Tożsamość federacyjna - Federated identity

Stowarzyszony tożsamość w technologii informacyjnej jest drogą łączącą osoby elektronicznej tożsamości i atrybutów, przechowywanych w wielu różnych zarządzania tożsamością systemów.

Tożsamość federacyjna jest związana z pojedynczym logowaniem (SSO), w którym pojedynczy bilet uwierzytelniania lub token użytkownika jest zaufany w wielu systemach informatycznych, a nawet w organizacjach. SSO jest podzbiorem federacyjnego zarządzania tożsamością , ponieważ dotyczy tylko uwierzytelniania i jest rozumiane na poziomie technicznej interoperacyjności i nie byłoby to możliwe bez jakiejś federacji.

Zarządzanie

W technologii informatycznej (IT) federacyjne zarządzanie tożsamością (FIdM) oznacza posiadanie wspólnego zestawu zasad, praktyk i protokołów w celu zarządzania tożsamością i zaufaniem do użytkowników i urządzeń IT w różnych organizacjach.

Single sign-on (SSO) systemy pozwalają pojedynczego użytkownika uwierzytelniania proces w wielu systemach informatycznych, a nawet organizacji. Logowanie jednokrotne jest podzbiorem sfederowanego zarządzania tożsamością, ponieważ dotyczy tylko uwierzytelniania i interoperacyjności technicznej.

Scentralizowane rozwiązania do zarządzania tożsamością zostały stworzone, aby pomóc w radzeniu sobie z bezpieczeństwem użytkowników i danych, gdy użytkownik i systemy, do których uzyskiwał dostęp, znajdowali się w tej samej sieci - lub przynajmniej w tej samej „domenie kontroli”. Coraz częściej jednak użytkownicy uzyskują dostęp do systemów zewnętrznych, które są zasadniczo poza ich domeną kontroli, a użytkownicy zewnętrzni uzyskują dostęp do systemów wewnętrznych. Coraz powszechniejsze oddzielanie użytkownika od systemów wymagających dostępu jest nieuniknionym produktem ubocznym decentralizacji, jaką jest integracja Internetu z każdym aspektem życia osobistego i biznesowego. Ewoluujące wyzwania związane z zarządzaniem tożsamością, a zwłaszcza wyzwania związane z dostępem międzyfirmowym i międzydomenowym, zaowocowały nowym podejściem do zarządzania tożsamością, znanym obecnie jako „federacyjne zarządzanie tożsamością”.

FIdM, czyli „federacja” tożsamości, opisuje technologie, standardy i przypadki użycia, które umożliwiają przenoszenie informacji o tożsamości między innymi autonomicznymi domenami bezpieczeństwa. Ostatecznym celem federacji tożsamości jest umożliwienie użytkownikom jednej domeny bezpiecznego dostępu do danych lub systemów w innej domenie, bezproblemowo i bez konieczności całkowicie nadmiarowego administrowania użytkownikami. Federacja tożsamości ma wiele odmian, w tym scenariusze „kontrolowane przez użytkownika” lub „zorientowane na użytkownika”, a także scenariusze kontrolowane przez przedsiębiorstwo lub między przedsiębiorstwami .

Federacja jest możliwa dzięki wykorzystaniu otwartych standardów branżowych i / lub publicznie publikowanych specyfikacji, dzięki czemu wiele stron może osiągnąć interoperacyjność dla typowych przypadków użycia. Typowe przypadki użycia obejmują takie rzeczy, jak międzydomenowe, jednokrotne logowanie oparte na sieci WWW , międzydomenowe udostępnianie kont użytkowników, zarządzanie uprawnieniami między domenami i międzydomenowa wymiana atrybutów użytkowników.

Stosowanie standardów federacji tożsamości może obniżyć koszty, eliminując potrzebę skalowania rozwiązań jednorazowych lub zastrzeżonych. Może zwiększyć bezpieczeństwo i obniżyć ryzyko, umożliwiając organizacji jednorazowe zidentyfikowanie i uwierzytelnienie użytkownika, a następnie wykorzystanie tych informacji o tożsamości w wielu systemach, w tym w witrynach partnerów zewnętrznych. Może poprawić zgodność z zasadami prywatności, umożliwiając użytkownikowi kontrolowanie udostępnianych informacji lub ograniczając ilość udostępnianych informacji. I wreszcie, może drastycznie poprawić wrażenia użytkownika końcowego, eliminując potrzebę rejestracji nowego konta poprzez automatyczne „federacyjne udostępnianie” lub potrzebę redundantnego logowania się poprzez jednokrotne logowanie między domenami.

Pojęcie federacji tożsamości jest niezwykle szerokie, a także ewoluuje. Może obejmować scenariusze typu użytkownik-użytkownik i użytkownik-aplikacja, a także scenariusze przypadków użycia aplikacji-aplikacji zarówno w warstwie przeglądarki, jak i w warstwie usług internetowych lub architektury zorientowanej na usługi (SOA). Może obejmować scenariusze o wysokim poziomie zaufania i wysokim poziomie bezpieczeństwa, a także scenariusze o niskim poziomie zaufania i niskim poziomie zabezpieczeń. Poziomy zabezpieczenia tożsamości, które mogą być wymagane w danym scenariuszu, są również standaryzowane poprzez wspólne i otwarte ramy zapewniania tożsamości . Może obejmować przypadki użycia skoncentrowane na użytkowniku, a także przypadki użycia skoncentrowane na przedsiębiorstwie. Termin „federacja tożsamości” jest z założenia terminem ogólnym i nie jest związany z żadnym konkretnym protokołem, technologią, wdrożeniem ani firmą. Federacje tożsamości mogą być związkami dwustronnymi lub wielostronnymi. W tym drugim przypadku wielostronna federacja często występuje na rynku wertykalnym, takim jak organy ścigania (takie jak National Identity Exchange Federation - NIEF) oraz badania i edukacja (takie jak InCommon). Jeśli federacja tożsamości jest dwustronna, obie strony mogą wymieniać niezbędne metadane (klucze podpisywania potwierdzeń itp.) W celu zaimplementowania relacji. W federacji wielostronnej wymiana metadanych między uczestnikami jest bardziej złożoną kwestią. Może być obsługiwany w ramach wymiany typu hub-and-spoke lub przez dystrybucję zagregowanych metadanych przez operatora federacyjnego.

Jedną rzeczą, która jest spójna, jest jednak fakt, że „federacja” opisuje metody przenoszenia tożsamości, które są osiągane w otwarty, często oparty na standardach sposób - co oznacza, że ​​każdy, kto przestrzega otwartej specyfikacji lub standardu, może osiągnąć pełne spektrum zastosowań. przypadki i interoperacyjność.

Federację tożsamości można przeprowadzić na wiele sposobów, z których niektóre obejmują użycie formalnych standardów internetowych, takich jak specyfikacja języka OASIS Security Assertion Markup Language (SAML), a niektóre z nich mogą obejmować technologie open source i / lub inne publicznie publikowane specyfikacje (np. karty informacyjne , OpenID , struktura zaufania Higgins lub projekt Bandit firmy Novell).

Technologie

Technologie używane do tożsamości federacyjnej obejmują SAML (Security Assertion Markup Language), OAuth , OpenID , Security Tokens (Simple Web Tokens, JSON Web Tokens i SAML Assertions ), Web Service Specifications i Windows Identity Foundation .

Inicjatywy rządowe

Stany Zjednoczone

W Stanach Zjednoczonych, National Institute of Standards and Technology (NIST), za pośrednictwem National Cybersecurity Center of Excellence , zainteresował się tym tematem i uczestniczy w opracowywaniu nowych standardów i uczestniczy w badaniach.

Federalny program zarządzania ryzykiem i autoryzacją ( FedRAMP ) to ogólnokrajowy program zapewniający standardowe podejście do oceny bezpieczeństwa, autoryzacji i ciągłego monitorowania produktów i usług w chmurze.

FedRAMP umożliwia agencjom szybką adaptację ze starego, niezabezpieczonego, istniejącego IT do sprzyjającego misji, bezpiecznego i opłacalnego IT w chmurze.

Przykłady

Platformy tożsamości cyfrowej, które umożliwiają użytkownikom logowanie się do witryn internetowych, aplikacji, urządzeń mobilnych i systemów gier osób trzecich przy użyciu ich istniejącej tożsamości, tj. Umożliwiają logowanie społecznościowe , obejmują:

Uwaga: Facebook Connect to identyfikator delegowany, a nie federacyjny.

Zobacz też

Bibliografia