Управление идентификацией ( IdM ), также известное как управление идентификацией и доступом ( IAM или IdAM ), представляет собой структуру политик и технологий, гарантирующих, что нужные пользователи (которые являются частью экосистемы, связанной с предприятием или внутри него) имеют соответствующий доступ. к технологическим ресурсам. Системы IdM подпадают под общую сферу ИТ-безопасности и управления данными . Системы управления идентификацией и доступом не только идентифицируют, аутентифицируют и контролируют доступ для отдельных лиц, которые будут использовать ИТ-ресурсы, но также к оборудованию и приложениям, к которым сотрудники должны иметь доступ. [1] [2]
IdM направлен на необходимость обеспечения надлежащего доступа к ресурсам во все более гетерогенных технологических средах и удовлетворения все более строгих требований соответствия. [3]
Термины «управление идентификацией» ( IdM ) и «управление идентификацией и доступом» используются взаимозаменяемо в области управления доступом к идентификации. [4]
Системы, продукты, приложения и платформы управления идентификацией управляют идентифицирующими и вспомогательными данными об объектах, включая отдельных лиц, компьютерное оборудование и программные приложения .
IdM охватывает такие вопросы, как то, как пользователи получают удостоверение , роли и иногда разрешения, которые предоставляет удостоверение, защита этого удостоверения и технологии, поддерживающие эту защиту (например, сетевые протоколы , цифровые сертификаты , пароли и т. д.).
Управление идентификацией ( ID-менеджмент ) — или управление идентификацией и доступом ( IAM ) — это организационно-технические процессы сначала регистрации и авторизации прав доступа на этапе конфигурации, а затем на этапе эксплуатации для идентификации, аутентификации и контроля отдельных лиц или групп пользователей. люди имеют доступ к приложениям, системам или сетям на основе ранее авторизованных прав доступа. Управление идентификацией (IdM) — это задача контроля информации о пользователях на компьютерах. Такая информация включает в себя информацию, удостоверяющую личность пользователя, и информацию, описывающую данные и действия, к которым им разрешен доступ и/или выполнение. Сюда также входит управление описательной информацией о пользователе, а также о том, как и кем эта информация может быть доступна и изменена. Помимо пользователей, управляемые объекты обычно включают в себя аппаратные и сетевые ресурсы и даже приложения. [5] На диаграмме ниже показана взаимосвязь между этапами настройки и эксплуатации IAM, а также различие между управлением идентификацией и управлением доступом.
Контроль доступа – это обеспечение прав доступа, определенных как часть авторизации доступа .
Цифровая идентификация — это присутствие организации в Интернете, включающее личную идентифицирующую информацию (PII) и вспомогательную информацию. См. рекомендации ОЭСР [6] и NIST [7] по защите личных данных. [8] Его можно интерпретировать как кодификацию идентификационных имен и атрибутов физического экземпляра таким образом, чтобы облегчить обработку.
В реальном контексте разработки онлайн-систем управление идентификацией может включать пять основных функций:
Общая модель идентичности может быть построена на основе небольшого набора аксиом, например, что все идентичности в данном пространстве имен уникальны или что такие идентичности имеют определенное отношение к соответствующим сущностям в реальном мире. Такая аксиоматическая модель выражает «чистую идентичность» в том смысле, что модель не ограничена конкретным контекстом приложения.
В общем, сущность (реальная или виртуальная) может иметь несколько идентификаторов, и каждый идентификатор может включать в себя несколько атрибутов, некоторые из которых уникальны в пределах данного пространства имен. На диаграмме ниже показаны концептуальные отношения между идентификаторами и сущностями, а также между идентификаторами и их атрибутами.
В большинстве теоретических и всех практических моделей цифровой идентичности данный объект идентичности состоит из конечного набора свойств (значений атрибутов). Эти свойства записывают информацию об объекте либо для целей, внешних по отношению к модели, либо для управления моделью, например, при классификации и поиске. Модель «чистой идентичности» строго не касается внешней семантики этих свойств.
Наиболее распространенное отклонение от «чистой идентичности» на практике происходит со свойствами, предназначенными для обеспечения определенного аспекта идентичности, например, цифровой подписью [3] или программным токеном , который модель может использовать внутри себя для проверки некоторых аспектов идентичности в целях удовлетворения требований. внешнее назначение. В той степени, в которой модель выражает такую семантику внутри себя, она не является чистой моделью.
Сравните эту ситуацию со свойствами, которые могут использоваться извне в целях информационной безопасности , например, для управления доступом или правами, но которые просто сохраняются, поддерживаются и извлекаются без специальной обработки моделью. Отсутствие внешней семантики внутри модели квалифицирует ее как модель «чистой идентичности».
Таким образом, управление идентификацией можно определить как набор операций над данной моделью идентификации или, в более общем плане, как набор возможностей по отношению к ней.
На практике управление идентификацией часто расширяется и отражает то, как содержимое модели должно предоставляться и согласовываться между несколькими моделями идентификации.
Пользовательский доступ позволяет пользователям присваивать определенный цифровой идентификатор в приложениях, что позволяет назначать и оценивать элементы управления доступом на основе этого идентификатора. Использование единого удостоверения для данного пользователя в нескольких системах упрощает задачи администраторов и пользователей. Это упрощает мониторинг и проверку доступа и позволяет организациям минимизировать чрезмерные привилегии, предоставляемые одному пользователю. Доступ пользователя можно отслеживать от начала до прекращения доступа пользователя. [9]
Когда организации развертывают процесс или систему управления идентификацией, их мотивацией обычно является не управление набором идентификационных данных, а скорее предоставление соответствующих прав доступа этим объектам через их идентификационные данные. Другими словами, управление доступом обычно является мотивацией для управления идентификацией, и, следовательно, эти два набора процессов тесно связаны. [10]
Организации продолжают добавлять услуги как для внутренних пользователей, так и для клиентов. Многие такие службы требуют управления идентификацией для надлежащего предоставления этих услуг. Управление идентификацией все чаще отделяется от функций приложений, так что одно удостоверение может обслуживать многие или даже все виды деятельности организации. [10]
Для внутреннего использования управление идентификацией развивается для контроля доступа ко всем цифровым активам, включая устройства, сетевое оборудование, серверы, порталы, контент, приложения и/или продукты.
Службы часто требуют доступа к обширной информации о пользователе, включая адресные книги, предпочтения, права и контактную информацию. Поскольку на большую часть этой информации распространяются требования конфиденциальности и/или конфиденциальности, контроль доступа к ней имеет жизненно важное значение. [11]
Федерация идентификации включает в себя одну или несколько систем, которые совместно используют доступ пользователей и позволяют пользователям входить в систему на основе аутентификации в одной из систем, участвующих в федерации. Это доверие между несколькими системами часто называют «Кругом доверия». В этой настройке одна система действует как поставщик удостоверений (IdP), а другая система (системы) выступает в качестве поставщика услуг (SP). Когда пользователю необходимо получить доступ к какой-либо услуге, контролируемой SP, он сначала проходит аутентификацию по IdP. После успешной аутентификации IdP отправляет поставщику услуг безопасное «утверждение». «Утверждения SAML, заданные с использованием языка разметки, предназначенного для описания утверждений безопасности, могут использоваться проверяющим для заявления проверяющей стороне о личности заявителя. Утверждения SAML могут быть дополнительно подписаны цифровой подписью». [12]
Помимо создания, удаления и изменения идентификационных данных пользователя либо с помощью, либо посредством самообслуживания, управление идентификацией контролирует вспомогательные данные объекта для использования приложениями, такие как контактная информация или местоположение.
Размещение личной информации в компьютерных сетях обязательно вызывает проблемы конфиденциальности . При отсутствии надлежащей защиты данные могут быть использованы для осуществления наблюдения обществом . [14]
Социальные сети и онлайн-сервисы социальных сетей широко используют управление идентификацией. Помощь пользователям в принятии решения о том, как управлять доступом к их личной информации, стала вопросом, вызывающим широкую озабоченность. [15] [16]
Кража личных данных происходит, когда воры получают доступ к идентификационной информации, например, к личным данным, необходимым для доступа к банковскому счету.
Исследования, связанные с управлением идентичностью, охватывают такие дисциплины, как технологии, социальные науки, гуманитарные науки и право. [17]
Децентрализованное управление идентификацией — это управление идентификацией на основе децентрализованных идентификаторов (DID). [18]
В рамках Седьмой исследовательской рамочной программы Европейского Союза с 2007 по 2013 год стартовало несколько новых проектов, связанных с управлением идентификацией.
Проект PICOS исследует и разрабатывает современную платформу для обеспечения доверия, конфиденциальности и управления идентификацией в мобильных сообществах. [19]
PrimeLife разрабатывает концепции и технологии, помогающие людям защитить автономность и сохранить контроль над личной информацией независимо от их деятельности. [20]
SWIFT фокусируется на расширении функций идентификации и интеграции в сети, одновременно решая проблемы удобства использования и конфиденциальности, а также использует технологию идентификации как ключ к интеграции сервисной и транспортной инфраструктур в интересах пользователей и поставщиков. [21]
Текущие проекты включают «Будущее идентичности в информационном обществе» (FIDIS), [22] GUIDE, [23] и PRIME. [24]
К академическим журналам , публикующим статьи, посвященные управлению идентификацией, относятся:
Менее специализированные журналы публикуют статьи по этой теме и, например, имеют специальные выпуски по идентичности, такие как:
ISO (а точнее, ISO/IEC JTC 1 , SC27 «Методы ИТ-безопасности», WG5 «Методы управления доступом к идентификационным данным и конфиденциальности») проводит некоторую работу по стандартизации управления идентификационными данными (ISO 2009), такую как разработка структуры управления идентификационными данными, включая определение терминов, связанных с идентичностью. Опубликованные стандарты и текущие рабочие элементы включают следующее:
В каждой организации обычно есть роль или отдел, который отвечает за управление схемой цифровых идентификаторов своего персонала и собственных объектов, которые представлены идентификаторами объектов или идентификаторами объектов (OID). [26] Организационные политики, процессы и процедуры, связанные с надзором за управлением идентификацией, иногда называют управлением и администрированием идентификации (IGA). Существуют коммерческие программные инструменты, помогающие автоматизировать и упростить такие функции управления идентификацией на уровне организации. [27] Насколько эффективно и правильно используются такие инструменты, входит в сферу более широкого корпоративного управления, управления рисками и режимов соблюдения требований.
С 2016 года специалисты по управлению идентификацией и доступом имеют собственную профессиональную организацию IDPro. В 2018 году комитет инициировал публикацию Аннотированной библиографии, в которой перечислен ряд важных публикаций, книг, презентаций и видеороликов. [28]
Система управления идентификацией относится к информационной системе или набору технологий, которые можно использовать для управления идентификацией на предприятии или в сети. [29]
Следующие термины используются в отношении «системы управления идентификацией»: [30]
Управление идентификацией , также известное как управление идентификацией и доступом (IAM), представляет собой структуру безопасности идентификации, которая работает для аутентификации и авторизации доступа пользователей к таким ресурсам, как приложения, данные, системы и облачные платформы. Он стремится обеспечить, чтобы только нужные люди получали правильные инструменты и по правильным причинам. По мере того, как наша цифровая экосистема продолжает развиваться, развивается и мир управления идентификацией. [31]
«Управление идентификацией» и «управление доступом и идентификацией» (или AIM) — это термины, которые используются взаимозаменяемо под названием «управление идентификацией», тогда как само управление идентификацией подпадает под действие ИТ-безопасности [32] и конфиденциальности информации [33] [34] и риск конфиденциальности [35] , а также исследования удобства использования и электронного включения. [36] [37]
Существует три компонента управления идентификацией и доступом (IAM):
Эти технологии можно комбинировать с помощью управления идентификацией, которое обеспечивает основу для автоматизированных рабочих процессов и процессов. [38]
Согласно анализу, проведенному Сетью передового опыта FIDIS: [39] идентичность концептуализируется тремя различными способами.
В учебнике Бертино и Такахаши [40] определены три категории идентичности, которые в некоторой степени совпадают с концепциями идентичности FIDIS:
Системы управления идентификацией связаны с созданием, администрированием и развертыванием:
Целями систем управления идентификацией являются:
Системы, продукты, приложения и платформы управления идентификацией представляют собой коммерческие решения для управления идентификацией, реализованные для предприятий и организаций. [41]
Технологии, услуги и термины, связанные с управлением идентификацией, включают активный каталог Microsoft Windows , поставщиков услуг , поставщиков удостоверений , веб-службы , контроль доступа , цифровые удостоверения , менеджеры паролей , единый вход , токены безопасности , службы токенов безопасности (STS), рабочие процессы. , OpenID , WS-Security , WS-Trust , SAML 2.0 , OAuth и RBAC . [42]
В целом можно сказать, что электронный IdM охватывает управление любой формой цифровой идентичности. Акцент на управлении идентификацией восходит к разработке каталогов, таких как X.500 , где пространство имен служит для хранения именованных объектов, которые представляют собой реальные «идентифицированные» объекты, такие как страны, организации, приложения, подписчики или устройства. Сертификаты, определенные стандартом X.509 ITU-T , содержат атрибуты идентичности в виде двух имен каталогов: субъекта сертификата и эмитента сертификата. Сертификаты X.509 и системы PKI служат для подтверждения онлайновой «идентичности» субъекта. Следовательно, с точки зрения ИТ, управление идентификацией можно рассматривать как управление информацией (содержащейся в каталоге), которая представляет элементы, идентифицированные в реальной жизни (например, пользователи, организации, устройства, услуги и т. д.). Проектирование таких систем требует явных задач по сбору информации и идентификации.
Эволюция управления идентификацией тесно связана с развитием интернет- технологий. В среде статических веб-страниц и статических порталов начала 1990-х годов корпорации исследовали доставку информативного веб-контента, например «белых страниц» сотрудников. Впоследствии, по мере изменения информации (из-за текучести кадров, выделения и отмены предоставления), возможность более эффективно выполнять обновления самообслуживания и службы поддержки превратилась в то, что сегодня стало известно как Управление идентификацией [обновлять].
Решения , подпадающие под категорию управления идентификацией, могут включать в себя:
Управление личностями
Контроль доступа
Службы каталогов
Другие категории
Управление идентификацией и доступом (IAM) — это дисциплина безопасности, которая позволяет нужным лицам получать доступ к нужным ресурсам в нужное время и по правильным причинам.
[...] IAM решает критически важную задачу обеспечения надлежащего доступа к ресурсам во все более гетерогенных технологических средах и удовлетворения все более строгих требований соответствия.