Федеративная идентичность - Federated identity

А федеративная идентичность в информационные технологии это средство связи человека электронная идентификация и атрибуты, хранящиеся в нескольких различных управление идентификацией системы.[1]

Федеративная идентичность связана с Единая точка входа (SSO), в котором один пользовательский аутентификация билет, или жетон, пользуется доверием в нескольких ИТ-системах или даже в организациях.[2][3] SSO - это подмножество федеративное управление идентификацией, поскольку это относится только к аутентификация и понимается на уровне технической совместимости, и это было бы невозможно без какой-либо федерации.[4]

Управление

В информационные технологии (ИТ) федеративное управление идентификацией (FIdM) сводится к наличию общего набора политик, практик и протоколов для управления идентификацией и доверием ИТ-пользователям и устройствам в организациях.[5]

Единая точка входа (SSO) системы позволяют одному пользователю аутентификация процесс в нескольких ИТ-системах или даже в организациях. SSO - это подмножество федеративного управления идентификацией, поскольку оно относится только к аутентификации и технической совместимости.

Централизованный Решения для управления идентификацией были созданы, чтобы помочь в обеспечении безопасности пользователей и данных, когда пользователь и системы, к которым они обращались, находились в одной сети - или, по крайней мере, в одной и той же «области контроля». Однако все чаще пользователи обращаются к внешним системам, которые в основном находятся за пределами их области контроля, а внешние пользователи обращаются к внутренним системам. Все более распространенное разделение пользователей и систем, которым требуется доступ, является неизбежным побочным продуктом децентрализации, вызванной интеграцией Интернета во все аспекты личной и деловой жизни. Растущие проблемы управления идентификацией, и особенно проблемы, связанные с межфирменным междоменным доступом, привели к появлению нового подхода к управлению идентификацией, известного теперь как «федеративное управление идентификацией».

FIdM, или «федерация» идентичности, описывает технологии, стандарты и сценарии использования, которые служат для обеспечения переносимости информации идентичности между автономными доменами безопасности. Конечная цель федерации удостоверений - дать пользователям одного домена возможность беспрепятственно безопасно получать доступ к данным или системам другого домена без необходимости полностью дублировать администрирование пользователей. Идентификационная федерация бывает разных видов, включая сценарии «контролируемые пользователем» или «ориентированные на пользователя», а также контролируемые предприятием или бизнес для бизнеса сценарии.

Федерация обеспечивается за счет использования открытых отраслевых стандартов и / или открыто опубликованных спецификаций, так что несколько сторон могут достичь взаимодействия для общих сценариев использования. Типичные варианты использования включают такие вещи, как междоменный, веб- Единая точка входа, междоменное предоставление учетных записей пользователей, междоменное управление правами и междоменный обмен атрибутами пользователей.

Использование стандартов федерации удостоверений может снизить затраты за счет устранения необходимости масштабировать одноразовые или проприетарные решения. Это может повысить безопасность и снизить риски, позволяя организации идентифицировать и аутентифицировать пользователя один раз, а затем использовать эту идентификационную информацию в нескольких системах, включая веб-сайты внешних партнеров. Это может улучшить соблюдение конфиденциальности, позволяя пользователю контролировать, какая информация передается, или ограничивая объем передаваемой информации. И, наконец, он может значительно улучшить взаимодействие с конечным пользователем, устранив необходимость в регистрации новой учетной записи с помощью автоматической «федеративной подготовки» или необходимости дублировать вход через междоменный единый вход.

Понятие федерации идентичности чрезвычайно широко и также постоянно развивается. Он может включать в себя сценарии использования между пользователем и пользователем, а также сценарии использования между приложениями как на уровне браузера, так и в веб-службах или Сервис-Ориентированная Архитектура (SOA) уровень. Он может включать в себя сценарии с высоким уровнем доверия и безопасности, а также сценарии с низким уровнем доверия и низким уровнем безопасности. Уровни гарантии идентичности, которые могут потребоваться для данного сценария, также стандартизируются с помощью общих и открытых Структура обеспечения идентичности. Он может включать в себя варианты использования, ориентированные на пользователя, а также на сценарии использования, ориентированные на предприятие. Термин «федерация идентичности» изначально является общим термином и не привязан к какому-либо конкретному протоколу, технологии, реализации или компании. Идентификационные федерации могут быть двусторонними или многосторонними. В последнем случае многосторонняя федерация часто встречается на вертикальном рынке, например, в правоохранительных органах (таких как Национальная федерация обмена идентичностями - NIEF.[6]) и исследований и образования (например, InCommon).[7] Если федерация идентичности двусторонняя, две стороны могут обмениваться необходимыми метаданными (ключами подписи утверждений и т. Д.) Для реализации отношений. В многосторонней федерации обмен метаданными между участниками - более сложный вопрос. Он может обрабатываться при обмене по схеме «ступица и луч» или путем распределения совокупности метаданных федеративным оператором.

Однако непротиворечивым является тот факт, что «федерация» описывает методы переносимости идентификационной информации, которые достигаются открытым, часто основанным на стандартах способом, что означает, что любой, кто придерживается открытой спецификации или стандарта, может достичь полного спектра использования: корпуса и взаимодействие.

Идентификационная федерация может быть реализована любым количеством способов, некоторые из которых включают использование официальных Интернет-стандартов, таких как ОАЗИС Язык разметки утверждения безопасности (SAML), некоторые из которых могут включать технологии с открытым исходным кодом и / или другие открыто опубликованные спецификации (например, Информационные карты, OpenID, то Структура доверия Хиггинса или проект Novell Bandit).

Технологии

Технологии, используемые для федеративной идентификации, включают: SAML (Язык разметки утверждения безопасности), OAuth, OpenID, Токены безопасности (простые веб-токены, веб-токены JSON и утверждения SAML), Технические характеристики веб-службы, и Windows Identity Foundation.[8]

Государственные инициативы

Соединенные Штаты

В Соединенных Штатах Национальный институт стандартов и технологий (NIST) через Национальный центр передового опыта в области кибербезопасности, проявил интерес к теме, участвует в разработке новых стандартов и исследованиях.[9]

Федеральная программа управления рисками и авторизацией (FedRAMP) - это общегосударственная программа, которая обеспечивает стандартизированный подход к оценке безопасности, авторизации и непрерывному мониторингу облачных продуктов и услуг.

FedRAMP позволяет агентствам быстро адаптироваться от устаревших небезопасных унаследованных ИТ к надежным, безопасным и экономичным облачным ИТ.

Примеры

Платформы цифровой идентификации, которые позволяют пользователям входить на сторонние веб-сайты, в приложения, мобильные устройства и игровые системы с их существующей идентификацией, т.е. социальный вход, включают:

Примечание. Facebook Connect - это делегированный идентификатор, а не федеративный.[11]

Смотрите также

Рекомендации

  1. ^ Мэдсен, Пол, изд. (5 декабря 2005 г.). «Белая книга проекта Liberty Alliance: Liberty ID-WSF People Service - федеративная социальная идентичность» (PDF). Получено 2013-07-11.
  2. ^ Федеративная идентификация для веб-приложений, microsoft.com. Дата обращения 3 июля 2017.
  3. ^ Гаедке, Мартин; Йоханнес, Майнеке; Нуссбаумер, Мартин (2005-05-01). Подход к моделированию федеративной идентификации и управления доступом (PDF). Особые интересные треки и постеры 14-й Международной конференции по всемирной паутине. Ассоциация вычислительной техники. С. 1156–1157. Дои:10.1145/1062745.1062916. ISBN  978-1595930514. Получено 2017-07-03.
  4. ^ Чедвик, Дэвид В. (2009). «Федеративное управление идентификацией» (PDF). Основы анализа и проектирования безопасности V. Конспект лекций по информатике. 5705. С. 96–120. CiteSeerX  10.1.1.250.4705. Дои:10.1007/978-3-642-03829-7_3. ISBN  978-3-642-03828-0. ISSN  0302-9743. Проверено 3 июля 2017.
  5. ^ http://net.educause.edu/ir/library/pdf/EST0903.pdf В архиве 2017-08-29 в Wayback Machine 7 вещей, которые вы должны знать о Федеративном управлении идентификацией
  6. ^ «Национальная федерация обмена идентичностями». nief.org. Получено 2018-05-15.
  7. ^ «InCommon: безопасность, конфиденциальность и доверие для исследовательского и образовательного сообщества». incommon.org. Получено 2018-05-15.
  8. ^ Раунтри, Деррик (2012). Учебник по федеративной идентичности. Syngress Media. ISBN  978-0124071896.
  9. ^ https://nccoe.nist.gov/projects/building-blocks/privacy-enhanced-identity-brokers Федерация идентификации с улучшенной конфиденциальностью
  10. ^ Войти через Amazon
  11. ^ «Делегированный ID против федеративного | Здесь нечего смотреть». sites.psu.edu. Получено 2020-11-22.