Корреляция идентичности

Корреляция идентичности в информационных системах — это процесс, который согласовывает и подтверждает право собственности на разные в учетные записи пользователей идентификаторы входа ( имена пользователей ), которые находятся в системах и приложениях по всей организации, и может навсегда связать владение этими идентификаторами входа в учетные записи пользователей с конкретными лицами. путем присвоения уникального идентификатора (также называемого первичными или общими ключами) всем проверенным идентификаторам входа в учетную запись. ^[1]

Процесс корреляции идентичности подтверждает, что у отдельных лиц есть только идентификаторы входа в учетную запись для соответствующих систем и приложений, к которым пользователь должен иметь доступ в соответствии с бизнес-политиками организации, политиками управления доступом и различными требованиями приложений.

В контексте корреляции идентичности уникальный идентификатор — это идентификатор, который гарантированно будет уникальным среди идентификаторов, используемых для группы и для конкретной цели. Существует три основных типа, каждый из которых соответствует различной стратегии генерации:

Серийные номера , присваиваемые постепенно
Случайные числа , выбранные из числового пространства, намного превышающего максимальное (или ожидаемое) количество идентифицируемых объектов. Хотя некоторые идентификаторы этого типа и не уникальны, они могут подходить для идентификации объектов во многих практических приложениях, поэтому в этом контексте их называют «уникальными».
Имена или коды, выделяемые по выбору, но должны быть уникальными за счет ведения центрального реестра, такого как Информационные службы EPC в сети EPCglobal.

Для корреляции идентичности уникальный идентификатор обычно представляет собой серийное или случайное число. В этом контексте уникальный идентификатор обычно представляется как дополнительный атрибут в каталоге, связанном с каждым конкретным источником данных. Однако добавление атрибута в каждый системный каталог может повлиять на требования приложения или конкретного бизнеса в зависимости от требований организации. В таких обстоятельствах уникальные идентификаторы могут оказаться неприемлемым дополнением.

Основные требования корреляции идентичности

Корреляция идентичности включает в себя несколько факторов:

Связывание разных идентификаторов учетных записей в нескольких системах или приложениях

Многие организации должны найти способ соответствовать требованиям аудита, который требует от них связывать разрозненные идентификаторы пользователей приложений с реальными людьми, которые связаны с этими идентификаторами пользователей.

Некоторые люди могут иметь довольно распространенное имя и/или фамилию , что затрудняет привязку нужного человека к соответствующему идентификатору входа в учетную запись, особенно когда эти идентификаторы входа в учетную запись не связаны с достаточным количеством конкретных идентификационных данных, чтобы оставаться уникальными.

Например, типичная конструкция идентификатора входа может состоять из первого символа имени + следующих 7 серийного номера с возрастающей уникальностью. Это приведет к созданию идентификаторов входа в систему, таких как jsmith12, jsmith 13, jsmith14 и т. д. для пользователей John Smith, James Smith и Jack Smith соответственно.

И наоборот, одно физическое лицо может изменить имя формально или неофициально, что может привести к тому, что новые идентификаторы входа в учетную запись, которые присваивает это лицо, будут радикально отличаться по номенклатуре от идентификаторов входа в учетную запись, которые лицо приобрело до каких-либо изменений.

Например, женщина могла выйти замуж и решить использовать свою новую фамилию в профессиональных целях. Если бы ее изначально звали Мэри Джонс, а теперь Мэри Смит, она могла бы позвонить в отдел кадров и попросить обновить ее контактную информацию и адрес электронной почты, указав ее новую фамилию. Этот запрос обновит ее идентификатор входа в Microsoft Exchange на Мэри. Смит, чтобы отразить это изменение фамилии, но это может фактически не обновить ее информацию или учетные данные для входа в любую другую систему, к которой у нее есть доступ. В этом примере она все еще может быть mjones в Active Directory и mj5678 в RACF .

Корреляция идентичности должна связать соответствующие идентификаторы входа в системную учетную запись с людьми, которые могут быть неотличимы, а также с теми, кто радикально отличается с точки зрения каждой системы. Тем не менее, оно должно быть связано с одним и тем же человеком.

Обнаружение преднамеренных и непреднамеренных несоответствий в идентификационных данных

Несоответствия в идентификационных данных обычно возникают в организациях со временем по мере добавления, удаления или изменения приложений, а также по мере того, как отдельные лица получают или сохраняют постоянно меняющийся поток прав доступа по мере их поступления в организацию и выхода из нее.

Идентификаторы входа пользователей приложений не всегда имеют одинаковый синтаксис в разных приложениях или системах. Многие идентификаторы входа пользователей недостаточно специфичны, чтобы напрямую соотносить их с одним конкретным человеком в организации.

Несогласованность пользовательских данных также может возникать из-за ошибок ручного ввода, нестандартной номенклатуры или изменений имен, которые могут не обновляться одинаково во всех системах.

В процессе корреляции идентичности следует учитывать эти несоответствия, чтобы связать идентификационные данные, которые при первоначальном расследовании могут показаться несвязанными.

Определение потерянных или несуществующих идентификаторов входа в учетную запись

Организации могут расширяться и консолидироваться посредством слияний и поглощений, что увеличивает сложность бизнес-процессов, политик и процедур.

В результате этих событий пользователи могут перейти в другие части организации, занять новую должность внутри организации или вообще покинуть организацию. В то же время каждое новое добавляемое приложение может создать новый, совершенно уникальный идентификатор пользователя.

Некоторые удостоверения могут стать избыточными, другие могут нарушать политики конкретного приложения или более распространенные политики отдела, третьи могут быть связаны с идентификаторами нечеловеческих или системных учетных записей, а третьи могут больше не быть применимы к конкретной пользовательской среде.

Проекты, которые охватывают разные части организации или ориентированы на более чем одно приложение, становится трудным для реализации, поскольку идентификаторы пользователей часто не организованы должным образом или признаются устаревшими из-за изменений бизнес-процессов.

Процесс корреляции идентификаторов должен идентифицировать все потерянные или несуществующие идентификаторы учетных записей, которые больше не принадлежат таким радикальным изменениям в инфраструктуре организации.

Проверка физических лиц на соответствие их соответствующим идентификаторам учетных записей

В соответствии с такими правилами, как Закон Сарбейнса-Оксли и Закон Грэмма-Лича-Блайли , от организаций требуется обеспечивать целостность каждого пользователя во всех системах и учитывать весь доступ пользователя к различным серверным системам и приложениям в организации.

При правильной реализации корреляция идентичности выявит проблемы с соблюдением требований. Аудиторы часто просят организации отчитываться о том, кто к каким ресурсам имеет доступ. Для компаний, которые еще не полностью внедрили решение по управлению корпоративной идентификацией , корреляция и проверка идентификации необходимы для адекватного подтверждения истинного состояния базы пользователей организации.

Этот процесс проверки обычно требует взаимодействия с людьми внутри организации, которые знакомы с пользовательской базой организации с точки зрения всего предприятия, а также с теми, кто несет ответственность и хорошо осведомлен о каждой отдельной системе и/или пользовательской базе конкретного приложения.

Кроме того, большая часть процесса проверки может в конечном итоге включать прямое общение с рассматриваемым лицом для подтверждения конкретных идентификационных данных, связанных с этим конкретным лицом.

Назначение уникального первичного или общего ключа для каждой системы или приложения. Идентификатор учетной записи, прикрепленный к каждому отдельному пользователю.

В ответ на различные требования соблюдения требований организации могут вводить уникальные идентификаторы для всей своей пользовательской базы, чтобы подтвердить принадлежность каждого пользователя к каждой конкретной системе или приложению, в которых у него есть возможности входа в систему.

Чтобы реализовать такую политику, различные лица, знакомые со всей базой пользователей организации и каждой базой пользователей конкретной системы, должны нести ответственность за проверку того, что определенные идентификаторы должны быть связаны друг с другом, а другие идентификаторы должны быть отделены друг от друга.

После завершения процесса проверки этому лицу и связанным с ним идентификаторам входа в учетную запись, специфичным для системы, может быть присвоен уникальный идентификатор.

Подходы к связыванию разрозненных идентификаторов учетных записей

Как упоминалось выше, во многих организациях пользователи могут входить в разные системы и приложения, используя разные идентификаторы входа. Существует много причин для объединения их в профили пользователей «в масштабе всего предприятия».

Существует ряд основных стратегий для выполнения этой корреляции или «сопоставления идентификаторов»:

Предположим, что идентификаторы учетных записей одинаковы:
- В этом случае отображение тривиально.
- Это действительно работает во многих организациях в тех случаях, когда для присвоения идентификаторов новым пользователям в течение длительного времени используется строгий и стандартизированный процесс.
Импортируйте картографические данные из существующей системы:
- Если организация внедрила надежный процесс сопоставления идентификаторов пользователям в течение длительного периода, эти данные уже доступны и могут быть импортированы в любую новую управления идентификацией . систему
Точное соответствие значений атрибутов:
- Найдите один атрибут идентификации или комбинацию атрибутов в одной системе, которые соответствуют одному или нескольким атрибутам в другой системе.
- Соедините идентификаторы в двух системах, найдя пользователей, чьи атрибуты совпадают.
Примерное совпадение значений атрибутов:
- То же, что и выше, но вместо того, чтобы требовать точного соответствия атрибутов или выражений, допускайте некоторые различия.
- Это позволяет использовать имена с ошибками, непоследовательное написание с заглавной буквы и другие несколько разные имена и схожие значения идентификаторов.
- Риск здесь заключается в том, что в этом процессе случайно будут сопоставлены учетные записи, которые не следует подключать.
Самостоятельная сверка идентификатора входа в систему:
- Предложите пользователям заполнить форму и указать, какими идентификаторами и в каких системах они владеют.
- Пользователи могут лгать или совершать ошибки, поэтому важно проверять введенные пользователем данные, например, попросив пользователей также предоставить пароли и проверить эти пароли.
- Пользователи могут не узнавать имена систем, поэтому важно предлагать альтернативы или вообще спрашивать у пользователей идентификаторы и пароли, а не просить их указать, для какой системы предназначены эти идентификаторы.
Наймите консультанта и/или сделайте это вручную:
- Это по-прежнему оставляет открытым вопрос о том, откуда берутся данные — возможно, путем опроса каждого рассматриваемого пользователя?

Распространенные препятствия на пути корреляции идентичности

Проблемы конфиденциальности

Зачастую любой процесс, требующий углубленного изучения идентификационных данных, вызывает беспокойство по поводу вопросов конфиденциальности и раскрытия информации. Часть процесса корреляции идентичности предполагает, что каждый конкретный источник данных необходимо будет сравнить с авторитетным источником данных, чтобы обеспечить согласованность и достоверность соответствующих корпоративных политик и средств контроля доступа .

Любое такое сравнение, предполагающее раскрытие авторитетных идентификационных данных, связанных с отделом кадров, в масштабе всего предприятия, потребует различных соглашений о неразглашении как внутри компании, так и за ее пределами, в зависимости от того, как организация решит провести корреляцию идентификационных данных.

Поскольку авторитетные данные часто являются строго конфиденциальными и ограниченными, такие опасения могут помешать тщательному и достаточному выполнению действий по корреляции идентичности.

Требуются большие затраты времени и усилий

Большинство организаций испытывают трудности с пониманием несоответствий и сложностей идентификационных данных во всех источниках данных. Как правило, процесс невозможно выполнить точно или в достаточной степени путем сравнения двух списков идентификационных данных вручную или выполнения простых сценариев для поиска совпадений между двумя разными наборами данных. Даже если организация может посвятить такую работу штатным сотрудникам, эти методологии обычно не выявляют достаточный процент несуществующих идентификаторов, не подтверждают достаточный процент совпадающих идентификаторов или не идентифицируют идентификаторы системных (не физических) учетных записей для передачи. типичные требования аудита, связанного с идентификацией.

Ручные усилия по достижению корреляции идентичности требуют много времени и усилий людей и не гарантируют, что усилия будут выполнены успешно или в соответствии с требованиями.

По этой причине на рынок недавно вышли автоматизированные решения по корреляции идентичности, обеспечивающие более простые способы выполнения задач по корреляции идентичности.

Типичная функциональность решения для автоматической корреляции идентичности включает в себя следующие характеристики:

Анализ и сравнение личностей в нескольких источниках данных
Гибкие определения и назначения критериев соответствия для любой комбинации элементов данных между любыми двумя источниками данных.
Простое подключение прямо или косвенно ко всем допустимым источникам данных.
Готовые отчеты и/или сводки результатов сопоставления данных
Возможность вручную переопределить совпадающие или несовпадающие комбинации данных.
Возможность просмотра результатов данных на детальном уровне
Присвоение уникальных идентификаторов предварительно утвержденным или проверенным вручную совпадающим данным.
Возможность экспорта для отправки проверенных списков пользователей обратно в исходные системы и/или решения по обеспечению.
Возможность настройки методов сопоставления данных для уточнения совпадений данных.
Ролевой контроль доступа, встроенный в решение, для регулирования раскрытия идентификационных данных, поскольку данные загружаются, анализируются и проверяются различными лицами как внутри, так и за пределами организации.
Возможность более быстрой и эффективной проверки идентификационных данных конечных пользователей, чем с помощью ручных методологий.
Сбор идентификационных данных с личных мобильных устройств посредством частичного извлечения идентификационных данных ^[2]
Профилирование веб-серфинга и поведения в социальных сетях с помощью механизмов отслеживания. ^[3]
Биометрические измерения рассматриваемых пользователей могут коррелировать личности между системами. ^[4]
Централизованные брокерские системы идентификации, которые администрируют атрибуты идентификации и получают доступ к ним в разных хранилищах идентификации. ^[5]

Три метода реализации проекта корреляции идентичности

Решения по корреляции идентичности могут быть реализованы в рамках трех различных моделей доставки. Эти методологии доставки разработаны, чтобы предложить решение, которое является достаточно гибким, чтобы соответствовать различным бюджетным и кадровым требованиям и соответствовать как краткосрочным, так и/или долгосрочным целям и инициативам проекта.

Покупка программного обеспечения . Это классическая модель покупки программного обеспечения, при которой организация приобретает лицензию на программное обеспечение и запускает программное обеспечение в своей собственной аппаратной инфраструктуре.

Обучение доступно и рекомендуется
Услуги по установке не являются обязательными

Корреляция идентичности как услуга (ICAS) . ICAS — это услуга на основе подписки, в которой клиент подключается к защищенной инфраструктуре для загрузки и выполнения действий по корреляции. Это предложение обеспечивает полную функциональность, предлагаемую решением корреляции идентификационных данных, без необходимости владения и обслуживания оборудования и соответствующего персонала поддержки.

Корреляция идентичности «под ключ» . Методика « под ключ» требует, чтобы клиент заключил договор и предоставил данные поставщику решений для выполнения необходимых действий по корреляции идентичности. После завершения поставщик решений вернет коррелированные данные, выявит несоответствия и предоставит отчеты о целостности данных.

Действия по проверке по-прежнему потребуют прямой обратной связи от отдельных лиц внутри организации, которые понимают состояние базы пользователей организации с точки зрения всего предприятия, а также от тех сотрудников организации, которые знакомы с каждой базой пользователей конкретной системы. Кроме того, некоторые действия по проверке могут потребовать прямой обратной связи от отдельных лиц внутри самой пользовательской базы.

Решение «под ключ» может выполняться как разовое действие, ежемесячно, ежеквартально или даже как часть ежегодной валидационной деятельности организации. Доступны дополнительные услуги, такие как:

Рассылки по электронной почте, помогающие устранить несоответствия в данных
Создание консолидированного или объединенного списка

См. также: Похожие темы

Связанные или связанные темы, подпадающие под категорию корреляции идентичности, могут включать:

Комплаенс-регламенты/Аудиты

Управление личностями

Контроль доступа

Службы каталогов

Другие категории

Управление доступом на основе ролей (RBAC)
Объединение прав доступа пользователей к веб-приложениям в ненадежных сетях.

Ссылки

^ Харрис, Шон . «Универсальное руководство по сдаче экзамена на сертификацию CISSP, 4-е изд.». (9 ноября 2007 г.), McGraw-Hill Osborne Media.
^ Фрич, Лотар; Момен, Нурул (2017). «Производные частичные идентификаторы, созданные на основе разрешений приложения» . Общество компьютерных наук: 117–130. {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )
^ США 8566866 , Флейшман, Майкл Бен, «Корреляция веб-идентичности и идентичности в социальных сетях», опубликовано 22 октября 2013 г., передано Bluefin Labs Inc.
^ Нг-Крюэль, Грейс; Сватман, Пол А.; Хампе, Дж. Феликс; Ребне, Дуглас С. (2006). «Биометрия и электронная идентификация (электронный паспорт) в Европейском Союзе: взгляды конечных пользователей на принятие спорной инновации» . Журнал теоретических и прикладных исследований электронной коммерции . 1 (2): 12–35. дои : 10.3390/jtaer1020010 . ISSN 0718-1876 .
^ Брюггер, Бад П.; Росснагель, Хайко (2016). На пути к децентрализованной экосистеме управления идентификацией для Европы и за ее пределами . Общество компьютерных наук eV ISBN 978-3-88579-658-9 .

[1] Харрис, Шон . «Универсальное руководство по сдаче экзамена на сертификацию CISSP, 4-е изд.». (9 ноября 2007 г.), McGraw-Hill Osborne Media.

[2] Фрич, Лотар; Момен, Нурул (2017). «Производные частичные идентификаторы, созданные на основе разрешений приложения» . Общество компьютерных наук: 117–130. {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )

[3] США 8566866 , Флейшман, Майкл Бен, «Корреляция веб-идентичности и идентичности в социальных сетях», опубликовано 22 октября 2013 г., передано Bluefin Labs Inc.

[4] Нг-Крюэль, Грейс; Сватман, Пол А.; Хампе, Дж. Феликс; Ребне, Дуглас С. (2006). «Биометрия и электронная идентификация (электронный паспорт) в Европейском Союзе: взгляды конечных пользователей на принятие спорной инновации» . Журнал теоретических и прикладных исследований электронной коммерции . 1 (2): 12–35. дои : 10.3390/jtaer1020010 . ISSN 0718-1876 .

[5] Брюггер, Бад П.; Росснагель, Хайко (2016). На пути к децентрализованной экосистеме управления идентификацией для Европы и за ее пределами . Общество компьютерных наук eV ISBN 978-3-88579-658-9 .

[1]

[2]

[3]

[4]

[5]