Данная страница перенесена в архив.
Активная разработка продукта прекращена.

IdM-системы

Системы IdM (Identity management или Identity and access management (IAM)) нацелены на автоматизацию многочисленных задач, возникающих на протяжении жизненного цикла идентификационных данных. Они обеспечивают взаимодействие отдела кадров, службы безопасности и ИТ-администраторов, снабжая их необходимым программным инструментарием.

IdM – это процессы, технологии и системы для управления жизненным циклом идентификационных объектов. Эти объекты могут представлять собой:

• идентификаторы индивидуальных пользователей;
• учетные записи;
• роли сотрудников (на уровне организационной структуры, бизнес-процессов или прав доступа);
• индексы принадлежности к определенным группам и т. д.

Жизненный цикл любого из перечисленных объектов включает в себя создание, поддержание, изменение, блокировку и удаление в соответствии с изменением статуса сотрудника в организации (прием на работу, должностные ротации, перевод в другое подразделение, увольнение).

IdM-системы реализуют следующие категории процессов:

• аутентификация, т.е. проверка того, что пользователь или система является именно тем, за кого себя выдает;
• авторизация, т.е. проверка права аутентифицированной стороны получить доступ к запрошенному ресурсу;
• контроль доступа, описание правил обращения владельца идентификатора с конкретным ресурсом;
• аудит и отчетность, которые предполагают обязательную регистрацию всех событий с идентификационными данными.

Аутентификация и авторизация

Многие заказчики воспринимают IdM-решения как краеугольный камень корпоративной системы информационной безопасности. Отдельной частью IdM-решений являются системы аутентификации и авторизации. Отвечая потребностям бизнеса, эксперты в области информационной безопасности изучили множество успешных и не очень систем идентификации, сделали ряд выводов и сформулировали требования к системам идентификации.

На сегодняшний день самым распространенным методом аутентификации в Internet является логин/пароль. Практика показывает, что он имеет больше недостатков, чем преимуществ. Каждое приложение должно хранить базу данных всех учетных записей, а в идеале и защищать её. В итоге происходит дублирование пользовательских данных: пользователи вынуждены помнить множество логин/паролей, а на владельцев ресурсов ложится лишняя нагрузка по хранению и управлению этими данными. В корпоративных системах ситуация лучше, но есть свои проблемы. В большинстве продуктов есть те или иные способы строгой аутентификации. Трудности возникают при попытке интегрировать различные системы. Ситуация упрощается, если в организации работают продукты одного поставщика, иначе приходится скрещивать решения разных компаний, и в большинстве случаев это потребует определённых усилий. Ещё сложнее обеспечить единую аутентификацию пользователей между двумя различными организациями.

Для решения этих задач последние несколько лет в рамках общеотраслевой инициативы разрабатывалась единая система управления идентификационными данными на базе стандартных протоколов. Результатом совместной работы стало создание модели аутентификации на основе утверждений, которая нашла свою реализацию в продуктах таких компаний, как Microsoft, Novel, Oracle, IBM, Sun.

Модель аутентификации на основе утверждений (claim-based authentication, CBA) состоит из трех основных компонент:

• Доверяющая сторона (relying party, RP) – веб приложение или сервис, которым требуются «утверждения», чтобы принять решение о дальнейших действиях. Утверждения можно рассматривать как единицу идентификационной информации, например: имя, возраст, членство в группах, роль и т.д.;
• Центр Идентификации (Identity provider, IP) – веб сервис или приложение, выпускающее электронные идентификаторы (security token), содержащие сведения о пользователе. Электронные идентификатор представляет собой маркер безопасности с набором сведений (утверждений) о пользователе, заверенных цифровой подписью центра и, возможно, зашифрованных. Такими сведениями могут быть имя пользователя, адрес электронной почты, членство в группе, принадлежность роли, права данного пользователя и т.п.;
• Пользователь – принимающий решение, какую информацию о себе он может и хочет предоставить.

Центр идентификации (ЦИ) играет ключевую роль в данной модели. Его назначение – вынести аутентификацию из приложения, заменив её на доверие к утверждениям. В этом случае приложение может выбирать необходимый набор сведений о пользователе (идентификационных данных) и указывать ЦИ, которому оно доверяет. На ЦИ ложится вся тяжесть работы по авторизации пользователя, получению идентификационных данных, выпуску и криптографической защите электронных идентификаторов. ЦИ может поддерживать несколько методов аутентификации пользователя: билет Kerberos, сертификаты X509, логин/пароль, маркер безопасности.

Для того чтобы сделать пользователя активным участником процесса аутентификации Центр идентификации может выпускать Информационные карты (information card далее инфокарта). С точки зрения пользователя инфокарта – это наглядное представление его цифровой сущности. Здесь есть полная аналогия с реальным миром – паспортом, кредитной карточкой и т.п. Под словом «сущность» понимается набор утверждений, описывающих пользователя или другой объект в системе. Сама по себе инфокарта не хранит пользовательских данных, но в ней содержится информация о том, как и где пользователь может получить электронный идентификатор, с необходимым набором полей.

Для удобства работы с инфокартами разработаны окна управления инфокартами (Identity Selectors). Они скрывают от пользователя всю работу по разбору политик безопасности приложений, центров идентификации, получению и отправке маркеров безопасности, согласованию протоколов, криптографическим операциям. Пользователю остается только согласиться с информацией о нем, отправляемой вместе с электронным идентификатором.

Преимущество технологии CBA – поддержка большого числа сценариев аутентификации, позволяющие удовлетворить все потребности бизнеса.

Компания КРИПТО-ПРО, видя повышенное внимание и перспективность технологий и систем управления идентификационными данными, готова предложить консалтинговые услуги в развертывании и применении данных систем. Стоит отметить, если предъявляются высокие требование к безопасности со стороны регулирующих органов или по другим соображениям, возникает необходимость использовать сертифицированные решения с российскими криптографическими алгоритмами. Компания КРИПТО-ПРО реализовала поддержку российской криптографии для нескольких IdM-систем:

• CardSpace v1, ADFS 2 (Geneva Server), ADFS, Windows Identity Foundation от компании Microsoft,
• Bandit Identity Provider и Higgins, open source проекта, реализованного при поддержке специалистов компании Novell, IBM.

Эта поддержка реализована в продуктах КриптоПро Sharpei, КриптоПро JCP, КриптоПро JTLS и КриптоПро CSP.