A héten a _betasystems SSO megoldásának rejtelmeibe vezettek be egy 4 napos tanfolyam alatt. A terméket Kanadában fejleszti a _betasystems ottani leányvállalalta és látszik rajta a 10 év fejlesztõimunka és az átgondoltság.

Kérdezhetitek mire is jó, miért is jók ezek a termékek? Az SSO termékek használatára – véleményem szerint – leginkább a közepes és nagyvállalati környezetben van akkor szükség, amikor a különbözõ üzleti rendszerek eltérõ platformon, eltérõ authentikációs környezetben üzemelnek és ezek mennyisége oly sok, hogy az átlag felhasználó már nem tudja rendesen kezelni a sok-sok felhasználói azonosítót és jelszót (és akkor még nem is beszéltünk azok cseréjérõl, elvárt és szükséges kezelési szabályairól, stb. Wink).
Ez mindennapokban úgy jelentkezik, hogy a felhasználó belép az elsõ felhasználói nevével a munkaállomására. Ezt követõen már hozzáfér az alap hálózati szolgáltatásokhoz, de amikor az üzleti rendszerhez fordul ott ismételten be kell jelentkeznie a második felhasználói nevével (sok esetben ilyenkor már eleve X-Window, vagy Terminal Emulation ablakban dolgozik tovább) a unix v. linux rendszerbe. Ezt követõen – attól függõen mennyi alkalmazás van – további felhasználói nevekkel és jelszavakkal is kell tovább dolgoznia az egyszeri felhasználónak. Természetesen lehet mondani, hogy ez nem gond, de akkor még nem mondtuk el, hogy mára a biztonsági elõírások megkövetelik az egyre összetettebb jelszavakat, melyeket folyamatosan cserélni is kell. Ha mindezt átgondoljuk máris problémássá válik az egész. A _betasystems SSO megoldása e problémára kínál megoldást, s ráadásul a Windows munkaállomásokról elérhetõ szinte minden típusú felhasználói felületet támogatva (klasszikus windows ablakos alkalmazásokra, böngészõ alapú alkalmazásokra, terminál emulációs ablakban futó alkalmazásokra).

A rendszer alapvetõen nem igényel nagy erõforrásokat sem a szerver, sem a kliens oldalon, de annak érdekében, hogy a várhatóan sok-sok kérés kiszolgálását megfelelõ biztonsággal el tudja látni a szerver oldalon szükséges azért a megfelelõ HW és a HW redundancia. A központi adatokat a rendszer LDAP alapú címtárba tartja, melyekbõl ma a négy legsûrûbben elõforduló címtárat támogatja (MS Active Directory, Novell NDS, SUN One Directory, Open LDAP Server). A kliens oldalon egy a háttérben futó Agent-et kell telepíteni, de ennek erõforrásigénye meglepõen kevés (gyakorlatilag észrevehetetlen).
A rendszer kis erõforrásigényét jól jellemzi, hogy az oktatás alatt az egyik gép amire telepítettük és üzemeltettük a szervert és az agent-et, Open LDAP alapon az mindössze egy Pentium IV-es gép volt 256 MB RAM-al. 😀

A mûködése is egészen egyszerû, logikáját az alábbi ábrán követhetjük le, mely teljes egészében magáért beszél!

eSSO Agent mûködése

A rendszer másik nagy elõnye az általam ismert többivel szemben – IBM, CA megoldások -, hogy döbbentesen jól konfigurálható, testreszabhatóak az Agent-ek által kezelt alkalmazások. A konfigurációt minden esetben XML fájlokban tartja, kezeli a rendszer melyeket alkalmazásonként kell elkészíteni (és szükség esetén cserélni). E megoldás azt igényli, hogy az ember kézzel szerkessz a fájlokat, melyek sok esetben nem is egyszerûek. Ennek megkönnyítése érdekében a rendszerhez – az SDK telepítését követõen – jár az egyes kezelt felületekhez szükséges XML fájlokat legeneráló varázsló. Az embernek nincs más dolga, mint betölti például a Web Agent Integration Wizard-ot és annak segítségével bejelentkezik a szükséges weboldalra. Ezt követõen a szükséges eljárásokat a varázsló segítségével lehet rögzíteni (bejelentkezés, hibás jelszó, jelszó lejárat, stb.) és a folyamat végén a varázsló elkészíti a megadott adatok alapján a szükséges XML fájlt (az esetek nagytöbbségében ez a megoldás természetesen jól mûködik, de a tanfolyamon a “problémás” esetek kezelésével elég sokat foglalkoztunk, megmutatták ezeket miképp lehet kézzel javítani). Természetesen ugyanilyen könnyen lehet a Windows Form-ok és a Terminal ablakok kezelését leképezni. Az Agent XML fájlok számos turpisság megoldáság megvalósítására is fel van készítve (például egér vagy kalviatúra mûködésének emulálására) így gyakorlatilag minimális azon problémakör aminek a megoldását nem lehet vele felkészíteni.

A négy nap alapján nekem nagyon megtetszett ez a rendszer és remélem sok helyen fogjuk még a gyakorlatban alkalmazni.