Управление идентификацией - Identity management
- слиться с Система управления идентификацией
Управление идентификацией (IdM), также известный как управление идентификацией и доступом (Я или же IdAM), представляет собой основу политик и технологий для обеспечения того, чтобы соответствующие люди на предприятии имели соответствующий доступ к технологическим ресурсам. Системы IdM подпадают под общие IT безопасность и управление данными. Системы управления идентификацией и доступом не только идентифицируют, аутентифицируют и авторизуют лиц, которые будут использовать ИТ-ресурсы, но также и оборудование и приложения, к которым должны иметь доступ сотрудники.[1][2] Личность и управление доступом решения стали более распространенными и важными в последние годы, поскольку нормативные требования становятся все более строгими и сложными.[3]
Он направлен на обеспечение надлежащего доступа к ресурсам во все более разнородных технологических средах и соответствие все более строгим требованиям соответствия.[4]
Термины «управление идентификацией» (IdM) и «управление идентичностью и доступом» взаимозаменяемо используются в области управления доступом к идентичности.[5]
Системы управления идентификацией, продукты, приложения и платформы управляют идентификационными и вспомогательными данными об объектах, которые включают физических лиц, компьютерное оборудование и программные приложения.
IdM охватывает такие вопросы, как получение пользователями личность, роли и, иногда, разрешения, которые предоставляет идентификация, защита этой личности и технологии, поддерживающие эту защиту (например, сетевые протоколы, цифровые сертификаты, пароли, так далее.).
Определения
Управление идентификацией (Управление ID) - это организационный процесс для идентификации, аутентификации и авторизации отдельных лиц или групп людей для доступа к приложениям, системам или сетям путем связывания прав и ограничений пользователей с установленными идентификаторами. Управление идентификацией (IdM) - это задача контроля информации о пользователях на компьютерах. Такая информация включает информацию, которая удостоверяет подлинность личность пользователя и информация, описывающая данные и действия, которые они уполномоченный получить доступ и / или выполнить. Он также включает управление описательной информацией о пользователе, а также о том, как и кто может получить доступ к этой информации и изменить ее. Помимо пользователей, управляемые объекты обычно включают в себя оборудование, сетевые ресурсы и даже приложения.[6]
Цифровая идентификация - это присутствие организации в Интернете, охватывающее личную идентифицирующую информацию (PII) и дополнительную информацию. Видеть ОЭСР[7] и NIST[8] руководство по защите PII.[9] Его можно интерпретировать как кодификацию идентификационных имен и атрибутов физического экземпляра таким образом, чтобы облегчить обработку.
Функция
В реальном контексте разработки онлайн-систем управление идентификацией может включать четыре основные функции:
- Функция чистой идентификации: создание, управление и удаление идентификационных данных без учета доступа или прав;
- Функция доступа пользователя (входа в систему): Например: a интеллектуальная карточка и связанные с ним данные, используемые клиентом для входа в службу или службы (традиционный взгляд);
- Сервисная функция: система, которая предоставляет пользователям и их устройствам персонализированные, основанные на ролях, онлайновые, мультимедийные (контент) услуги по запросу, а также услуги на основе присутствия.
- Identity Federation: система, основанная на федеративная идентичность для аутентификации пользователя, не зная его пароля.
Чистая идентичность
Общая модель личность могут быть построены из небольшого набора аксиом, например, что все тождества в данном пространство имен уникальны, или что такие идентичности имеют определенную связь с соответствующими сущностями в реальном мире. Такая аксиоматическая модель выражает «чистую идентичность» в том смысле, что модель не ограничивается конкретным контекстом приложения.
В общем, объект (реальный или виртуальный) может иметь несколько идентификаторов, и каждый идентификатор может включать в себя несколько атрибутов, некоторые из которых уникальны в данном пространстве имен. На схеме ниже показаны концептуальные отношения между идентификаторами и объектами, а также между идентификаторами и их атрибутами.
В большинстве теоретических и всех практических моделей цифровая идентичность, данный объект идентичности состоит из конечного набора характеристики (значения атрибутов). Эти свойства записывают информацию об объекте либо для внешних по отношению к модели целей, либо для работы с моделью, например, при классификации и извлечении. Модель «чистой идентичности» строго не касается внешних семантика этих свойств.
Наиболее частое отклонение от "чистой идентичности" на практике происходит со свойствами, предназначенными для обеспечения некоторых аспектов идентичности, например цифровой подписи[4] или же программный токен которые модель может использовать для внутренних целей для проверки некоторых аспектов идентичности для удовлетворения внешней цели. Поскольку модель внутренне выражает такую семантику, это не чистая модель.
Сравните эту ситуацию со свойствами, которые могут использоваться извне для целей информационная безопасность такие как управление доступом или правами, но которые просто хранятся, обслуживаются и извлекаются без особой обработки модели. Отсутствие внешней семантики в модели квалифицирует ее как модель «чистой идентичности».
Таким образом, управление идентификацией может быть определено как набор операций над данной моделью идентификации или, в более общем смысле, как набор связанных с ней возможностей.
На практике управление идентификацией часто расширяется, чтобы выразить, каким должно быть содержимое модели. подготовленный и примирился среди нескольких моделей идентичности.
Доступ пользователя
Пользовательский доступ позволяет пользователям предполагать определенную цифровую идентификацию в приложениях, что позволяет назначать средства управления доступом и оценивать их по этой личности. Использование единого идентификатора для данного пользователя в нескольких системах упрощает задачи для администраторов и пользователей. Это упрощает мониторинг и проверку доступа и позволяет организациям минимизировать чрезмерные привилегии, предоставляемые одному пользователю. Доступ пользователя можно отследить от начала до прекращения доступа пользователя.[10]
Когда организации развертывают процесс или систему управления идентификацией, их мотивация обычно заключается не в том, чтобы управлять набором идентификационных данных, а скорее в предоставлении соответствующих прав доступа этим объектам через их идентификационные данные. Другими словами, управление доступом обычно является мотивацией для управления идентификацией, и, следовательно, эти два набора процессов тесно связаны.[11]
Услуги
Организации продолжают добавлять услуги как для внутренних пользователей, так и для клиентов. Многие такие службы требуют управления идентификацией для надлежащего предоставления этих услуг. Все чаще управление удостоверениями отделяется от функций приложений, так что одно удостоверение может обслуживать многие или даже все виды деятельности организации.
Для внутреннего использования управление идентификацией развивается для контроля доступа ко всем цифровым активам, включая устройства, сетевое оборудование, серверы, порталы, контент, приложения и / или продукты.
Службы часто требуют доступа к обширной информации о пользователе, включая адресные книги, предпочтения, права и контактную информацию. Поскольку большая часть этой информации подчиняется требованиям конфиденциальности и / или конфиденциальности, контроль доступа к ней имеет жизненно важное значение.[12]
Федерация идентичности
Федерация удостоверений включает одну или несколько систем, которые совместно используют доступ пользователей и позволяют пользователям входить в систему на основе аутентификации в одной из систем, участвующих в федерации. Это доверие между несколькими системами часто называют «Кругом доверия». В этой настройке одна система действует как Поставщик удостоверений (IdP) и другие системы действуют как Поставщик услуг (SP). Когда пользователю необходимо получить доступ к некоторой службе, контролируемой SP, он сначала аутентифицируется с помощью IdP. После успешной аутентификации IdP отправляет безопасное «утверждение» поставщику услуг. «Утверждения SAML, указанные с использованием языка разметки, предназначенного для описания утверждений безопасности, могут использоваться проверяющей стороной, чтобы сделать заявление проверяющей стороне об идентичности заявителя. Утверждения SAML могут дополнительно иметь цифровую подпись».[13]
Возможности системы
В дополнение к созданию, удалению, модификации данных идентичности пользователя с помощью или самообслуживанием, Identity Management контролирует вспомогательные данные объекта для использования приложениями, такие как контактная информация или местоположение.
- Аутентификация : Проверка того, кто / что утверждает, что объект использует пароль, биометрические данные, такие как отпечаток пальца, или особенное поведение, такое как шаблон жестов на сенсорном экране.
- Авторизация : Управление информацией авторизации, которая определяет, какие операции объект может выполнять в контексте конкретного приложения. Например, одному пользователю может быть разрешено вводить заказ на продажу, а другому пользователю разрешено утверждать кредитный запрос для этого заказа.
- Роли : Роли - это группы операций и / или другие роли. Пользователям предоставляются роли, часто связанные с определенной работой или должностной функцией. Ролям предоставляются полномочия, фактически разрешающие всем пользователям, которым была предоставлена роль. Например, роль администратора пользователя может быть авторизована для сброса пароля пользователя, а роль системного администратора может иметь возможность назначать пользователя на конкретный сервер.
- Делегация : Делегирование позволяет локальным администраторам или супервизорам вносить изменения в систему без глобального администратора или разрешать одному пользователю выполнять действия от его имени. Например, пользователь может делегировать право на управление служебной информацией.
- Развязка: SAML протокол является важным средством обмена идентификационной информацией между двумя идентификационными доменами.[14] OpenID Connect еще один такой протокол.
Конфиденциальность
Размещение личной информации в компьютерных сетях обязательно повышает Конфиденциальность обеспокоенность. При отсутствии надлежащей защиты данные могут использоваться для реализации общество наблюдения. (Тейлор, губы и орган 2009 )
Социальная сеть и социальные сети онлайн службы интенсивно используют управление идентификацией. Помощь пользователям в принятии решения о том, как управлять доступом к их личной информации, стала проблемой, вызывающей всеобщую озабоченность.Gross, Acquisti & Heinz, 2008 г. ) (Тейлор 2008 )
Кража личных данных
Кража личных данных происходит, когда воры получают доступ к идентификационной информации, например к личным данным, необходимым для доступа к банковскому счету.
Исследование
Исследования, связанные с управлением идентичностью, охватывают такие дисциплины, как технологии, социальные науки, гуманитарные науки и право.[15]
Децентрализованное управление идентификацией - это управление идентификацией на основе децентрализованные идентификаторы (ДИД).[16]
Европейские исследования
В рамках Седьмая рамочная программа исследований Европейского Союза с 2007 по 2013 год стартовало несколько новых проектов, связанных с Identity Management.
Проект PICOS исследует и разрабатывает современную платформу для обеспечения доверия, конфиденциальности и управления идентификацией в мобильных сообществах.[17]
PrimeLife разрабатывает концепции и технологии, чтобы помочь людям защитить свою автономию и сохранить контроль над личной информацией, независимо от деятельности.[18]
SWIFT фокусируется на расширении функций идентификации и федерации в сети, одновременно решая проблемы удобства использования и конфиденциальности, и использует технологию идентификации в качестве ключа для интеграции сервисной и транспортной инфраструктуры в интересах пользователей и поставщиков.[19]
Текущие проекты
Текущие проекты включают будущее идентичности в информационном обществе (FIDIS),[20] ГИД[21] и ПРАЙМ.[22]
Публикации
Академические журналы которые публикуют статьи, связанные с управлением идентификацией, включают:
- Этика и информационные технологии
- Идентичность в информационном обществе
- Наблюдение и общество[нужна цитата ]
Менее специализированные журналы публикуются по этой теме и, например, имеют специальные выпуски по идентификации, такие как:
- Обзор онлайн-информации.[23]
Стандартизация
ISO (и, более конкретно ISO / IEC JTC1, SC27 Методы ИТ-безопасности WG5 Методы управления доступом к учетным данным и конфиденциальности) проводит некоторую работу по стандартизации управления учетными данными (ISO 2009 ), например, разработка структуры управления идентификацией, включая определение терминов, связанных с идентификацией. Опубликованные стандарты и текущие рабочие элементы включают следующее:
- ИСО / МЭК 24760-1 Структура управления идентификацией. Часть 1. Терминология и концепции.
- ISO / IEC 24760-2 A Framework for Identity Management. Часть 2: Эталонная архитектура и требования.
- ISO / IEC DIS 24760-3 Структура управления идентификацией - Часть 3: Практика
- ISO / IEC 29115 Обеспечение аутентификации объекта
- ISO / IEC 29146 Структура для управления доступом
- ISO / IEC CD 29003 Подтверждение и проверка личности
- Структура конфиденциальности ISO / IEC 29100
- Архитектура конфиденциальности ISO / IEC 29101
- ISO / IEC 29134 Методология оценки воздействия на конфиденциальность
Последствия для организации
В каждой организации обычно есть роль или отдел, который отвечает за управление схемой цифровых удостоверений своих сотрудников и их собственных объектов, которые представлены идентификаторами объектов или идентификаторы объекта (OID).[24]Организационные политики, процессы и процедуры, относящиеся к надзору за управлением идентификационной информацией, иногда называют Управление идентификацией и администрирование (IGA). Существуют коммерческие программные инструменты, помогающие автоматизировать и упростить такие функции управления идентификацией на уровне организации.[25] Насколько эффективно и целесообразно используются такие инструменты, входит в сферу применения более широкого корпоративное управление, управление рисками и комплаенс режимы.
С 2016 года специалисты по управлению доступом и идентификацией имеют собственную профессиональную организацию, IDPro. В 2018 году комитет инициировал публикацию аннотированной библиографии, в которой перечислен ряд важных публикаций, книг, презентаций и видео.[26]
Смотрите также
- Контроль доступа
- Аутентификация
- Авторизация
- Идентификация на основе утверждений
- Компьютерная безопасность
- Цифровая карта
- Цифровая идентификация
- Справочная служба
- Ключ
- Федеративное управление идентификацией
- Модуль безопасности оборудования
- Подтверждение личности
- Сеть, управляемая идентификацией
- Системы управления идентификацией
- Сервис проверки личности
- Поставщик удостоверений
- Безопасность на основе личности
- Конфиденциальность информации
- Инициатива по открытой аутентификации
- Список реализаций единого входа
- Дисконтная карта
- Управление мобильной идентификацией
- Мобильная подпись
- Многофакторная аутентификация
- Взаимная аутентификация
- OAuth
- Управление идентификацией в Интернете
- OpenID
- Управление паролями
- Информация, позволяющая установить личность
- Управление привилегированной идентификацией
- RBAC
- SAML 2.0
- Продукты и услуги на основе SAML
- Маркер безопасности
- Самостоятельная идентичность
- Поставщик услуг
- Единая точка входа
- Программный токен
- Двухфакторная аутентификация
- Пользовательское моделирование
- веб-сервис
- Приложение рабочего процесса
Рекомендации
- ^ Страуд, Форрест. «Что такое управление идентификацией и доступом (IAM)? Определение Webopedia». www.webopedia.com. Получено 27 февраля 2019.
- ^ Сильва, Эдельберто Франко; Мучалуат-Сааде, Дебора Кристина; Фернандес, Наталья Кастро (1 января 2018 г.). «ACROSS: общая структура для управления доступом на основе атрибутов с распределенными политиками для виртуальных организаций». Компьютерные системы будущего поколения. 78: 1–17. Дои:10.1016 / j.future.2017.07.049. ISSN 0167-739X.
- ^ "IdenTrust Home | IdenTrust". www.identrust.com. Получено 27 февраля 2019.
- ^ а б Сравнивать: "Gartner IT Glossary> Управление идентификацией и доступом (IAM)". Gartner. Получено 2 сентября 2016.
Управление идентификацией и доступом (IAM) - это дисциплина безопасности, которая позволяет нужным людям получать доступ к нужным ресурсам в нужное время по нужным причинам. [...] IAM направлен на решение критически важной потребности в обеспечении надлежащего доступа к ресурсам во все более разнородных технологических средах и в удовлетворении все более строгих требований соответствия.
- ^ "управление идентификацией (управление идентификацией)". SearchSecurity. 1 октября 2013 г.. Получено 2 марта 2017.
- ^ «Что такое управление идентификацией (управление идентификацией)? - Определение с сайта WhatIs.com». ПоискБезопасность. Получено 20 декабря 2019.
- ^ Функциональные требования к системам повышения конфиденциальности Фред Картер, Семинар ОЭСР по управлению цифровой идентификацией, Тронхейм, Норвегия, 9 мая 2007 г. (презентация PPT)
- ^ Руководство по защите конфиденциальности информации, позволяющей установить личность (PII) В архиве 13 августа 2009 г. Wayback Machine, Рекомендации Национального института стандартов и технологий, январь 2009 г.
- ^ PII (личная информация) В архиве 28 апреля 2009 г. Wayback Machine, Центр демократии и технологий, 14 сентября 2007 г.
- ^ «IBM Cloud Docs». console.bluemix.net. Получено 3 декабря 2018.
- ^ «Что такое управление идентификацией (управление идентификацией)? - Определение с сайта WhatIs.com». ПоискБезопасность. Получено 3 декабря 2018.
- ^ Сети, Комитет по региональным данным здравоохранения Института медицины (США); Donaldson, Molla S .; Лор, Кэтлин Н. (1994). Конфиденциальность и неприкосновенность личных данных. Национальная академия прессы (США).
- ^ Берр, Дональдсон, Полк (2006). "Информационная безопасность" (PDF). CiteSeerX 10.1.1.153.2795. Дои:10.6028 / NIST.SP.800-63v1.0.2. Получено 10 октября 2015. Цитировать журнал требует
| журнал =
(помощь)CS1 maint: несколько имен: список авторов (связь) - ^ «Рабочие группы | Identity Commons». Idcommons.org. Получено 12 января 2013.
- ^ (Гальперин и Бэкхаус 2009 )
- ^ «Децентрализованные идентификаторы (DID)». Консорциум World Wide Web. 8 июн 2020. Получено 22 июн 2020.
- ^ PICOS
- ^ «PrimeLife - Управление конфиденциальностью и идентификацией в Европе на всю жизнь».
- ^ "www.ist-swift.org".
- ^ FIDISCoord (DR). «Домой: будущее идентичности в информационном обществе».
- ^ «Архивная копия». Архивировано из оригинал 8 мая 2009 г.. Получено 29 сентября 2008.CS1 maint: заархивированная копия как заголовок (связь)
- ^ «Архивная копия». Архивировано из оригинал 10 октября 2007 г.. Получено 29 сентября 2008.CS1 maint: заархивированная копия как заголовок (связь)
- ^ http://www.emeraldgrouppublishing.com/products/journals/journals.htm?id=oir См., Например, специальный выпуск «Управление цифровыми удостоверениями личности» (том 33, выпуск 3, 2009 г.).
- ^ Идентификаторы объекта (OID), PostgreSQL: Введение и концепции, Брюс Момджиан, 21 ноября 1999 г.
- ^ Каннер, Бен (24 июля 2018 г.). «17 лучших платформ для управления и администрирования идентификационной информации 2018 года». Обзор решений. Получено 17 декабря 2019.
- ^ «Аннотированная библиография» (PDF). Получено 6 сентября 2019.
- Гросс, Ральф; Аккисти, Алессандро; Хайнц, Дж. Х. (2005). «Раскрытие информации и конфиденциальность в социальных сетях онлайн». Семинар по конфиденциальности в электронном обществе; Материалы семинара ACM 2005 г. по конфиденциальности в электронном обществе. С. 71–80. Дои:10.1145/1102199.1102214. ISBN 978-1595932280. S2CID 9923609.
- Гальперин, Рут; Бэкхаус, Джеймс (2008). «Дорожная карта для исследования идентичности в информационном обществе». Идентичность в информационном обществе (опубликовано в 2009 г.). 1 (1): 71. Дои:10.1007 / s12394-008-0004-0.
- Лусоли, Вайнер; Мильтген, Кэролайн (2009). «Молодежь и новые цифровые услуги. Исследовательское исследование мотивации, восприятия и принятия рисков». Научно-технические отчеты JRC (опубликовано в марте 2009 г.) (23765 евро). Дои:10.2791/68925.
- ISO, IEC (2009). «Информационные технологии - Методы безопасности - Основа для управления идентификацией». ISO / IEC WD 24760 (Рабочий проект). Цитировать журнал требует
| журнал =
(помощь) - Польман, М. (2008). Oracle Identity Management: управление, риски и архитектура соответствия. Публикации Ауэрбаха. ISBN 978-1-4200-7247-1.
- Паундер, К. Н. М. (2008). «Девять принципов оценки того, защищена ли конфиденциальность в обществе наблюдения». Идентичность в информационном обществе (опубликовано в 2009 г.). 1: 1. Дои:10.1007 / s12394-008-0002-2.
- Тейлор, Джон А .; Губы, Мириам; Орган, Джо (2009). «Практика идентификации в правительстве: наблюдение за гражданами и стремление к улучшению общественных услуг». Идентичность в информационном обществе. 1: 135. Дои:10.1007 / s12394-009-0007-5.
- Тейлор, Джон А. (2008). «Нулевая конфиденциальность». IEEE Spectrum. 45 (7): 20. Дои:10.1109 / MSPEC.2008.4547499.
- Уильямсон, Грэм; Ип, Дэвид; Шарни, Илан; Сполдинг, Кент (1 сентября 2009 г.). Управление идентификацией: учебник. MC Press. ISBN 978-1-58347-093-0.
- Бернал Бернабе, Хорхе; Эрнандес-Рамос, Хосе Л .; Скармета, Антонио (2017). «Комплексная система управления идентификацией с сохранением конфиденциальности для Интернета вещей». Мобильные информационные системы. 2017 (6384186): 1–20. Дои:10.1155/2017/6384186.
внешняя ссылка
- Детальное управление разрешениями в решениях IAM
- Общее общедоступное руководство по управлению конфиденциальностью и идентификацией
- Обзор управления идентификацией (Computer Weekly)
- Защита широко распространенных идентификационных данных для федеративных телекоммуникаций (SWIFT)
- Управление идентификацией и обмен информацией в ISO 18876 Системы промышленной автоматизации и интеграция
- 50 принципов управления данными для слабосвязанного управления идентификацией: SlideShare
- Перестаньте запоминать пароль и переключитесь на управление идентификацией: Business Insider