A SaaS-hoz kapcsolódó technikai és integrációs kihívások
Ahogy azt láttuk a SaaS alkalmazások egyik kulcspontja a több-bérlős (multi-tenant) architektúra, amely már önmagában számos kihívást támaszt a szolgáltatóknak a SaaS alkalmazások építése során. A SaaS szolgáltatások megfelelő működéséhez számos technikai és integrációs feladatot kell megoldaniuk a SaaS szolgáltatóknak, illetve több problémát kell leküzdeniük, mint például a biztonság, válaszidők, böngésző függetlenség, vagy a hitelesítés kérdése. A következőkben röviden összefoglaljuk a problémák jellemzőit és bemutatjuk az egyes területekhez kapcsolódó elterjedt megoldásokat. Fontos, hogy egy adott SaaS alkalmazás esetén nem feltétlenül kell minden kihívást megoldani, nem találkozunk minden problémával, amit itt felsorolásra kerül, sokkal inkább az mondható, hogy az aktuális kihívásokat mindig az aktuális feladatok határozzák meg.
Testreszabhatóság. A különböző vállalatoknak természetszerűleg különbözőek az üzleti folyamataik. Például az egyik bankban a hiteligénylést a hitelügyosztály vezetőjének kell jóváhagynia, egy másik bankban, pedig a hitelügyosztály vezetőjének és egy ellenőrző személynek is. Ennek megfelelően a SaaS alkalmazásokat úgy kell kialakítani, hogy az egyes ügyfelek a saját folyamataikhoz tudják igazítani, konfigurálni azokat.
A kérdés tehát, hogyan lehet az üzleti logikát új kód írása, illetve a meglévő kód módosítása nélkül változtatni? A legkézenfekvőbb megoldást a metaadat alapú architektúra jelenti. A metaadat alapú architektúra viszonylag egyszerűnek tekinthető, ugyanakkor valóban összetett aspektusok kezelését szolgálja. A metaadat alapú architektúra három pillére a következő:
• Metaadat: minden alkalmazásfunkcionalitás, amelynek konfigurálása szükséges, mint metaadat jelenik meg az alkalmazásban. Ennek megfelelően a metaadat viszonylag könnyen kiegészíthető, és így az alkalmazás konfigurálása leegyszerűsödik.
• Metaadat szolgáltatások: programból hozzáférhető szolgáltatások, amelyek interfészt biztosítanak a metaadatok lekérdezésére és módosítására.
• Feldolgozó mag: a SaaS alkalmazás üzleti rétege, amely a metaadat szolgáltatások segítségével éri el a metaadatokat és az általuk definiált módon futtatja az üzleti folyamatokat.
A metaadat alapú architektúra mellett egy másik elterjedt megoldás a munkafolyamatok (workflow) definiálását lehetővé tevő megoldások: ebben az esetben a testreszabás a saját munkafolyamatok definiálását jelenti. A saját munkafolyamatok készítésekor előre gyártott építőelemeket használhatunk fel, és természetesen paraméterezhetünk fel az igényeknek megfelelően.
A felhasználói felület konfigurálása. A SaaS szolgáltatások felhasználóinak gyakori igénye, hogy saját ízlésük szerint módosítsák a felhasználói felületet. Ez az igény lehet egyszerű szín, font vagy vállalati logó módosítás, de lehet bonyolultabb igény is: például a felületen megjelenő elemek átrendezése.
A felhasználói felület konfigurálása szintén metaadat kezeléssel oldható meg. A végfelhasználók igényei metaadatok formájában kerülnek tárolásra, majd a felület előállítás a metaadatok alapján történik. A metaadatok információkat tárolnak a felhasználói felületi elemek, mint például a menük vagy a kontrolok közti kapcsolatokra vonatkozóan is.
Adatbázis konfigurálása. Egy tipikus SaaS alkalmazás egyetlen adatbázist használ, mivel az egyszerűség miatt minden felhasználó adatát egyetlen adatbázisban tárolja. Ez a megoldás a SaaS alkalmazásokat hatékonyabbá teszi, mivel egyetlen adatbázist kell csak karbantartani, ugyanakkor kihívásokat támaszt az adatbázis tervezéssel kapcsolatosan, hiszen egyetlen adatbázisnak kell kielégíteni az összes eltérő adatmodellt. A problémára a választ a több-bérlős adatbázisok (multi-tenant database) jelentik.
Biztonság. Mivel egyetlen alkalmazáspéldány szolgálja ki az összes klienst, ezért elengedhetetlen egy olyan módszer kialakítása, amely garantálja, hogy minden felhasználói adat biztonságosan, mások által nem hozzáférhető módon kerül tárolásra és kezelésre. A módszernek biztosítania kell, hogy megfelelő azonosítást követően az adat tulajdonosa minden hozzá tartozó, általa elmentett, illetve vele megosztott adathoz hozzáférjen.
Mivel egyetlen alkalmazáspéldány szolgál ki minden klienst, ezért a két legnagyobb kihívás a következő:
• Hogyan kerülnek kezelésre az adminisztratív feladatok, hiszen például a felhasználók készítése, vagy a jogosultságok kiosztása minden kliens esetén más és más lehet.
• Hogyan lehet a kliens specifikus kéréseket biztonságban tartani? Ez magában foglalja a feladatot, hogy a kliensek adatai biztonságosan, egymás számára nem hozzáférhetően kerüljenek tárolásra, még akkor is, ha ezek fizikailag közös adatbázistáblában vannak.
Különböző megoldások léteznek a fenti kihívások kezelésére, mint például a szűrés vagy a titkosítás. Egy elterjedt megközelítés, hogy az alkalmazások biztonsághoz kapcsolódó feladatait is külön szolgáltatások látják el. A SaaS alaklazások többnyire SOA (Service-Oriented Architecture) architektúrára épülnek, ezért a biztonságot szolgáltatások formájában kezelhetik az alkalmazások. A biztonsági szolgáltatások többnyire két komponensre oszthatók:
• Autentikációs szolgáltatások, és
• Autorizációs szolgáltatások.
Az autentikáció egy folyamat, amelyben igazolja magát a felhasználó. az authentkációt végezheti maga az alkalmazás, illetve rábízhatja másra, például az operációs rendszerre, vagy kifejezetten erre a célra kialakított szolgáltatásra. Az autorizáció egy folyamat, amelyben eldől, hogy egy már igazolt felhasználó jogosult-e, vagy sem elérni egy adott erőforrást, szolgáltatásfunkciót. Ennek következtében az autorizáció mindig az autentikációt követi.
Az autentikáció és az autorizáció kialakításakor fontos figyelembe venni, hogy az alkalmazás, a szolgáltatás hol helyezkedik el a felhasználókhoz képest: internet, intranet vagy extranet környezetben.
A SaaS szolgáltatók többnyire a felhasználókra bízzák a saját felhasználóik létrehozását és karbantartását, amely folyamatot átruházott adminisztrációnak nevezünk. Az átruházott adminisztrációs folyamat során a szolgáltatás előfizetője felelős a felhasználók létrehozásáért, de a szolgáltató végzi azok autentikációját.
A SaaS tervezők két autentikációs megközelítést használnak: a központosított autentikációs rendszert, valamint az elosztott autentikációs rendszert. A választott autentikációs megközelítés hatással van az architektúrára és a végfelhasználókra is. Ennek megfelelően a döntésnél figyelembe kell venni az üzleti modellt, az alkalmazás, az előfizetők és a felhasználók igényeit.
Központosított autentikációs rendszer esetén a szolgáltató egy központi felhasználói adatbázist tart karban az alkalmazás összes bérlője számára. Minden bérlő adminisztrátora jogot kap felhasználók felvételére, menedzselésére és törlésére. A felhasználó bejelentkezéskor megadja az azonosításához szükséges adatokat, amelyeket az alkalmazás a központi adatbázis segítségével ellenőriz, és ha rendben találja azokat, akkor a felhasználót feljogosítja a szolgáltatás használatára.
Ez a megközelítés egy viszonylag egyszerű autentikációs infrastruktúrát kínál, amelyet egyszerű megtervezni és implementálni, és amely nem igényel semmi féle módosítást a bérlő saját felhasználói infrastruktúrájában. Egy fontos hátránya a megközelítésnek, hogy nehézkessé teszi az egyszeri bejelentkezés (Single Sign-On, SSO) támogatását, amelyben az alkalmazás elfogadja a felhasználó azonosításához szükséges információkat, amelyet már a vállalati hálózatra történő bejelentkezéskor megadott. Az egyszeri bejelentkezés támogatása nélkül a felhasználóknak többször meg kell adniuk az azonosításra szolgáló adatokat.
Az elosztott autentikációs rendszer esetén a bérlő fejleszt egy szolgáltatást, amely interfészt biztosít a bérlő saját felhasználói könyvtár szolgáltatása felé. Amikor egy végfelhasználó el szeretné érni a szolgáltatást, akkor a bérlő saját szolgáltatása lokálisan azonosítja a felhasználót és egy tokent rendel hozzá, amelyet a SaaS szolgáltató autentikációs rendszere elfogad és lehetővé teszi, hogy a felhasználó elérje az alkalmazást.
Amikor az egyszeri bejelentkezés fontos szempont, akkor az elosztott autentikációs rendszer biztosítja a kényelmesebb megoldást, mert ebben az esetben az autentikáció a színfalak mögött zajlik. Az elosztott autentikációs rendszer bonyolultabb, mint a központosított autentikációs rendszer, és ha egy SaaS alkalmazásnak több ezer előfizetője van, akkor minden egyes előfizetőnek implementálnia kell a saját interfészelt autentikációs komponensét.
Számos esetben a SaaS szolgáltatók hibrid megoldást választanak: központosított autentikációs rendszert a kisebb bérlők felhasználóinak menedzselésére, és elosztott autentikációs rendszert a nagyobb vállalatok számára, akik külön fizetnek az egyszeri bejelentkezés használatáért.
SaaS-hez kapcsoló biztonsági megoldások. A SaaS egyre fontosabb szerephez jut az informatikai biztonság területén, emiatt a SaaS megoldások az informatika számos területén vannak jelen. Becslések szerint ezen a piacon 2007-ben elért 50 millió dolláros forgalom 2012-re elérheti a 365 millió dollárt. Ezzel elmondható, hogy a hosztolt biztonsági megoldások jelentik a webbiztonsági piac egyik leggyorsabban növekvő szegmensét. Jelenleg a SaaS elsősorban az üzenetbiztonság esetében kezd magának tért hódítani, de az előrejelzések azt mutatják, hogy más védelmi területek is feljövőben vannak. Elemzők szerint ebből a szempontból a jövőben az URL szűrés, a sebezhetőség vizsgálat, a VPN-es távoli hozzáférés valamint a biztonsági mentésekkel kapcsolatos megoldások is előtérbe kerülhetnek.
A SaaS alapú biztonság ugyan minden vállalat esetében megfontolandó alternatívát jelenthet, azonban a felmérések azt mutatják, hogy elsősorban a 100-1000 főt alkalmazó vállalatok esetében lehetnek igazán sikeresek. A kis- és közepes méretű cégeknek sokszor nincs akkora emberi erőforrás kapacitásuk, amivel lépést tudnának tartani a folyamatosan változó biztonsági kihívásokkal. Ezért a SaaS megközelítés vonzó lehetőségeket kínál számukra.
