Федеративная идентичность

Обеспечение идентификации в ИТ-системах

Федеративная идентичность в информационных технологиях — это средство объединения электронной идентичности и атрибутов человека , хранящихся в нескольких различных системах управления идентификацией . ^[1]

Федеративная идентификация связана с единым входом (SSO), при котором единый билет аутентификации пользователя , или токен , пользуется доверием в нескольких ИТ-системах или даже организациях. ^{[2] [3]} SSO — это подмножество федеративного управления идентификацией, поскольку оно относится только к аутентификации и понимается на уровне технической совместимости, и это было бы невозможно без какой-либо федерации . ^[4]

Управление

В информационных технологиях (ИТ) федеративное управление идентификацией (FIdM) означает наличие общего набора политик, практик и протоколов для управления идентификацией и доверием к ИТ-пользователям и устройствам в организациях. ^[5]

Системы единого входа (SSO) позволяют осуществлять единый процесс аутентификации пользователя в нескольких ИТ-системах или даже организациях. SSO — это разновидность федеративного управления идентификацией, поскольку он касается только аутентификации и технической совместимости.

Решения для централизованного управления идентификацией были созданы, чтобы помочь обеспечить безопасность пользователей и данных, когда пользователь и системы, к которым он получал доступ, находились в одной сети или, по крайней мере, в одной «области контроля». Однако все чаще пользователи получают доступ к внешним системам, которые по сути находятся за пределами их сферы контроля, а внешние пользователи получают доступ к внутренним системам. Все более распространенное отделение пользователя от систем, требующих доступа, является неизбежным побочным продуктом децентрализации, вызванной интеграцией Интернета во все аспекты как личной, так и деловой жизни. Развивающиеся проблемы управления идентификацией, и особенно проблемы, связанные с межфирменным междоменным доступом, привели к появлению нового подхода к управлению идентификацией, известного теперь как «федеративное управление идентификацией». ^[6]

FIdM, или «федерация» идентификационных данных, описывает технологии, стандарты и варианты использования, которые служат для обеспечения переносимости идентификационной информации между автономными доменами безопасности. Конечная цель федерации удостоверений — предоставить пользователям одного домена возможность безопасного доступа к данным или системам другого домена, беспрепятственно и без необходимости полностью избыточного администрирования пользователей. Федерация удостоверений существует во многих вариантах, включая сценарии, «управляемые пользователем» или «ориентированные на пользователя», а также сценарии, контролируемые предприятием или между бизнесом .

Федерация возможна за счет использования открытых отраслевых стандартов и/или открыто опубликованных спецификаций, что позволяет нескольким сторонам обеспечить совместимость для общих случаев использования. Типичные варианты использования включают в себя такие вещи, как междоменный единый вход через Интернет, междоменное предоставление учетных записей пользователей, междоменное управление правами и междоменный обмен атрибутами пользователей.

Использование стандартов федерации удостоверений может снизить затраты за счет устранения необходимости масштабирования одноразовых или собственных решений. Это может повысить безопасность и снизить риски, позволяя организации один раз идентифицировать и аутентифицировать пользователя, а затем использовать эту идентификационную информацию в нескольких системах, включая веб-сайты внешних партнеров. Это может улучшить соблюдение конфиденциальности, позволяя пользователю контролировать, какая информация передается, или ограничивая объем передаваемой информации. И, наконец, это может радикально улучшить работу конечных пользователей, устраняя необходимость регистрации новой учетной записи посредством автоматической «федеративной подготовки» или необходимости повторного входа в систему посредством единого междоменного входа.

Понятие федерации идентичности чрезвычайно широкое и постоянно развивается. Это может включать в себя сценарии использования «пользователь-пользователь» и «пользователь-приложение», а также сценарии использования «приложение-приложение» как на уровне браузера, так и на уровне веб-сервисов или сервис-ориентированной архитектуры (SOA). Он может включать в себя сценарии с высоким уровнем доверия и безопасности, а также сценарии с низким уровнем доверия и низкой безопасностью. Уровни обеспечения идентичности, которые могут потребоваться для конкретного сценария, также стандартизируются посредством общей и открытой системы обеспечения идентичности . Он может включать сценарии использования, ориентированные на пользователя, а также сценарии использования, ориентированные на предприятие. Термин «федерация идентификации» по своей сути является общим термином и не привязан к какому-либо конкретному протоколу, технологии, реализации или компании. Федерации идентичности могут представлять собой двусторонние отношения или многосторонние отношения. В последнем случае многосторонняя федерация часто возникает на вертикальном рынке, например, в правоохранительных органах (например, Национальная федерация обмена идентификационными данными - NIEF ^[7] ), а также в исследованиях и образовании (например, InCommon). ^[8] Если федерация удостоверений является двусторонней, обе стороны могут обмениваться необходимыми метаданными (ключами подписи утверждений и т. д.) для реализации отношений. В многосторонней федерации обмен метаданными между участниками является более сложной проблемой. Его можно обрабатывать посредством звездообразного обмена или путем распространения совокупности метаданных федеративным оператором.

Однако неизменным является тот факт, что «федерация» описывает методы переносимости идентификационных данных, которые достигаются открытым, часто основанным на стандартах образом – это означает, что любой, придерживающийся открытой спецификации или стандарта, может достичь полного спектра использования. случаи и совместимость. ^[9]

Объединение идентификационных данных может быть реализовано любым количеством способов, некоторые из которых включают использование формальных интернет-стандартов, таких как спецификация языка разметки утверждений безопасности OASIS (SAML), а некоторые из которых могут включать технологии с открытым исходным кодом и/или другие открыто опубликованные спецификации (например, информационные карты , OpenID , структура доверия Хиггинса или проект Novell Bandit).

Технологии

Технологии, используемые для федеративной идентификации, включают SAML (язык разметки утверждений безопасности), OAuth , OpenID, токены безопасности (простые веб-токены, веб-токены JSON и утверждения SAML), спецификации веб-служб и Windows Identity Foundation . ^[10]

Правительственные инициативы

Соединенные Штаты

В США Национальный институт стандартов и технологий (NIST) через Национальный центр передового опыта в области кибербезопасности опубликовал в декабре 2016 года официальный документ по этой теме ^[11].

Федеральная программа управления рисками и авторизацией ( FedRAMP ) — это общегосударственная программа, которая обеспечивает стандартизированный подход к оценке безопасности, авторизации и непрерывному мониторингу облачных продуктов и услуг.

FedRAMP позволяет агентствам быстро адаптироваться от старых, небезопасных устаревших ИТ к обеспечивающим выполнение задач, безопасным и экономичным облачным ИТ. ^[12]

Примеры

Платформы цифровой идентификации, которые позволяют пользователям входить на сторонние веб-сайты, приложения, мобильные устройства и игровые системы под своей существующей идентификацией, то есть позволяют осуществлять вход через социальные сети , включают:

• Учетная запись Microsoft – ранее Windows Live ID
• Аккаунт Google
• Facebook – вход в общественные социальные сети.
• Yahoo! – пользователи могут использовать свой Yahoo! ID для входа на другие сайты, и раньше у пользователей была возможность войти в Yahoo! с их идентификаторами Google или Facebook.
• Твиттер
• ЛастПасс ^[13]
• LinkedIn
• PayPal
• Форсквер
• Мое пространство
• АОЛ
• Mozilla Persona 30 ноября 2016 г. Mozilla закрыла сервисы persona.org.
• Амазонка ^[14]
• GitHub

Примечание. Facebook Connect — это делегированный идентификатор, а не федеративный идентификатор. ^[15]

Смотрите также

• Предварительный взлом аккаунта
• Идентификация на основе утверждений
• Цифровая идентификация
• Самостоятельная идентичность

Рекомендации

1. Мэдсен, Пол, изд. (5 декабря 2005 г.). «Белая книга проекта Liberty Alliance: Liberty ID-WSF People Service — федеративная социальная идентичность» (PDF) . Проверено 11 июля 2013 г.
2. Федеративное удостоверение для веб-приложений, microsoft.com . Проверено 3 июля 2017 г.
3. Гаедке, Мартин; Йоханнес, Майнеке; Нуссбаумер, Мартин (1 мая 2005 г.). «Подход к моделированию федеративного управления идентификацией и доступом». Особый интерес представляют треки и постеры 14-й международной конференции по Всемирной паутине - WWW '05 (PDF) . стр. 1156–1157. дои : 10.1145/1062745.1062916. ISBN 978-1595930514. S2CID  8828239 . Проверено 3 июля 2017 г.
4. Чедвик, Дэвид В. (2009). «Федеративное управление идентификацией» (PDF) . Основы анализа и проектирования безопасности V . Конспекты лекций по информатике. Том. 5705. стр. 96–120. CiteSeerX 10.1.1.250.4705 . дои : 10.1007/978-3-642-03829-7_3. ISBN  978-3-642-03828-0. ISSN  0302-9743.Проверено 3 июля 2017 г.
5. http://net.educause.edu/ir/library/pdf/EST0903.pdf. Архивировано 29 августа 2017 г. на Wayback Machine. 7 вещей, которые вам следует знать о федеративном управлении идентификацией.
6. «Проблемы федеративного управления идентификацией | Публикация конференции IEEE | ​​IEEE Xplore» . ieeexplore.ieee.org . дои : 10.1109/ares.2012.68 . Проверено 11 декабря 2023 г.
7. «Национальная федерация обмена идентификационными данными». сайт nief.org . Проверено 15 мая 2018 г.
8. «InCommon: безопасность, конфиденциальность и доверие для исследовательского и образовательного сообщества». incommon.org . Проверено 15 мая 2018 г.
9. Кабаркос, Патрисия Ариас (2013). «Динамическая инфраструктура для федеративного управления идентификацией в открытых средах». дои :10.13140/RG.2.1.2918.0962. {{cite journal}}: Требуется цитировать журнал |journal=( помощь )
10. Раунтри, Деррик (2012). Учебник по федеративной идентификации . Сингресс Медиа. ISBN 978-0124071896.
11. https://www.nccoe.nist.gov/publications/project-description/privacy-enhanced-identity-brokers-project-description-final Федерация расширенной идентификации конфиденциальности
12. «FedRAMP и Azure». TECHCOMMUNITY.MICROSOFT.COM . Проверено 13 сентября 2023 г.
13. «Решение для единого входа (SSO) | LastPass» .
14. Войти через Amazon
15. «Делегированный и федеративный идентификатор | Здесь нечего смотреть» . сайты.psu.edu . Проверено 22 ноября 2020 г.