Jak efektivně řídit vnořené skupiny v Microsoft Active Directory

Microsoft Active Directory umožňuje vzájemně vnořovat skupiny (nested groups). Efektivně tak lze dosáhnout dědění oprávnění mezi skupinami a jejich pohodlné poskytnutí navázaným objektům – účtům. Jak se ale zachovat, pokud AD napojujeme na centrální správu účtů – identity manager?

Budeme uvažovat identity manager založený na principu RBAC. Zjednodušeně tento princip reprezentuje AD skupiny jako “role” v IdM. Máme pak několik možností, jak vnořené skupiny z AD spravovat v IdM. Základním rozhodovacím pravidlem bude, zda identity manager sám umožňuje funkci vnořování rolí.

1. Převzetí vnořování skupin z AD

Námi preferovaný přístup je importovat systém skupin z AD do IdM včetně jejich vzájemné vazby (vnoření). Následně již není třeba v MS AD udržovat strukturu skupin, protože tato bude nadále udržována v IdM. Následná správa účtů z IdM do AD, konkrétně přiřazení účtu do skupiny bude probíhat tak, že v IdM uživatel dostane roli a IdM mu také přiřadí všechny podřazené role. IdM pak do AD pošle informaci o členství ve všech AD skupinách (včetně těch podřazených).

Výhodou tohoto řešení je poměrně jednoduchá technická realizace, přímočarý princip následného přiřazení role. Dále vidím jako výhodu, že jak v IdM, tak v AD je na objektu účtu přímo vidět seznam všech přiřazených rolí/skupin a není třeba tranzitivně procházet strukturu skupin a dopočítávat. Dle našich zkušeností je také přenos vnoření do IdM vhodný impuls k revizi skupin a jejich vzájemných vazeb. Je tedy možné přenést do IdM skupiny “na plocho” a poté strukturu vystavět v IdM znovu.

Nevýhodou může být změna struktury skupin v AD, s čímž se někteří administrátoři z různých důvodů nemusí smířit.

Vše si ukážeme na příkladu identity manageru CzechIdM, který má funkci byznys rolí.

  1. Importujeme do CzechIdM AD skupiny včetně vnoření – například CSV importem nebo manuálně při nižším počtu skupin.
  2. V AD postupně zrušíme vnoření skupin
  3. Můžeme začít přiřazovat identitám v CzechIdM byznys role odpovídající původním skupinám (které měly vnořené skupiny)
  4. Vznikají-li skupiny v AD dynamicky, můžeme použít automatickou synchronizaci skupin z AD do IdM pro načtení nových skupin
  5. Nově tvořené role v CzechIdM můžeme přiřazovat do existujících i nových byznys rolí včetně víceúrovňového vnořování

Na co si dát pozor: Systém vnoření v MS AD funguje na principu množin. Tzn. existuje-li “skupina A”, která je členem (memberOf) “skupiny B”, pak účet ve skupině A je zároveň členem skupiny B. Nikoli naopak. Některé identity managery včetně CzechIdM mají systém vnořování rolí postaven opačně, blíže principu definování objektu a jeho vlastností. Tzn. mám roli A, která je členem (is subrole to) role B. Identita s rolí A NEMÁ automaticky roli B. Naopak identita s rolí B má i roli A. Je třeba na to myslet při importu a místo “is subrole” vnořovat role odspodu tzn. A “is superrole to” B. Na následujícím obrázku je znázorněn převod MS AD vnořených skupin do CzechIdm byznys rolí.

 

2. Import všech skupin “na plocho”

Toto lze použít u identity managerů, které vnoření rolí nepodporují nebo naopak není z nějakého důvodu chtěné toto přenést z AD. Princip je technicky poměrně jednoduchý. Spočívá v tom, že do IdM se naimportují všechny role naplocho. Přidělení role v IdM pak znamená propagaci této informace do AD, které si potom samo vyřeší vnoření účtu do dalších skupin.

Výhodou je určitě jednoduché nasazení bez nutnosti zásahu do vazeb skupin v AD. Velkou nevýhodou pak je, že v IdM nevidíte kompletní seznam skupin, do kterých se nakonec uživatel na koncovém systému propsal, protože rozhodovací logika a exekuce zůstala v AD. Tuto nevýhodu lze z části eliminovat například kvalitním popiskem role v IdM (nicméně údržba popisku zase bude náročná).

3. Řídit pouze hlavní skupiny

Tento princip je modifikací předchozího, kdy do IdM buď není naimportována celá sada skupin – pouze ty, které se budou přímo přiřazovat identitám, nebo se všechny naimportují, ale v IdM (pokud to systém umožňuje), se některé označí, že o ně nelze žádat (skryjí se).

Tento přístup má stejné výhody i nevýhody předchozího řešení, nicméně umožňuje jednodušší výběr rolí v žádosti IdM, což usnadní orientaci běžným uživatelům, kteří si o přístupy žádají.

Doporučení

V tomto článku jsme si představili několik základních principů, jak spravovat vnoření skupin v AD. Doporučujeme použít první způsob integrace – “převzetí vnořování skupin z AD”, jelikož umožní centralizovat správu skupin bez ztráty funkcionality původního řešení včetně úplné informace o členství ve všech spravovaných skupinách. Pokud identity manager nepodporuje vnořování rolí, pak se nabízí jako záložní varianta 3 – “řídit pouze hlavní skupiny”.

Líbí se mi to:

Další témata