Федеративное управление идентификацией — полное руководство

Вы когда-нибудь были в ситуации, когда вам приходилось управлять разными удостоверениями одного и того же человека для разных приложений? Другими словами, один и тот же пользователь использует разные учетные данные для входа в разные приложения в отслеживаемых системах. Если вы были там, вы знаете, насколько хаотичным может быть управление этими разными учетными данными.

Чтобы сделать вашу жизнь как системного администратора намного проще, Federated Identity Management ( FIM ) — это инструмент, который вам нужен. В широком смысле федеративное управление идентификацией — это модель, которая позволяет пользователям входить в разные системы и домены безопасности, используя единый набор учетных данных для входа, независимо от базовой технологии.

Например, Эндрю — морской биолог, и ему нужно собрать пробы воды в разных регионах Тихоокеанского побережья, чтобы узнать больше о влиянии изменения климата на характер миграции китов. Он регулярно собирает и анализирует данные из своего университета в Сиэтле. Также он использует океанографические мощности университетов Ванкувера и Калифорнии, где берет данные от государственных органов, а иногда даже от частных организаций. Многие из этих колледжей и организаций не только предоставляют данные Эндрю, но и позволяют ему использовать некоторые специализированные приложения, разработанные ими в этой области. Однако аутентификация Эндрю для каждой системы может оказаться непростой задачей как для организаций, так и для него самого, поскольку требуется несколько учетных данных.

Федеративное управление идентификацией помогает беспрепятственно управлять таким множественным доступом. С помощью FIM Эндрю может иметь одно университетское имя пользователя и пароль, и каждый раз, когда он входит в систему другого университета или организации, его домашний университет подтверждает, что его учетные данные являются законными. Таким образом, Эндрю может поддерживать единую идентификацию и по-прежнему получать доступ к различным системам, не беспокоясь о безопасности и технологии, используемой для создания этих систем.

Точно так же, когда Эндрю готов поделиться своими выводами, он может просто поделиться ими со всеми своими партнерами по федерации. Протоколы федеративной авторизации FIM позволяют партнерам получать доступ к данным из одного места и даже добавлять к ним свои комментарии. Эти комментарии видят другие партнеры и Андрей, и они могут работать над ними вместе. Таким образом, федеративное управление идентификацией выводит совместную работу на новый уровень.

Теперь, когда вы знаете, что такое федеративное управление идентификацией, давайте кратко рассмотрим, как работает эта технология.

Как работает федеративное управление идентификацией?

При федеративном управлении идентификацией группа организаций объединяется, чтобы стать федеративными членами университета или «домашней» организации с целью получения от этого взаимной выгоды. Когда пользователь, связанный с членом федерации, запрашивает доступ к информации и приложениям, расположенным в системе других организаций, ему/ей предлагается ввести имя пользователя и пароль домашней организации. Этот запрос направляется обратно в домашнюю организацию для проверки учетных данных пользователя. После проверки пользователь аутентифицируется для использования системы других участников. Эта проверка может быть выполнена с использованием различных технологий, таких как спецификации языка разметки утверждений безопасности (SAML), Higgins, InfoCard и OpenID. Кроме того, можно использовать другие открытые спецификации отраслевых стандартов, чтобы участвующие организации могли добиться функциональной совместимости независимо от технологии, которую они используют для аутентификации личности и веб-безопасности.

Члены федерации могут даже решить, какие атрибуты пользователя, такие как имя, адрес электронной почты и должность, должны быть общими, на основе их политик безопасности. Соответственно, их системы могут быть спроектированы так, чтобы предоставлять или запрещать доступ.

Почему следует использовать федеративное управление идентификацией?

Очевидный ответ — удобство. С точки зрения пользователя, ему нужно помнить только одно имя пользователя и пароль для доступа к различным веб-сайтам и приложениям. Это может быть огромным облегчением, особенно если им приходится регулярно сотрудничать с разными организациями. Представьте себе, что вы запоминаете учетные данные десяти разных организаций и знаете, какие учетные данные предназначены для какой организации. Это обязательно сведет любого с ума! FIM снимает это ненужное бремя.

Если вы системный администратор, то федеративное управление идентификацией — ваш лучший друг, поскольку система должна проверять учетные данные только один раз, а не для каждого приложения. Допустим, в вашей организации есть пользователь, которому нужен доступ к пяти различным приложениям в вашей организации. Без FIM ваша система должна аутентифицировать пользователя во всех пяти приложениях, и вам придется отслеживать все эти аутентификации. Это может быть довольно хлопотно и отнимать ваше время и силы, потому что это такая монотонная и повторяющаяся работа, и все же это то, чего вы не можете избежать. С помощью FIM вы можете устанавливать разрешения и доступ для пользователей на основе одного имени пользователя, и вам не нужно беспокоиться об аутентификации для каждого приложения. Таким образом, это снижает вашу рабочую нагрузку, значительно упрощает управление идентификацией и доступом, а также оптимизирует доступ к ресурсам.

Помимо доступа, другой важной причиной использования федеративного управления идентификацией является совместная работа. Члены федерации могут получать доступ к данным из одной точки, комментировать их, делиться своими выводами и делать многое другое. Такое сотрудничество, по сути, является визитной карточкой цифрового мира, и FIM помогает максимально использовать его.

Есть ли в нем недостатки?

Как и любая технология, федеративное управление идентификацией также имеет свои недостатки. Самым большим недостатком являются первоначальные затраты, которые организациям придется понести, чтобы модифицировать свои существующие приложения и системы. Хотя эти затраты могут быть незначительными для крупных организаций и государственных учреждений, они могут быть значительными для небольших организаций. Кроме того, участвующие члены федерации должны разрабатывать политики, отвечающие требованиям безопасности всех членов, и это может быть сложно, учитывая различные ландшафты и правила каждой организации. Например, правила университета, частной организации и государственного учреждения могут не совпадать, но политика должна учитывать правила всех этих трех организаций.

Кроме того, организация может входить в состав разных федераций, что означает, что ее политика должна отражать правила всех федераций. Такая оптимизация требует огромного количества времени и усилий, которые многие организации могут не захотеть вкладывать в настоящее время.

Несмотря на эти недостатки и сложности, федеративное управление идентификацией стоит усилий, поскольку преимущества от него огромны, особенно если организация намерена использовать данные и исследования других организаций, работающих в той же области. Кроме того, он закладывает основу для будущего связанного мира.

Собираем все вместе

В заключение, федеративное управление идентификацией — это набор лучших практик и инструментов, которые позволяют пользователю входить в различные системы федеративных членов, используя одно имя пользователя и пароль. Такая упрощенная проверка подлинности с единым входом позволяет пользователям легко запоминать свои учетные данные, упрощает доступ к ресурсам, улучшает совместную работу и облегчает системным администраторам контроль проверки подлинности и безопасности удостоверений. В настоящее время FIM находится на стадии разработки, но ожидается, что она станет широко распространенной, когда в будущем методы и системы федеративной идентификации станут более зрелыми.