Федеративная идентичность
Федеративная идентичность в информационных технологиях человека — это средство объединения электронной идентичности и атрибутов управления идентификацией . , хранящихся в нескольких различных системах [1]
Федеративная идентификация связана с единым входом пользователя (SSO), при котором единый билет аутентификации , или токен , пользуется доверием в нескольких ИТ-системах или даже организациях. [2] [3] SSO — это подмножество федеративного управления идентификацией, поскольку оно относится только к аутентификации и понимается на уровне технической совместимости, и это было бы невозможно без какой-либо федерации . [4]
Управление
[ редактировать ]Этот раздел нуждается в дополнительных цитатах для проверки . ( январь 2017 г. ) |
В информационных технологиях (ИТ) федеративное управление идентификацией (FIdM) означает наличие общего набора политик, практик и протоколов для управления идентификацией и доверием к ИТ-пользователям и устройствам в организациях. [5]
Системы единого входа (SSO) позволяют осуществлять единый процесс аутентификации пользователя в нескольких ИТ-системах или даже организациях. SSO — это разновидность федеративного управления идентификацией, поскольку он касается только аутентификации и технической совместимости.
Решения для централизованного управления идентификацией были созданы, чтобы помочь обеспечить безопасность пользователей и данных, когда пользователь и системы, к которым он получал доступ, находились в одной сети или, по крайней мере, в одной «области контроля». Однако все чаще пользователи получают доступ к внешним системам, которые по сути находятся за пределами их сферы контроля, а внешние пользователи получают доступ к внутренним системам. Все более распространенное отделение пользователя от систем, требующих доступа, является неизбежным побочным продуктом децентрализации, вызванной интеграцией Интернета во все аспекты как личной, так и деловой жизни. Развивающиеся проблемы управления идентификацией, и особенно проблемы, связанные с межфирменным междоменным доступом, привели к появлению нового подхода к управлению идентификацией, известного теперь как «федеративное управление идентификацией». [6]
FIdM, или «федерация» идентификационных данных, описывает технологии, стандарты и варианты использования, которые служат для обеспечения переносимости идентификационной информации между автономными доменами безопасности. Конечная цель федерации удостоверений — предоставить пользователям одного домена возможность безопасного доступа к данным или системам другого домена, беспрепятственно и без необходимости полностью избыточного администрирования пользователей. Федерация удостоверений существует во многих вариантах, включая сценарии, «управляемые пользователем» или «ориентированные на пользователя», а также сценарии, контролируемые предприятием или между бизнесом .
Федерация возможна за счет использования открытых отраслевых стандартов и/или открыто опубликованных спецификаций, что позволяет нескольким сторонам обеспечить совместимость для общих случаев использования. Типичные варианты использования включают в себя такие вещи, как междоменный единый вход через Интернет, междоменное предоставление учетных записей пользователей, междоменное управление правами и междоменный обмен атрибутами пользователей.
Использование стандартов федерации удостоверений может снизить затраты за счет устранения необходимости масштабирования одноразовых или собственных решений. Это может повысить безопасность и снизить риски, позволяя организации один раз идентифицировать и аутентифицировать пользователя, а затем использовать эту идентификационную информацию в нескольких системах, включая веб-сайты внешних партнеров. Это может улучшить соблюдение конфиденциальности, позволяя пользователю контролировать, какая информация передается, или ограничивая объем передаваемой информации. И, наконец, это может значительно улучшить работу конечных пользователей, устраняя необходимость регистрации новой учетной записи посредством автоматической «федеративной подготовки» или необходимости повторного входа в систему посредством единого междоменного входа.
Понятие федерации идентичности чрезвычайно широкое и постоянно развивается. Это может включать в себя сценарии использования «пользователь-пользователь» и «пользователь-приложение», а также сценарии использования «приложение-приложение» как на уровне браузера, так и на уровне веб-сервисов или сервис-ориентированной архитектуры (SOA). Он может включать в себя сценарии с высоким уровнем доверия и безопасности, а также сценарии с низким уровнем доверия и низкой безопасностью. Уровни обеспечения идентичности, которые могут потребоваться для конкретного сценария, также стандартизируются посредством общей и открытой системы обеспечения идентичности . Он может включать сценарии использования, ориентированные на пользователя, а также сценарии использования, ориентированные на предприятие. Термин «федерация идентификации» по своей сути является общим термином и не привязан к какому-либо конкретному протоколу, технологии, реализации или компании. Федерации идентичности могут представлять собой двусторонние отношения или многосторонние отношения. В последнем случае многосторонняя федерация часто возникает на вертикальном рынке, например, в правоохранительных органах (например, Национальная федерация обмена идентификационными данными - NIEF). [7] ), а также исследования и образование (например, InCommon). [8] Если федерация удостоверений является двусторонней, две стороны могут обмениваться необходимыми метаданными (ключами подписи утверждений и т. д.) для реализации отношений. В многосторонней федерации обмен метаданными между участниками является более сложной проблемой. Его можно обрабатывать посредством звездообразного обмена или путем распространения совокупности метаданных федеративным оператором.
Однако неизменным является тот факт, что «федерация» описывает методы переносимости идентификационных данных, которые достигаются открытым, часто основанным на стандартах образом – это означает, что любой, придерживающийся открытой спецификации или стандарта, может достичь полного спектра использования. случаи и совместимость. [9]
Объединение идентификационных данных может быть реализовано любым количеством способов, некоторые из которых включают использование формальных интернет-стандартов, таких как OASIS спецификация языка разметки утверждений безопасности (SAML), а некоторые из которых могут включать технологии с открытым исходным кодом и/или другие открыто опубликованные спецификации (например, информационные карты , OpenID , структура доверия Хиггинса или проект Novell Bandit).
Технологии
[ редактировать ]Технологии, используемые для федеративной идентификации, включают SAML (язык разметки утверждений безопасности), OAuth , OpenID, токены безопасности (простые веб-токены, веб-токены JSON и утверждения SAML), спецификации веб-служб и Windows Identity Foundation . [10]
Правительственные инициативы
[ редактировать ]Соединенные Штаты
[ редактировать ]В США Национальный институт стандартов и технологий (NIST) через Национальный центр передового опыта в области кибербезопасности опубликовал в декабре 2016 года технический документ по этой теме. [11]
Федеральная программа управления рисками и авторизацией ( FedRAMP ) — это общегосударственная программа, которая обеспечивает стандартизированный подход к оценке безопасности, авторизации и непрерывному мониторингу облачных продуктов и услуг.
FedRAMP позволяет агентствам быстро адаптироваться от старых, небезопасных устаревших ИТ к обеспечивающим выполнение задач, безопасным и экономичным облачным ИТ. [12]
Примеры
[ редактировать ]Платформы цифровой идентификации, которые позволяют пользователям входить на сторонние веб-сайты, в приложения, мобильные устройства и игровые системы под своей существующей идентификацией, то есть позволяют осуществлять вход через социальные сети , включают:
- Учетная запись Microsoft – ранее Windows Live ID
- Аккаунт Google
- Facebook – вход в общественные социальные сети.
- Yahoo! – пользователи могут использовать свой Yahoo! ID для входа на другие сайты, и раньше у пользователей была возможность войти в Yahoo! с их идентификаторами Google или Facebook.
- Твиттер
- Последний проход [13]
- PayPal
- Форсквер
- MySpace
- АОЛ
- Mozilla Persona 30 ноября 2016 г. Mozilla закрыла сервисы persona.org.
- Амазонка [14]
- GitHub
Примечание. Facebook Connect — это делегированный идентификатор, а не федеративный идентификатор. [15]
См. также
[ редактировать ]- Предварительный взлом аккаунта
- Идентификация на основе утверждений
- Цифровая идентификация
- Самостоятельная идентичность
Ссылки
[ редактировать ]- ^ Мэдсен, Пол, изд. (5 декабря 2005 г.). «Белая книга проекта Liberty Alliance: Liberty ID-WSF People Service — федеративная социальная идентичность» (PDF) . Архивировано из оригинала (PDF) 26 мая 2018 г. Проверено 11 июля 2013 г.
- ^ Федеративное удостоверение для веб-приложений , microsoft.com . Проверено 3 июля 2017 г.
- ^ Гаедке, Мартин; Йоханнес, Майнеке; Нуссбаумер, Мартин (1 мая 2005 г.). «Подход к моделированию федеративного управления идентификацией и доступом». Особый интерес представляют треки и постеры 14-й международной конференции по Всемирной паутине - WWW '05 (PDF) . стр. 1156–1157. дои : 10.1145/1062745.1062916 . ISBN 978-1595930514 . S2CID 8828239 . Архивировано из оригинала (PDF) 13 сентября 2017 г. Проверено 3 июля 2017 г.
- ^ Чедвик, Дэвид В. (2009). «Федеративное управление идентификацией» (PDF) . Основы анализа и проектирования безопасности V . Конспекты лекций по информатике. Том. 5705. стр. 96–120. CiteSeerX 10.1.1.250.4705 . дои : 10.1007/978-3-642-03829-7_3 . ISBN 978-3-642-03828-0 . ISSN 0302-9743 . Проверено 3 июля 2017 г.
- ^ http://net.educause.edu/ir/library/pdf/EST0903.pdf. Архивировано 29 августа 2017 г. на Wayback Machine. 7 вещей, которые вам следует знать о федеративном управлении идентификацией.
- ^ Йенсен, Йостейн (2012). «Проблемы федеративного управления идентификацией» . 2012 Седьмая международная конференция по доступности, надежности и безопасности . стр. 230–235. дои : 10.1109/ares.2012.68 . ISBN 978-1-4673-2244-7 . S2CID 18145013 . Проверено 11 декабря 2023 г.
- ^ «Национальная федерация обмена идентификационными данными» . сайт nief.org . Проверено 15 мая 2018 г.
- ^ «InCommon: безопасность, конфиденциальность и доверие для исследовательского и образовательного сообщества» . incommon.org . Проверено 15 мая 2018 г.
- ^ Кабаркос, Патрисия Ариас (2013). «Динамическая инфраструктура для федеративного управления идентификацией в открытых средах» . дои : 10.13140/RG.2.1.2918.0962 .
{{cite journal}}
: Для цитирования журнала требуется|journal=
( помощь ) - ^ Раунтри, Деррик (2012). Учебник по федеративной идентификации . Сингресс Медиа. ISBN 978-0124071896 .
- ^ https://www.nccoe.nist.gov/publications/project-description/privacy-enhanced-identity-brokers-project-description-final Федерация расширенной идентификации конфиденциальности
- ^ «ФедРАМП и Azure» . TECHCOMMUNITY.MICROSOFT.COM . Проверено 13 сентября 2023 г.
- ^ «Решение единого входа (SSO) | LastPass» .
- ^ Войти через Amazon
- ^ «Делегированный и федеративный идентификатор | Здесь нечего смотреть» . сайты.psu.edu . Проверено 22 ноября 2020 г.