Боевой план военно-морских сил США: SAML

ИНТЕГРАЦИЯ ПРИЛОЖЕНИЙ

Военные развёртывают безопасную систему однократной аутентификации для доступа к Web-сервисам

ИТ-инфраструктура SPAWAR - командования космическими и флотскими боевыми системами военно-морских сил США со штаб-квартирой в Сан-Диего - охватывает порядка 200 тыс. приложений, и его специалисты планируют взять ее под контроль при помощи системы доступа к разным ресурсам на базе средств однократной аутентификации (single sign-on), опирающихся на XML-спецификацию SAML (Security Assertion Markup Language - язык разметки для инфраструктуры безопасности).

Navy Enterprise Portal поднимает паруса.1 и 2. Внутри Navy Enterprise Portal

система NetPoint Identity Management and Access Control фирмы

Oblix управляет обменом SAML-данными, связанными с безопасностью,

между пользователями на корабле и береговыми серверами.

3. NetPoint обращается к SQL Server для аутентификации пользователя и затем

автоматически подключает пользователей к Navy Enterprise Portal и доступным

для них приложениям. 4. После получения доступа к порталу пользователи

могут вызывать Web-сервисы для доступа к приложениям.

По мнению Терри Хауэлла, руководящего в SPAWAR программой Navy Enterprise Portal, развернув однопарольный доступ на базе SAML, военные смогут не только повысить продуктивность труда своего персонала, но также упростить администрирование доменами и сократить расходы на управление безопасностью, функционирование справочных служб и разработку приложений.

Когда это решение - а ему предстоит охватить 720 тыс. пользователей - будет полностью введено в строй, то оно за трехлетний срок четырехкратно окупит вложенные в него инвестиции, считает Хауэлл. Сегодня структуры военного флота тратят на свою внутреннюю сеть около 1 млрд. долл. в год.

Проект, по словам Хауэлла, сулит гигантскую экономию: "Как только у нас появится система, позволяющая быстро предоставлять нужные ресурсы, мы реально почувствуем снижение затрат. Со временем наш выигрыш будет измеряться миллионами, если не миллиардами долларов, потому что мы сможем гораздо эффективнее управлять пользователями и приложениями".

Протокол SAML ныне стал играть центральную роль в обеспечении безопасности Web-сервисов очень многих территориально распределенных организаций, примером которых являются военные структуры. Крупные предприятия испытывают трудности с аутентификацией пользователей растущего количества онлайновых приложений, и этот стандарт, предоставляющий однопарольный доступ к множеству ресурсов, является привлекательным и экономически целесообразным решением.

Действительно, по оценкам исследовательской фирмы Gartner (www.gartner.com), если компания с десятитысячным персоналом сможет развернуть эффективную систему автоматизированного управления идентификацией, то ее инвестиции за три года окупятся на 300% и она получит экономию порядка 3,5 млн. долл.

Унаследованные приложения - в доки

В 2001 г. по распоряжению заместителя командующего военным флотом адмирала Уильяма Фаллона была создана инициативная группа Task Force Web, перед ней была поставлена задача очистить ИТ-инфраструктуры морских сил от тысяч унаследованных приложений. По плану не позднее будущего года все приложения военного флота должны заработать на Web-основе и стать доступными для 720 тыс. пользователей морского ведомства через Navy Enterprise Portal.

Задача оказалась гораздо масштабнее, чем кто-либо мог предполагать. В флотских структурах использовалось около 200 тыс. приложений, многие из которых были развернуты на уровне структурных единиц и перекрывались аналогичными системами других флотских подразделений. Чтобы получить контроль над этой средой, в командовании флота решили развернуть портал на базе архитектуры Web-сервисов. Было принято решение создать портал на открытых стандартах, а в качестве фундамента архитектуры ведомственных Web-сервисов выбрали платформу J2EE (Java 2 Platform, Enterprise Edition).

Морское ведомство потратило около 1 млн. долл. на внутреннюю разработку слоя промежуточного ПО, предоставляющего возможность подстановки стандартов или описаний данных без принудительных изменений пользовательских служб или лежащих в их основе баз данных. Этот портальный связующий слой соединяет разнокалиберные унаследованные приложения и Web-сервисы (см. схему).

"Некоторые из наших приложений, - рассказал Хауэлл, - например программы имитации военных действий, отражают намерения наших сил, а другие - планы противника. Нам надо свести все это вместе, чтобы видеть цельную картину и иметь один Web-сервис для всей операции".

SPAWAR, покупающее и развертывающее технологию, используемую на кораблях и самолетах, а также в сетевых операционных центрах на территории США и в различных точках земного шара, решило, что система однократной аутентификации будет наиболее эффективным способом управления идентификацией при доступе к Navy Enterprise Portal.

"В наших системах имеются сотни тысяч идентифицирующих учетных записей, и с каждой из них связан свой собственный способ предоставления полномочий. Поэтому наша главная забота состояла в том, чтобы все это продолжало работать после миграции приложений в среду Web-сервисов, - пояснил Хауэлл. - Архитектура Web-сервисов позволит нам обеспечить каждого пользователя уникальным, глобально действующим идентификатором; когда это будет реализовано, у нас заработает однократная аутентификация".

Поскольку морское ведомство должно поддерживать свой персонал и контрактных служащих, дислоцированных по всему земному шару, SPAWAR решило воспользоваться функцией однократной аутентификации, управляемой как многократно используемый Web-сервис.

Для контроля и предоставления полномочий доступа SPAWAR намерено применять открытые стандарты, в том числе SAML, XML, SOAP (Simple Object Access Protocol - простой протокол доступа к объектам) и UDDI (Universal Description, Discovery and Integration - универсальное описание, обнаружение и интеграция). В связи с этим несколько месяцев назад морское ведомство начало испытание системы NetPoint Identity Management and Access Control Solution 6.1 фирмы Oblix, поскольку Oblix поддерживает SAML.

Испытания на море

На начальном этапе программы решение NetPoint для однократной аутентификации на базе SAML было развернуто на борту линкора "Тедди Рузвельт", где 5500 пользователей смогли с его помощью получать доступ к целому спектру приложений: от учета запчастей оборудования до определения местонахождения вражеских судов.

NetPoint управляет обменом SAML-подтверждениями авторизации при доступе пользователей на корабле к береговым серверами, а также автоматически подключает пользователей к корпоративному порталу Navy Enterprise Portal и доступным через него приложениям.

Результаты пробного проекта оказались успешными, и морское ведомство приняло план широкого развертывания NetPoint для обслуживания всех 720 тыс. военнослужащих и гражданских контрактников, имеющих доступ к внутренней сети Navy Marine Corps Intranet. Со временем, считает Хауэлл, общее число пользователей системы вырастет до 3 млн. человек, поскольку тот же способ авторизации можно будет предоставить всем пользователям, связанным по долгу службы с военным флотом.

Для расширения масштабов применения технологии однопарольной аутентификации SPAWAR развертывает по своему ведомству службу каталогов Microsoft Active Directory, после заселения которых всем пользователям будет присвоен глобальный идентификатор. Хауэллу также предстоит решить ряд технических проблем обслуживания тех, кто находится в плавании и располагает ограниченными пропускной способностью и возможностями подключения.

В настоящее время технология однократной аутентификации доступна примерно для 10 тыс. пользователей. Хауэлл надеется, что в течение будущего года ведомство сможет предоставить аналогичные функции всем своим служащим, работающим на суше. Сроки реализации поставленной задачи во многом будут зависеть от финансирования.

"Развертывая всю эту инфраструктуру, - сказал Пауэлл, - мы решаем доселе небывалую задачу. Конечно, для миграции унаследованных приложений необходимо время. Но если вначале миграция сочилась по каплям, то сейчас это уже струя, а вскоре она превратится в мощный поток".

С автором статьи Энн Чен можно связаться по адресу: anne_chen@ziffdavis.com.