-On).
Интеграция с СКУД системамиИнтеграция возможно как на уровне носителя аутентификации: использования единой карты для прохода через турникеты и входа в приложения; так и на более глубоком уровне, позволяя, например, учитывать местоположение сотрудника при предоставлении ему доступа в приложения.
Поддержка PKI инфраструктурыВозможность шифрования паролей от приложений сертификатом пользователя.
Возможные хранилища для данных системыКак правило, в качестве хранилища могут выступать

 

  • Active Directory (в этом случае желательно, чтобы расширение схемы не выполнялось, т.к. это не одобряет Microsoft);
  • LDAP-каталог (Samba и др.);
  • СУБД: MS SQL, Oracle DB, MySQL и др.
Системные требования: поддерживаемые серверные/клиентские ОС, аппаратные требования.В т.ч. возможность работы на терминальных серверах.

Читайте еще по теме

Компания Индид инвестирует в Octopus IdM

Компания «Индид», российский разработчик комплекса решений в области безопасности identity, объявляет о заключении стратегического партнерства с компанией Octopus Identity. Об этом сообщил генеральный директор компании «Индид» Алексей Баранов […]

Подробнее

Айдентити Конф 2024: новые технологии и подходы к обеспечению безопасности Identity

31 октября в Москве состоялась Айдентити Конф 2024 – первая и единственная в России конференция на тему безопасности айдентити. Мероприятие прошло при поддержке компании «Индид» – российского разработчика […]

Подробнее
14.08.2020

Выполнение требований PCI DSS V.3.2.1 по защите данных держателей платежных карт

На сегодняшний день тяжело представить себе жизнь без платежных карт. Они распространены повсеместно. Однако в процессе оплаты необходимо передать сервису проведения платежей (включая интернет-сервисы) личные данные, позволяющие осуществить […]

Подробнее

Идея и версионный цикл

«В начале было слово…» ИдеяИдея — это то, что позволяет нам творить, совершенствовать наши продукты, делать их лучше, функциональнее, качественнее, шире! Идея — это то, что появляется у […]

Подробнее
10.08.2015

Компания «Индид» в числе лидеров среди вендоров ИБ-решений

Аналитическое агенство Tadviser опубликовало обзор Безопасность информационных систем, выделив главные тенденции российского рынка ИБ. В обзоре отмечается увеличение числа проектов, направленных именно на безопасность бизнеса, а не на […]

Подробнее