Мы движемся к Федерации управления идентификацией (часть 2)

Введение

В предыдущей статье мы рассмотрели знакомые методы аутентификации и то, что представляет собой двухфакторная и многофакторная аутентификация. Мы также рассмотрели различные типы токенов.

Ранее мы отмечали, что с большим количеством методов аутентификации, чем когда-либо прежде, аппаратное обеспечение продвинулось до такой степени, что может упростить сложные процессы аутентификации.

Федеративное облако и аутентификация

Федерация может быть путем вперед. Использование наших установленных баз данных аутентификации, которые уже существуют и являются частью интегрированных систем аутентификации, которые всегда доступны и надежны, создает убедительный аргумент. Федерация решает проблему неудобства и простоты использования. Включение единого входа (SSO) для входа пользователей на разные сайты без совместного использования их учетных данных с каждым сайтом — это продвижение аутентификации в правильном направлении. Необходимо иметь дело с меньшим количеством паролей, и строгая аутентификация может стать более распространенной.

В конечном итоге это, вероятно, приведет к биометрической и контекстной аутентификации, которая проверяет множество уникальных пользовательских элементов для вашей аутентификации. Это все еще созревает, поэтому еще не определено и не принято в качестве глобального стандарта.

Федеративные учетные данные позволяют пользователям выбирать надежные учетные данные через поставщика федеративных удостоверений. Первоначально федеративные учетные данные использовались внутри корпораций, чтобы коллеги могли использовать свои собственные учетные данные для доступа к бизнес-ресурсам в нескольких системах без необходимости многократного входа в систему с использованием разных учетных данных. Хорошим примером этого является использование учетных данных MSN/Hotmail с MS Lync, чтобы иметь возможность использовать корпоративный Lync с частными учетными данными. Очень удобная система. Федерация также позволяла подключать одну систему Lync к другим системам Lync, образуя супероблако систем Lync, чтобы сотрудник одной компании мог легко общаться с системой Lync другой компании. В наши дни некоторые онлайн-компании имеют тенденцию разрешать пользователям входить в систему, используя свои учетные данные в социальных сетях.

С глобальным переходом к облаку федеративное облако, вероятно, станет следующим очевидным прогрессом, оно начало развиваться, но есть ощущение, что сейчас оно ускорится, поскольку учетные данные становятся все более ориентированными на безопасность. Облако доступно для всех и везде, и в нашей отрасли мы заметили, что аутентификация может быть проблемой для команд разработчиков, так почему бы не использовать чужую систему для обеспечения безопасности. Он может похвастаться сверхнизким уровнем простоя и мгновенностью с малой задержкой для высокодоступных систем, и часто один или несколько крупных провайдеров могут использоваться в сочетании с внутренними учетными данными для аварийного восстановления. Идея состоит в том, чтобы соединить несколько облачных сервисов с помощью решения для аутентификации с единым входом.

Объединение удостоверений — одна из идей, которую облачные вычисления воплощают в жизнь быстрее, чем если бы облака не существовало. Это единый аутентифицированный идентификатор пользователя, который принимается в качестве обязательного в широком спектре систем.

Кто это делает?

На данный момент моя команда наблюдает массовый приток запросов от университетов и учебных заведений на использование федеративного контроля доступа. Образовательные учреждения объединяются не только друг с другом, но и с промышленностью, к которой они близки. Это похоже на начало глобальных систем управления идентификацией, которые решают эту загадку аутентификации.

Концепция федеративного облака хороша. Идея кажется достаточно простой, однако ее реализация намного сложнее. Комитеты по стандартам согласны с тем, что проблемы будут существовать. Если компания владеет каталогом клиента, у нее есть огромное преимущество в том, что она владеет остальной сетевой инфраструктурой, поскольку поставщики предпочитают предлагать свои собственные решения в ущерб другим.

Федеративное облако принесет пользу как конечным пользователям, так и поставщикам, но путь к оптимизированному федеративному облаку для поставщиков и пользователей сложен. Это требует совместной решимости всех вовлеченных сторон. Чтобы федеративное облако работало, нам необходимо определить доверие, чтобы можно было управлять рисками для каждой транзакции.

Проблемы, стоящие перед облачной федерацией

• Поставщикам услуг становится сложно определить, какую нагрузку распределять и как распределять нагрузку.
• Сложно развертывать и мигрировать виртуальные машины с гибкостью и скоростью
• Сервисная нагрузка должна быть скоординирована между поставщиками услуг для оптимальной производительности конечного пользователя.
• Необходимо будет создать общую систему аутентификации.
• Облачные провайдеры должны будут обеспечить безопасность данных и приложений
• Облачные провайдеры должны будут обеспечить безопасное соединение между облаками.
• Требуется система для простого управления приложениями в федеративном облаке. Администраторам потребуются инструменты, которые будут работать во всех облаках для управления и мониторинга используемых приложений. Это сложно, поскольку у большинства облачных провайдеров есть собственный уникальный набор инструментов управления.
• Органам по стандартизации и отраслевым конфедерациям необходимо разработать руководящие принципы в отношении архитектурных и технологических стандартов, необходимых для поддержки федеративного облака.
• Стоимость реализации этого без навыков по-прежнему относительно высока, и если это делается изолированно, может стать непомерно высокой.
• Система в основном отсутствует на месте.

Преимущества, полученные от федеративного облака

• Локальные инфраструктуры подключены глобально через федеративное облако, что обеспечивает доступ к глобальному рынку.
• Более низкая совокупная стоимость владения
• Решение для аутентификации, которое, несомненно, будет использовать передовой опыт и будет более доступным, чем все, что может быть предоставлено внутри компании.
• Использование ключевых стандартов для аутентификации, чтобы стать более согласованным и стандартизированным.
• Пользователи имеют доступ ко всем приложениям и службам, доступным через метод аутентификации с единым входом.
• Пользователи могут использовать несколько облаков для различных приложений в соответствии с потребностями бизнеса. Некоторые облака могут использоваться для приложений, которым может потребоваться более высокий уровень безопасности, а другие — для масштабируемости. Гибкость повышена.
• Затраты снижаются за счет запуска определенных бизнес-приложений в правильной облачной среде.
• Максимизация прибыли за счет обслуживания большего числа клиентов с использованием существующей инфраструктуры

Ниже приведены некоторые распространенные стандарты аутентификации, которые становятся все более распространенными.

Ссылка: https://www.oasis-open.org и http://www.authenticationworld.com.

SAML

Безопасный язык разметки утверждений. Широко распространенный метод принятия аутентификации пользователей между различными предприятиями.

МикроID

MicroID — это новый уровень идентификации для Интернета и микроформатов, который позволяет любому человеку просто заявить о праве собственности на свои собственные страницы и контент, размещенный в любом месте.

OpenID

OpenID — это открытая, децентрализованная, бесплатная платформа для цифровой идентификации, ориентированной на пользователя, которая использует URI (также называемый URL-адресом или веб-адресом) в качестве средства аутентификации личности.

SXIP

Коммерчески доступный продукт, предлагающий пользователям возможность управлять собственной идентификационной информацией и аутентификацией при использовании в блогах и других приложениях.

Шибболет

Протокол, устанавливающий доверительные отношения между предприятиями. Это было разработано как часть инициативы Internet2. Он используется в некоторых университетах.

INames

Новая услуга, предлагающая централизованное хранилище идентификационных данных, контролируемое пользователем, а также обеспечивающая доверительную аутентификацию между предприятиями.

Вышеизложенное даст вам хорошее представление о том, что там есть, но обратите внимание, что это дисциплина, которая развивается и нормализуется в зависимости от того, что используется больше. В конце концов, эта область сожмется в одну или две платформы. Ключ в том, чтобы поддержать правильное решение сейчас, чтобы ваша организация была защищена в будущем.

Вывод

В настоящее время федерация быстро развивается, просто в разных масштабах. Некоторые поставщики облачных услуг начинают объединять усилия, чтобы улучшить свои индивидуальные перспективы для долгосрочного роста и устойчивости. Amazon — отличный пример федерации; у них есть глобальный сайт онлайн-продаж, через который размещаются заказы в компаниях по всему миру.

Федеративное удостоверение может варьироваться от организации к организации, но все мы преследуем одну и ту же конечную цель. Нам нужно предоставлять больше услуг без дополнительных затрат. Нам нужна безопасная и удобная аутентификация для широкого спектра приложений, работающих в разнообразном сообществе пользователей на различных устройствах и платформах.

Чтобы федерация стала реальностью, нам нужны комитеты по стандартам и правительства, а также обязательства со стороны поставщиков услуг, поставщиков и партнеров.

Для расширения и успеха облачных вычислений необходима федерация. Мы хотим использовать все облачные возможности, но без сложности и риска. Федеративная облачная среда, включающая внешние и внутренние облака, позволит организациям удовлетворять потребности пользователей и корпорации с гибкостью, которая иначе была бы невозможна.

Будущая аутентификация должна быть более эффективной, чем сегодняшние пароли, но такой же простой или простой в использовании.