Бесплатные Open Source Identity Management Tools: использовать или нет

Цифровые продукты часто строятся на алгоритмах из реальной жизни. Когда журналисту нужно попасть на завод, пресс-служба готовит заявку на выдачу разового пропуска. Чтобы получить его, человек на проходной показывает свое удостоверение или паспорт. Охранник сверяет данные с теми, что указаны в заявке, и выдает разовый пропуск. Далее журналист может войти, посетить заранее разрешенные площадки и выйти из здания.

Таких заявок на пропуск, отделов-инициаторов и проходных на заводе бывает много. В цифровом пространстве ситуация повторяется. Только заводом здесь становится корпоративная сеть, отделами – все системы, пропуском – security token, паспортом – логин-пароль, а централизованной службой охраны на проходных – IAM-инструменты. Для чего их используют и достаточно ли opensourse-решений для полноценной защиты бизнеса, читайте в этой статье.

Что такое IAM

Системы управления идентификацией и контроля доступа (Identity & Access Management, IAM) – один из ключевых инструментов кибербеза на современном предприятии. Особенно актуальными такие решения стали сейчас, когда многие компании и сотрудники выбирают удаленный формат работы. Теперь безопасный доступ к ресурсам часто приходится обеспечивать не только локально, но и удаленно.

Проще и логичнее сделать это именно с IAM. Системы этого класса помогают управлять учетными данными и контролировать доступ пользователей к email, базам данных, архивам документов и другим цифровым ресурсам организации.

Главная задача IAM, как и в целом всех представителей класса Identity Management System, – пропустить в сеть тех, кому это нужно для работы, и вовремя обнаружить несанкционированный доступ киберпреступника.

Эксперты выделяют два разных подхода к IAM:

• технологии единого корпоративного входа (ESSO – Enterprise Single Sign-On). Пользователь может переходить от одного приложения к другому, если уже до этого вошел в общую сеть. Повторная аутентификация не требуется;
• поставщики идентификационной информации (IDP – Identity Provider, Web SSO). Технология предоставляет единый сервис аутентификации (провайдер) для всех систем в компании. Для доступа к ним формируется только одна учетная запись.

Оба подхода эффективны в главном – они избавляют бизнес от парольного хаоса. Также благодаря ESSO и IDP пользователи могут не вводить логины-пароли каждый раз, когда приходится запустить новую программу на рабочем компьютере. Это экономит время и нервы сотрудников. То же самое касается ИБ-специалистов – им не приходится восстанавливать или обновлять забытые пароли к всем приложениям.

Как это работает

Чтобы обеспечить безопасную работу с учетными данными, IAM-инструменты запускают грамотное управление удостоверениями и доступом. В первом случае решение сверяет информацию, которую ввел пользователь при попытке входа, со своей базой данных. В ней собираются все сведения о пользователях, которым нужно давать доступ. Чем информация актуальнее, тем эффективнее работают IAM-решения.

Что касается управления доступом, то здесь проходит проверка прав пользователя: на какие ресурсы они есть, какая функциональность разрешена и т.д. Обычно уровни доступа выдаются группам пользователей – руководство, бухгалтерия, участники проекта и т.д.

OpenIAM и другие решения с открытым кодом

Крупные организации рассматривают платные инструменты, а малый и средний бизнес – бесплатные альтернативы. Правило работает почти всегда, когда в компании требуется новое ПО. И случай с IAM – не исключение.

Сергей Полунин

Руководитель группы защиты инфраструктурных ИТ компании «Газинформсервис»

Я бы отметил несколько бесплатных решений. Во-первых, это Keycloak, который вообще-то заточен на аутентификацию сторонних приложений, но умеет работать и с конечными пользователями.

Затем нужно отметить FreeIPA, которая фактически является централизованным средством аутентификации и авторизации для пользователей в самом широком смысле. Ну и наконец, OpenIAM, на базе которого построены многие коммерческие решения.

По словам эксперта, в бесплатном варианте OpenIAM содержит в себе средства единого входа, управления пользователями и группами, а также все необходимые инструменты для управления. В подарок к нему идет крупное сообщество разработчиков и пользователей, которые готовы помочь с решением возникающих вопросов.

Кроме того, в список лучших бесплатных Open Source Identity Management Tools входят такие IAM-инструменты, как:

• Gluu,
• Shibboleth,
• Casdoor,
• Zitadel и др.

Во многих решениях с открытым кодом есть минимально необходимый функционал. Однако часто на практике его бывает недостаточно, поэтому некоторые компании выбирают свой путь – они сами пишут IAM, как правило, на Haskell или Clojure. Но таких случаев немного, так как собственное решение – это сложный, длительный и очень затратный процесс.

Когда лучше заплатить

Иногда компании решаются на собственные IAM из-за своих убеждений. Синдром неприятия чужой разработки – хоть и не популярное явление, но все еще вынуждает некоторые компании тратить миллионы на изобретение велосипедов.

Хотя обычно от opensource-решений отказываются по более банальным причинам. Первая – если не удается добиться нужного уровня стабильности на практике. Вторая – когда OpenIAM и другие бесплатные аналоги не закрывают приоритетные задачи идентификации и управления доступом, которые есть в компании.

Сергей Полунин

Руководитель группы защиты инфраструктурных ИТ компании «Газинформсервис»

Тогда начинается поиск коммерческого решения, которое, кстати, может быть построено и на базе решения с открытым исходным кодом. Отличие будет в том, что вы получите законченный продукт, у которого есть понятная техническая поддержка и разработчик. Он может добавить нужный именно вам функционал, если это потребуется.

В любом случае при выборе IAM важно оценить полную стоимость решения задачи, включая затраты на сотрудников и возможные риски. Бесплатный софт для разработчика не всегда будет бесплатным для бизнеса – напоминают эксперты.

Алексей Хмельницкий

Генеральный директор RooX

В области IAM вполне справедливо правило 80 на 20: для 80% компаний достаточно 20% функций системы. На начальном этапе проекта потребуется стандартный набор возможностей: поддержка OIDC, пара факторов аутентификации и несколько простых сценариев для пользователей. Команда разработчиков довольно легко решит такую задачу, используя любой современный модуль IAM.

Однако вместе с бесплатным софтом идут затраты на его доработку и эксплуатацию. Последующие обновления программного обеспечения будут платными, а продукты IAM часто обновляются по причинам безопасности.

Так, по словам Алексея Хмельницкого, затраты кардинально возрастут, когда понадобится выйти за пределы 20% базовых потребностей бизнеса. В итоге решение нестандартных технических задач может потребовать от внутренней команды гораздо больше времени и ресурсов, чем покупка модуля у специализированного вендора.

Выводы

Конечно, управление идентификацией и доступом в компании – это не только бесплатные, платные и собственные цифровые решения. Понятие IAM намного шире. Помимо инструментов, оно включает в себя четко выстроенные бизнес-процессы и политики.

Иначе говоря, IAM комплексно упрощает работу с учетными записями, обеспечивает их защиту и помогает ИБ-специалистам избавиться от рутины и лишней суеты. И это главная цель внедрения IAM. Времени для важных задач должно стать больше, а отношения в коллективе – лучше.