IdM - Использование

Данная страница перенесена в архив.
Активная разработка продукта прекращена.

Продукты компании КРИПТО-ПРО позволяют использовать российские стандарты шифрования в следующих IdM-системах:

 

ADFS

Служба федерации Active Directory (ADFS) — это компонент Microsoft Windows Server 2003 R2, который обеспечивает технологию единого входа (single-sign-on, SSO) для проверки подлинности пользователя в нескольких веб-приложениях в течение всего сетевого сеанса. В ADFS это достигается путем безопасного использования общего ресурса цифровых учетных данных и прав, в границах области безопасности и в пределах организации. Основной задачей использования ADFS является удобство создания партнерских отношений между организациями или подразделениями одной организации. ADFS предлагает следующий возможности:

  • Проверять учетные данные пользователей и генерировать cookies-файлы ADFS. ADFS может проверять учетные данные пользователей либо средствами Active Directory (AD), либо средствами ADAM. Cookies используются для осуществления однократной процедуры регистрации через Web. Cookies удостоверяют, что пользователи прошли проведенную службой ADFS процедуру аутентификации, и подтверждают, что эти пользователи не обязаны вновь вводить учетные данные всякий раз, когда обращаются к ресурсу партнера по федерацию.
  • Генерировать и трансформировать электронные идентификаторы ADFS. Для создания и наполнения электронных идентификаторов ADFS извлекает сведения о пользователе из каталогов AD или ADAM. В процессе преобразования электронных идентификаторов ADFS трансформирует учетные данные, содержащиеся в электронном идентификаторе, в новый набор учетных данных, которые сохраняет в новом электронном идентификаторе. Цель преобразования учетных данных состоит в том, чтобы каждое поле, сформулированное в одной организации, превратить в эквивалентное поле, определенное в терминах другой организации.
  • Управлять политикой доверительных отношений внутри федерации, которые установлены между ADFS и другими партнерами по федерации. Политика доверительных отношений внутри федерации определяет, какими утверждениями обмениваются друг с другом партнеры по федерации.
  • Обеспечить безопасную передачу пользовательских учетных данных, используя российские стандарты шифрования и цифровой подписи (с применением продуктов КриптоПро TLS и КриптоПро CSP)

 

CardSpace

Windows CardSpace представляет собой основанное на отраслевых стандартах решение для управления идентификацией при работе в Интернет. Windows CardSpace – это способ простой и безопасной идентификации пользователей при перемещении между ресурсами Интернет, не требующий повторного ввода имен и паролей. Идентификация на основе утверждений, принятая многими крупными поставщиками программного обеспечения, может стать большим шагом вперед. В отличие от более ранних технологий унифицированной идентификации (например, Microsoft Passport) Windows CardSpace управляет непосредственно пользователями и приложениями, с которыми устанавливается контакт. Иными словами, можно использовать разные схемы и уровни сложности для идентификации при доступе, например, при регистрации в Web-форумах или для банковских операций.

На прикладном уровне Windows CardSpace - это интерфейс в виде панели информационных карт, которыми можно пользоваться для аутентификации на различных сетевых ресурсах. Он реализован в .Net Framework 3.0, 3.5 и IE7.0. CardSpace является частью модели аутентификации на основе утверждений и реализует протоколы, с помощью которых общаются между собой пользователь, центр идентификации и доверяющая сторона. Это протоколы HTTP/S, протоколы, основанные на наборе стандартов WS-* (WS-Security, WS-Trust, WS-MetadataExchange и WS-SecurityPolicy). Информация пересылается в виде XML-сообщений, подписанных и зашифрованных. То есть вся система полностью построена на открытых протоколах и не привязана к каким-либо платформам.

CardSpace призван:

  • упростить процесс аутентификации пользователей на веб-сервисах и приложениях,
  • контролировать распространение пользовательских данных,
  • обеспечивать защищенную передачу пользовательских данных.

Компания КРИПТО-ПРО реализовала продержу российской криптографии для стека протоколов WS-* и CardSpace v1. Для этого необходим продукт КриптоПро Sharpei.

 

ADFS2 (Geneva Server)

Geneva Server представляет собой "облачную" платформу для корпоративной идентификации, при помощи которой пользователи могут использовать единую идентификацию не только для разных сервисов в рамках одного домена или сети, но и в разных сетях и доменах. Главным преимуществом Geneva является поддержка спецификаций языка Security Assertion Markup Language (SAML) 2.0, позволяющих использовать разработку Microsoft в тандеме с другими средствами для идентификации, в частности с теми, что разрабатывают компании Novell, CA, SAP или Sun. Стоит отметить, что Geneva Server базируется на Active Directory Federation Services, расширяя его дополнительными сценариями и протоколами. В отличие от предыдущих версий ADFS2 может работать с клиентским сервисом Geneva CardSpace, совместимым с Windows Vista и Windows 7. Использование Geneva Server, реализующую технологию CBA, позволит:

  • Обеспечить защищенное взаимодействие между доменами Active Directory.
  • Избежать дублирования учетных записей и снизит расходы на управление ими, за счет создания единой регистрации между организациями, приложениями, платформами.
  • Использовать Windows CardSpace для междоменной идентификации. Geneva Server позволит использовать CardSpace как с веб-сервисами, так и с приложениями на основе обозревателя.
  • Расширить возможности аутентификации на веб-сайтах, упрощая аутентификацию по смарт-картам.
  • Применять несколько методов аутентификации.
  • Обеспечить безопасную передачу пользовательских учетных данных, используя российские стандарты шифрования и цифровой подписи (с применением продуктов КриптоПро Sharpei и КриптоПро CSP).

 

Центр Идентификации Bandit

Центр Идентификации Bandit (Bandit IdP) – это продукт, созданный на основе двух open source-проектов Bandit и Higgins. Центр Идентификации Bandit написан на платформе Java и использует сертифицированные средства защиты КриптоПро JCP, и КриптоПро JTLS. Центр Идентификации Bandit работает как веб-приложение под управлением TomCat и предоставляет следующую функциональность:

  • Создание и управление пользовательскими данными. Включает в себя инструменты для создания учетных данных, редактирования атрибутов, удаления пользователей и управления паролями. Администратор может изменять атрибуты доступные пользователям, и указывать, какие атрибуты доступны для изменений самим пользователем.
  • Выпуск инфокарт. Администратор имеет возможность создать несколько шаблонов карт. После чего пользователь получает инфокарту, выпущенную по одному из шаблонов.
  • Служба электронных идентификаторов (STS). ЦИ Bandit имеет встроенный Higgins STS. Служба электронных идентификаторов выпустит электронный идентификатор, представляющий собой маркер безопасности, когда пользователь выберет одну из инфокарт, изданных ЦИ Bandit и корректно пройдет процедуру аутентификации.
  • Использование различных хранилищ пользовательских данных.

Центр Идентификации Bandit использует Higgins IdAS (Identity Attribute Service) для доступа к пользовательским данным. IdAs – это уровень абстракции, позволяющий подключать различные хранилища данных. Поэтому ЦИ Bandit может обращаться за пользовательскими данными к LDAP, SQL и т.д.

 

Windows Identity Foundation (WIF)

Windows Identity Foundation – компонент .NET Framework, который поможет разработчикам обеспечить безопасный и удобный доступ пользователей к приложениям на серверах и в облаке. Windows Identity Foundation упрощает аутентификацию на веб-сервисах и приложениях, реализуя модель аутентификации на основе утверждений. Также используя WIF RTM, разработчики могут создать собственные Центры Идентификации.

Для поддержки российской криптографии необходим продукт КриптоПро Sharpei.

Купить

Подписка