Hantering av webbåtkomst

Web Access Management ( WAM ) är en form av identitetshantering som kontrollerar åtkomst till webbresurser, tillhandahåller autentiseringshantering , policybaserade auktoriseringar , revisions- och rapporteringstjänster (valfritt) och enkel inloggning .

Autentiseringshantering är processen för att fastställa en användares (eller applikations) identitet. Detta görs normalt genom att be om ett användarnamn och ett lösenord. Ytterligare autentiseringsmetoder kan också inkludera åtkomsttokens (som genererar engångslösenord ) och digitala certifikat.

När en användares (eller process) identitet har bekräftats kommer policybaserad auktorisering in i bilden. En webbresurs kan ha en eller flera policyer kopplade till sig som säger t.ex. "tillåt endast interna anställda att komma åt den här resursen" och/eller "tillåt endast medlemmar av administratörsgruppen att komma åt den här resursen." Den begärda resursen används för att slå upp policyn och sedan utvärderas policyn mot användarens identitet. Om användaren klarar policyutvärderingen får hon/han tillgång till resursen. Om användaren misslyckas med utvärderingen nekas åtkomst.

Efter att ett autentiserings- eller auktoriseringspolicybeslut har fattats kan resultatet registreras för revisionsändamål, till exempel:

  • bestämma den senaste inloggningstiden för en användare
  • identifiera försök att få tillgång till skyddade resurser
  • logga eventuella administrativa åtgärder

Som en fördel för slutanvändaren kan en produkt för hantering av webbåtkomst sedan knyta ihop denna säkerhet (vilket är mer en fördel för IT- och administrativ personal), och erbjuda enkel inloggning, den process genom vilken en användare bara loggar in en gång för att en webbresurs och loggas sedan automatiskt in på alla relaterade resurser. Användare kan bli besvärliga när de försöker bli autentiserade till flera webbplatser under en dag (potentiellt var och en med olika användarnamn och lösenord). En produkt för hantering av webbåtkomst kan registrera den första autentiseringen och förse användaren med en cookie som fungerar som en tillfällig token för autentisering till alla andra skyddade resurser, vilket kräver att användaren bara loggar in en gång.

Historia

Produkter för hantering av webbåtkomst har sitt ursprung i slutet av 1990-talet och var då kända som single sign on. Fem av originalprodukterna var Hewlett-Packard HP IceWall SSO, CA Technologies SiteMinder, Oblix Access Manager, Magnaquest Technologies Limited IAM (Identity and Access Management) och Novell iChain. Dessa produkter var enkla i sina funktionella egenskaper, men löste en viktig fråga vid den tiden – hur man delar användaruppgifter över flera domäner utan att tvinga användaren att logga in mer än en gång. Utmaningen kom från det faktum att cookies är domänspecifika, så det fanns inget enkelt sätt att sömlöst överföra en användare från en webbplats till en annan. Den nya termen blev känd som webbåtkomsthantering, eftersom produkterna lade till funktionaliteten att kontrollera vilka resurser (webbsidor) en användare kunde komma åt, förutom att autentisera dem.

Arkitekturer

Det finns tre olika typer av arkitekturer när det gäller webbåtkomsthanteringsarkitekturer: plug-in (eller webbagent), proxy och tokenisering.

Plugins är program som installeras på varje webb-/ applikationsserver , registrerar sig på dessa servrar och anropas vid varje begäran om en webbsida. De fångar upp begäran och kommunicerar med en extern policyserver för att fatta policybeslut. En av fördelarna med en plugin (eller agent) baserad arkitektur är att de kan anpassas mycket för unika behov hos en viss webbserver. En av nackdelarna är att en annan plugin krävs för varje webbserver på varje plattform (och eventuellt för varje version av varje server). När tekniken utvecklas måste vidare uppgraderingar till agenter distribueras och vara kompatibla med utvecklande värdprogramvara.

Proxy-baserade arkitekturer skiljer sig åt genom att alla webbförfrågningar dirigeras via proxyservern till back-end-webb-/applikationsservrarna. Detta kan ge en mer universell integration med webbservrar eftersom det vanliga standardprotokollet HTTP används istället för leverantörsspecifika applikationsprogrammeringsgränssnitt (API). En av nackdelarna är att ytterligare hårdvara vanligtvis krävs för att köra proxyservrarna.

Tokeniseringen skiljer sig genom att en användare får en token som kan användas för att direkt komma åt back-end webben/applikationsservrarna. I den här arkitekturen sker autentiseringen via hanteringsverktyget för webbåtkomst men all data flödar runt det. Detta tar bort nätverkets flaskhalsar som orsakas av proxybaserade arkitekturer. En av nackdelarna är att back-end-webb-/applikationsservern måste kunna acceptera token eller annars måste webbåtkomsthanteringsverktyget utformas för att använda vanliga standardprotokoll.

Lösningar som CA SiteMinder (nu känd som CA Single Sign-On) erbjuder både agent- och proxybaserade alternativ samtidigt som standardbaserad federation ingår. maXecurity från P2 Security använder en proxy-metod. NetIQ Access Manager erbjuder en hybridlösning som består av både proxy- och J2EE-agentmetoder. TELEGRID SMRTe använder en tokeniseringsmetod.

Kostar

I de flesta fall överstiger de årliga underhållskostnaderna inköpspriset. Till exempel, när policyservrar används (i både plugin- och proxybaserade arkitekturer) behövs avancerad hårdvara för att hantera den arbetsbelastning som krävs för att köra infrastrukturen för hantering av webbåtkomst.

Centraliserad administration är en extra dold kostnad, eftersom kunderna kommer att behöva anställa och utbilda personal för att enbart hantera policyrättigheter för de underliggande webbapplikationerna. En sista dold kostnad är relaterad till regelefterlevnad. Eftersom webbåtkomsthantering i konceptet liknar en brandvägg (närmare anpassad till en brandvägg i applikationslager), måste den kunna hantera stora revisionskrav, särskilt för offentliga företag som omfattas av Sarbanes- Oxley Act (för att inte tala om de som är bundna av Health Insurance Portability and Accountability Act , PCI eller CPNI). Större företag spenderar enorma mängder tid och pengar på att granska dessa infrastrukturer för hantering av webbåtkomst eftersom de är tillämpningspunkter för många interna och externa applikationer.

Externa referenser

Hämtad från " https://en.wikipedia.org/w/index.php?title=Web_access_management&oldid=1070214909 "