Kontrola dostępu do systemu Softlab ERP by Asseco z wykorzystaniem kontrolera domeny

< Wróć do poprzedniej strony | 29 maja, 2019 21018

Jedną z podstawowych zasad polityki bezpieczeństwa w przedsiębiorstwie jest możliwość centralnego zarządzania kontami użytkowników. System Softlab ERP by Asseco wspiera takie rozwiązania przy użyciu mechanizmu LDAP. W niniejszym artykule przedstawiona jest możliwość konfiguracji systemu Softlab ERP w trybie logowania domenowego przy użyciu usługi LDAP.

Potrzeba biznesowa

Jednym z podstawowych elementów zarządzania dostępem do danych jest odpowiednia konfiguracja i kontrola kont użytkowników. Zarządzanie kontami użytkowników najczęściej odbywa się poprzez jedno centralne miejsce, w którym definiowani są użytkownicy oraz są im przypisywane odpowiednie role i uprawnienia.

Przykładem takiego miejsca jest domena. W ramach domeny definiowane są konta użytkownika, hasła, przydzielane są odpowiednie prawa do zasobów. Jednym z takich zasobów może być dostęp do systemu ERP lub innych aplikacji.

System ERP z kolei posługuje się swoją listą użytkowników, dla których trzeba zdefiniować konta, hasła i dostępy, tym razem do funkcjonalności samego systemu. To powoduje dublowanie kont użytkowników, co z kolei wymusza wprowadzenie kolejnej polityki związanej z bezpieczeństwem. A ponieważ użytkownik może mieć dostęp do jeszcze innych aplikacji (np. klient pocztowy), to może powstać konieczność definiowania kolejnych kont.

Takie rozwiązanie w dłuższej perspektywie uniemożliwia centralne zarządzanie użytkownikami. To z kolei prowadzi do negatywnych konsekwencji związanych z koniecznością utrzymywania wielu kont użytkowników w różnych rozproszonych aplikacjach, na przykład większe koszty administrowania kontami użytkowników i większe ryzyko niepowołanego dostępu do zasobu. Dlatego od współczesnych aplikacji, w tym systemów ERP, wymaga się, by mogły one identyfikować użytkownika, wykorzystując do tego celu poświadczenia z domeny. W ten sposób raz zdefiniowane konto użytkownika pozwala na logowanie zintegrowane w domenie do wielu różnych aplikacji. Pozwala to na prowadzenie jednej polityki bezpieczeństwa dla danego użytkownika, nie wymaga tworzenia nowych kont dla poszczególnych aplikacji.

Ograniczenia na dziś – co chcemy usprawnić

W praktyce przedsiębiorstwa często korzystają z zarządzania kontami użytkowników poprzez domenę, ale jednocześnie nie integrują z tym mechanizmem innych aplikacji, w tym systemu ERP, aby mógł wykorzystać te dane w procesie identyfikacji użytkownika. W takiej sytuacji logowanie do systemu ERP odbywa się na podstawie kont użytkowników zdefiniowanych na serwerze SQL. Takie rozwiązanie uniemożliwia centralne zarządzanie kontami użytkowników i wymaga utrzymywania zdublowanych kont użytkowników na różnych platformach (konto w domenie oraz na serwerze SQL), z konsekwencjami opisanymi powyżej.

Inne spotykane w praktyce ograniczenie dotyczy sytuacji, gdy wprawdzie zostało wdrożone logowanie do systemu ERP w trybie zintegrowanym z domeną, ale bez wykorzystania usługi LDAP (Lightweight Directory Access Protocol). Takie podejście wymusza, aby identyfikatory (loginy) użytkowników systemu ERP były zgodne z danymi domeny (domena i konto użytkownika). To rozwiązanie, poza całym szeregiem zalet korzystania ze zintegrowanego logowania, ma również wady. Na przykład podczas zmiany domeny wymusza na administratorze systemu ERP założenie nowych kont dla użytkowników.

Wraz z założeniem nowych kont traci się ciągłość danych dla poszczególnego użytkownika, np. podczas prezentowania danych historycznych użytkownika w zestawieniu należy uwzględniać poprzedni login, pod jakim funkcjonował dany użytkownik przed zmianą domeny. Jeśli analiza dotyczy wielu użytkowników, to uzyskanie poprawnych danych bywa znacznie utrudnione. Problem ze zmianą kont ma też daleko idące konsekwencje w systemie praw. Nowe konta użytkowników należy uwzględnić w systemie praw. Bez tego użytkownik na nowym loginie może utracić dostęp do danych lub funkcjonalności.

Idealnym rozwiązaniem byłaby więc możliwość korzystania ze zintegrowanego logowania bez utraty ciągłości danych dla użytkownika w sytuacji zmiany domeny. Dodatkowo proces wymiany domeny powinien być szybki i mało skomplikowany po stronie systemu ERP.

Jak to usprawniliśmy

System Softlab ERP by Asseco obsługuje protokół LDAP i pozwala ominąć ograniczenia opisane powyżej. LDAP to protokół używany do dostępu do informacji przechowywanych poprzez rozproszoną sieć serwerów. Działa on w architekturze klient-serwer. W praktyce zastosowanie LDAP w systemie Softlab ERP pozwoliło na logowanie zintegrowane z domeną z jednoczesnym odseparowaniem loginów użytkowników aplikacji od kont w domenie. W związku z tym zmiana domeny nie wymusza jednocześnie zmiany nazwy użytkownika systemu ERP.

Konfiguracja LDAP w Softlab ERP jest prosta i odbywa się w trzech krokach.

Krok 1

Konfiguracja słownika Parametry dostawcy logowania LDAP oraz słownika Domeny, w którym określamy wszystkie niezbędne dane i parametry, takie jak m.in.:

  • wzorzec tworzonego loginu,
  • informację, czy tworzyć login, gdy nie istnieje,
  • określenie serwera LDAP,
  • login dla DBCS,
  • definicja domeny.

Za pomocą tych informacji możemy odpowiednio sterować zachowaniem systemu w zaistniałych warunkach (np. wskazujemy, czy tworzyć konta na serwerze oraz użytkowników bazy danych, gdy te nie są skonfigurowane wcześniej). Dodatkowo można zsynchronizować z domeną takie elementy, jak: imię i nazwisko użytkownika, adres e-mail oraz informacja o zablokowaniu konta w domenie.

Rys. 1. Słownik Parametry dostawcy logowania LDAP służący do konfiguracji LDAP w Softlab ERP

W słowniku Domeny konfigurujemy domenę, określając: nazwę, opis, połączenie oraz przynależność do danego serwera LDAP.

Rys. 2. Słownik Domeny

Krok 2

Powiązanie loginów w systemie Softlab ERP z kontem domeny.

Rys. 3. Słownik Operatorzy systemu – przypisanie użytkownika i domeny do operatora aplikacji

Krok 3

Etapem kończącym konfigurację jest odpowiednie ustawienie parametrów w pliku DBCS. Do pliku DBCS należy dodać dodatkową sekcję LOGIN.PROVIDER. W ramach tej sekcji określamy trzy parametry:

  1. PROVIDERTYPE – wartość tego pola może przyjąć dwie wartości:
    1. CREATEDOMAINNOPWD – aplikacja na stacji klienckiej dokonuje weryfikacji w domenie dla bieżącego użytkownika,
    2. CREATEDOMAIN – dodatkowo aplikacja żąda podania hasła domenowego użytkownika.
  2. TECH USER – login użytkownika.
  3. TECH PASSWORD – hasło użytkownika (hasło możemy podać jawnie, ponieważ przy pierwszym logowaniu zostanie ono zaszyfrowane).

Jakie przypadki biznesowe może obsłużyć nasze rozwiązanie

Przypadek 1. Konfiguracja nowych użytkowników w systemie Softlab ERP na podstawie kont domenowych

Opisana sytuacja może mieć miejsce podczas wdrożenia systemu Softlab ERP. Jeśli klient ma już zdefiniowanych użytkowników w domenie, to podczas pierwszego logowania za pomocą usługi LDAP w systemie Softlab ERP mogą zostać założone automatycznie konta użytkowców na wzór tych z domeny. W tym celu należy tylko odpowiednio zaznaczyć parametry oraz określić wzorzec tworzonego loginu.

Rys. 4. Konfiguracja automatycznego zakładania użytkowników w systemie Softlab ERP na podstawie kont domenowych

Przypadek 2. Zmiana domeny

W przedsiębiorstwie, które jest już partnerem Asseco BS i działa na systemie Softlab ERP, następuje decyzja o migracji na nową domenę. Stara domena nosiła nazwę DomenaA, a wprowadzana jest DomenaB i użytkownik KowalskiJan1 w miejsce JanKowalski. Poprzednio loginy użytkowników systemu Softlab ERP były założone w trybie zintegrowanym z domeną bez użycia LDAP. Bez zastosowania LDAP przejście na nową domenę wymuszałoby założenie nowych loginów dla użytkowników Softlab ERP. To wiązałoby się z opisanym już uprzednio problemem braku powiązania nowego loginu ze starym.

Uruchomienie LDAP rozwiązuje ten problem. Po skonfigurowaniu LDAP i pliku DBCS w słowniku z operatorami należy powiązać stare loginy w systemie Softlab ERP z nową domeną i użytkownikiem. Takie rozwiązanie pozwala na utrzymanie starych loginów mimo zmiany domeny i użytkownika.

Rys. 5. Definicja konta operatora systemu Softlab ERP przed migracją na nową domenę

Rys. 6. Definicja konta operatora systemu Softlab ERP po migracji na nową domenę i przy użyciu mechanizmu LDAP

Jakich korzyści dostarcza ww. opisana funkcjonalność?

  • Centralne zarządzanie kontami użytkowników w przedsiębiorstwie.
  • Szybka i łatwa konfiguracja protokołu LDAP.
  • Łatwo skalowalne rozwiązanie (zmiana domeny nie pociąga za sobą daleko idących konsekwencji np. konieczności utworzenia nowych loginów).
  • Podniesienie bezpieczeństwa dostępu do zasobów w organizacji.

 

Autor wpisu: Krzysztof Fiutek