[su_note note_color=”#66ecff”]Στην σειρά των άρθρων ADFS vs. Password Sync θα παρουσιάσουμε αναλυτικά τις εναλλακτικές λύσεις με τις οποίες μπορεί να γίνει εφικτή η σύνδεση με μία ταυτότητα χρήστη (Single Sign On), στις υπηρεσίες που παρέχει η επιχείρηση είτε αυτές βρίσκονται στο εσωτερικό της δίκτυο (on premises) είτε φιλοξενούνται στο Cloud[/su_note]
Εισαγωγή
Είναι πλέον φανερό πως οι υπηρεσίες υπολογιστικού νέφους, δηλαδή εκείνες που προσφέρονται στο Cloud, κερδίζουν διαρκώς έδαφος και υιοθετούνται όλο και περισσότερο από τις σύγχρονες επιχειρήσεις.
Οι εταιρείες χρησιμοποιούν το Public Cloud, όπως για παράδειγμα το Windows Azure, σαν πλατφόρμα φιλοξενίας των εφαρμογών τους αλλά και της υποδομής τους αφού βρίσκουν σε αυτό, την αξιοπιστία και την υψηλή διαθεσιμότητα που τους είναι απαραίτητες.
Εκτός όμως από το Public Cloud σαν πλατφόρμα φιλοξενίας, περισσότερο δημοφιλείς είναι οι υπηρεσίες και το software που παρέχονται με την μορφή της συνδρομητικής υπηρεσίας, το λεγόμενο Software as a Service. Τέτοιου είδους υπηρεσίες είναι, ενδεικτικά, οι εξής :
- Microsoft Office 365
- SharePoint Online
- Exchange Online
- Lync Online
- Microsoft CRM Online
- Windows Intune
- Salesforce
Για την πρόσβαση στις επιχειρηματικές εφαρμογές που φιλοξενούνται στο Cloud αλλά και στις υπηρεσίες που παρέχονται με την μορφή του SaaS, όπως και για τις αντίστοιχες εφαρμογές και τα συστήματα στο εσωτερικό δίκτυο της επιχείρησης, αναγκαία είναι η έκδοση και η χρήση της «ταυτότητας χρήστη» του λεγόμενου User Identity.
Είδη ταυτότητας χρήστη
Ο μηχανισμός έκδοσης «ταυτότητας χρήστη» στο εσωτερικό δίκτυο μιας επιχείρησης είναι το Active Directory, που εκτός των άλλων θεσπίζει και επιβάλλει την πολιτική ασφάλειας στην πρόσβαση της πληροφορίας, σύμφωνα με τις ανάγκες.
Στην περίπτωση των εφαρμογών που φιλοξενούνται στο Windows Azure, αλλά και για όλες τις Microsoft Online υπηρεσίες όπως το Office 365, Windows Intune, CRM online κ.λ.π., τις απαραίτητες «ταυτότητες χρήστη» τις εκδίδει το Windows Azure Active Directory.
Επομένως γίνεται φανερό ότι οι ταυτότητες χρήστη είναι δύο ειδών, εκείνες που εκδίδονται και ισχύουν στο εσωτερικό δίκτυο της επιχείρησης, On-Premises Identities, και εκείνες που εκδίδονται και ισχύουν για την πρόσβαση στις Online εφαρμογές του Cloud, Cloud Identities.
Ανάγκη ενοποίησης
Οι σύγχρονες επιχειρήσεις, θέλουν να εκμεταλλευτούν την δυναμική που τους παρέχουν οι Software as a Service υπηρεσίες αλλά και οι υβριδικού τύπου υποδομές, που στην ουσία είναι η φιλοξενία τμήματος της υποδομής της επιχείρησης στο Public Cloud, χωρίς όμως να κάνουν παραχωρήσεις στην ασφάλεια των δεδομένων και της πρόσβασης στην πληροφορία.
Υπάρχει δηλαδή η ανάγκη ενοποίησης του μηχανισμού έκδοσης ταυτότητας χρήστη της On-Premises υποδομής, του Active Directory, με εκείνης του Cloud, με το Windows Azure Active Directory.
Σε αυτήν την ενοποιημένη, υβριδική υποδομή οι ταυτότητες χρήστη που έχουν οι χειριστές, εκδίδονται και ισχύουν τόσο για την πρόσβαση στις υπηρεσίες στο εσωτερικό της επιχείρησης όσο και σε εκείνες του Cloud. Οι ταυτότητες χρήστη στην περίπτωση αυτή λέγονται Federated Identities, ενώ ο μηχανισμός που επιτρέπει την πρόσβαση σε όλες τις υπηρεσίες με μία ταυτότητα χρήστη, λέγεται Single Sign On.
Για την υλοποίηση ενός τέτοιου μηχανισμού, Single Sign On, την έκδοση και κυρίως την διαχείριση των Federated Identities, θα εξετάσουμε δύο εναλλακτικές λύσεις. Η μία περιλαμβάνει την λειτουργία υποδομής ενοποίησης και συγχρονισμού, Active Directory Federation Services και DirSync, ενώ η άλλη βασίζεται στο συγχρονισμό των κωδικών πρόσβασης των χειριστών και είναι η μέθοδος του Password synch.
Pingback: Γνωριμία με το Access Panel