Управление идентификацией - Identity management

слиться с Система управления идентификацией

Управление идентификацией (IdM), также известный как управление идентификацией и доступом (Я или же IdAM), представляет собой основу политик и технологий для обеспечения того, чтобы соответствующие люди на предприятии имели соответствующий доступ к технологическим ресурсам. Системы IdM подпадают под общие IT безопасность и управление данными. Системы управления идентификацией и доступом не только идентифицируют, аутентифицируют и авторизуют лиц, которые будут использовать ИТ-ресурсы, но также и оборудование и приложения, к которым должны иметь доступ сотрудники.[1][2] Личность и управление доступом решения стали более распространенными и важными в последние годы, поскольку нормативные требования становятся все более строгими и сложными.[3]

Он направлен на обеспечение надлежащего доступа к ресурсам во все более разнородных технологических средах и соответствие все более строгим требованиям соответствия.[4]

Термины «управление идентификацией» (IdM) и «управление идентичностью и доступом» взаимозаменяемо используются в области управления доступом к идентичности.[5]

Системы управления идентификацией, продукты, приложения и платформы управляют идентификационными и вспомогательными данными об объектах, которые включают физических лиц, компьютерное оборудование и программные приложения.

IdM охватывает такие вопросы, как получение пользователями личность, роли и, иногда, разрешения, которые предоставляет идентификация, защита этой личности и технологии, поддерживающие эту защиту (например, сетевые протоколы, цифровые сертификаты, пароли, так далее.).

Определения

Управление идентификацией (Управление ID) - это организационный процесс для идентификации, аутентификации и авторизации отдельных лиц или групп людей для доступа к приложениям, системам или сетям путем связывания прав и ограничений пользователей с установленными идентификаторами. Управление идентификацией (IdM) - это задача контроля информации о пользователях на компьютерах. Такая информация включает информацию, которая удостоверяет подлинность личность пользователя и информация, описывающая данные и действия, которые они уполномоченный получить доступ и / или выполнить. Он также включает управление описательной информацией о пользователе, а также о том, как и кто может получить доступ к этой информации и изменить ее. Помимо пользователей, управляемые объекты обычно включают в себя оборудование, сетевые ресурсы и даже приложения.[6]

Цифровая идентификация - это присутствие организации в Интернете, охватывающее личную идентифицирующую информацию (PII) и дополнительную информацию. Видеть ОЭСР[7] и NIST[8] руководство по защите PII.[9] Его можно интерпретировать как кодификацию идентификационных имен и атрибутов физического экземпляра таким образом, чтобы облегчить обработку.

Функция

В реальном контексте разработки онлайн-систем управление идентификацией может включать четыре основные функции:

  1. Функция чистой идентификации: создание, управление и удаление идентификационных данных без учета доступа или прав;
  2. Функция доступа пользователя (входа в систему): Например: a интеллектуальная карточка и связанные с ним данные, используемые клиентом для входа в службу или службы (традиционный взгляд);
  3. Сервисная функция: система, которая предоставляет пользователям и их устройствам персонализированные, основанные на ролях, онлайновые, мультимедийные (контент) услуги по запросу, а также услуги на основе присутствия.
  4. Identity Federation: система, основанная на федеративная идентичность для аутентификации пользователя, не зная его пароля.

Чистая идентичность

Общая модель личность могут быть построены из небольшого набора аксиом, например, что все тождества в данном пространство имен уникальны, или что такие идентичности имеют определенную связь с соответствующими сущностями в реальном мире. Такая аксиоматическая модель выражает «чистую идентичность» в том смысле, что модель не ограничивается конкретным контекстом приложения.

В общем, объект (реальный или виртуальный) может иметь несколько идентификаторов, и каждый идентификатор может включать в себя несколько атрибутов, некоторые из которых уникальны в данном пространстве имен. На схеме ниже показаны концептуальные отношения между идентификаторами и объектами, а также между идентификаторами и их атрибутами.

Концептуальный взгляд на идентичность

В большинстве теоретических и всех практических моделей цифровая идентичность, данный объект идентичности состоит из конечного набора характеристики (значения атрибутов). Эти свойства записывают информацию об объекте либо для внешних по отношению к модели целей, либо для работы с моделью, например, при классификации и извлечении. Модель «чистой идентичности» строго не касается внешних семантика этих свойств.

Наиболее частое отклонение от "чистой идентичности" на практике происходит со свойствами, предназначенными для обеспечения некоторых аспектов идентичности, например цифровой подписи[4] или же программный токен которые модель может использовать для внутренних целей для проверки некоторых аспектов идентичности для удовлетворения внешней цели. Поскольку модель внутренне выражает такую ​​семантику, это не чистая модель.

Сравните эту ситуацию со свойствами, которые могут использоваться извне для целей информационная безопасность такие как управление доступом или правами, но которые просто хранятся, обслуживаются и извлекаются без особой обработки модели. Отсутствие внешней семантики в модели квалифицирует ее как модель «чистой идентичности».

Таким образом, управление идентификацией может быть определено как набор операций над данной моделью идентификации или, в более общем смысле, как набор связанных с ней возможностей.

На практике управление идентификацией часто расширяется, чтобы выразить, каким должно быть содержимое модели. подготовленный и примирился среди нескольких моделей идентичности.

Доступ пользователя

Пользовательский доступ позволяет пользователям предполагать определенную цифровую идентификацию в приложениях, что позволяет назначать средства управления доступом и оценивать их по этой личности. Использование единого идентификатора для данного пользователя в нескольких системах упрощает задачи для администраторов и пользователей. Это упрощает мониторинг и проверку доступа и позволяет организациям минимизировать чрезмерные привилегии, предоставляемые одному пользователю. Доступ пользователя можно отследить от начала до прекращения доступа пользователя.[10]

Когда организации развертывают процесс или систему управления идентификацией, их мотивация обычно заключается не в том, чтобы управлять набором идентификационных данных, а скорее в предоставлении соответствующих прав доступа этим объектам через их идентификационные данные. Другими словами, управление доступом обычно является мотивацией для управления идентификацией, и, следовательно, эти два набора процессов тесно связаны.[11]

Услуги

Организации продолжают добавлять услуги как для внутренних пользователей, так и для клиентов. Многие такие службы требуют управления идентификацией для надлежащего предоставления этих услуг. Все чаще управление удостоверениями отделяется от функций приложений, так что одно удостоверение может обслуживать многие или даже все виды деятельности организации.

Для внутреннего использования управление идентификацией развивается для контроля доступа ко всем цифровым активам, включая устройства, сетевое оборудование, серверы, порталы, контент, приложения и / или продукты.

Службы часто требуют доступа к обширной информации о пользователе, включая адресные книги, предпочтения, права и контактную информацию. Поскольку большая часть этой информации подчиняется требованиям конфиденциальности и / или конфиденциальности, контроль доступа к ней имеет жизненно важное значение.[12]

Федерация идентичности

Федерация удостоверений включает одну или несколько систем, которые совместно используют доступ пользователей и позволяют пользователям входить в систему на основе аутентификации в одной из систем, участвующих в федерации. Это доверие между несколькими системами часто называют «Кругом доверия». В этой настройке одна система действует как Поставщик удостоверений (IdP) и другие системы действуют как Поставщик услуг (SP). Когда пользователю необходимо получить доступ к некоторой службе, контролируемой SP, он сначала аутентифицируется с помощью IdP. После успешной аутентификации IdP отправляет безопасное «утверждение» поставщику услуг. «Утверждения SAML, указанные с использованием языка разметки, предназначенного для описания утверждений безопасности, могут использоваться проверяющей стороной, чтобы сделать заявление проверяющей стороне об идентичности заявителя. Утверждения SAML могут дополнительно иметь цифровую подпись».[13]

Возможности системы

В дополнение к созданию, удалению, модификации данных идентичности пользователя с помощью или самообслуживанием, Identity Management контролирует вспомогательные данные объекта для использования приложениями, такие как контактная информация или местоположение.

  • Аутентификация : Проверка того, кто / что утверждает, что объект использует пароль, биометрические данные, такие как отпечаток пальца, или особенное поведение, такое как шаблон жестов на сенсорном экране.
  • Авторизация : Управление информацией авторизации, которая определяет, какие операции объект может выполнять в контексте конкретного приложения. Например, одному пользователю может быть разрешено вводить заказ на продажу, а другому пользователю разрешено утверждать кредитный запрос для этого заказа.
  • Роли : Роли - это группы операций и / или другие роли. Пользователям предоставляются роли, часто связанные с определенной работой или должностной функцией. Ролям предоставляются полномочия, фактически разрешающие всем пользователям, которым была предоставлена ​​роль. Например, роль администратора пользователя может быть авторизована для сброса пароля пользователя, а роль системного администратора может иметь возможность назначать пользователя на конкретный сервер.
  • Делегация : Делегирование позволяет локальным администраторам или супервизорам вносить изменения в систему без глобального администратора или разрешать одному пользователю выполнять действия от его имени. Например, пользователь может делегировать право на управление служебной информацией.
  • Развязка: SAML протокол является важным средством обмена идентификационной информацией между двумя идентификационными доменами.[14] OpenID Connect еще один такой протокол.

Конфиденциальность

Размещение личной информации в компьютерных сетях обязательно повышает Конфиденциальность обеспокоенность. При отсутствии надлежащей защиты данные могут использоваться для реализации общество наблюдения. (Тейлор, губы и орган 2009 )

Социальная сеть и социальные сети онлайн службы интенсивно используют управление идентификацией. Помощь пользователям в принятии решения о том, как управлять доступом к их личной информации, стала проблемой, вызывающей всеобщую озабоченность.Gross, Acquisti & Heinz, 2008 г. )(Тейлор 2008 )

Кража личных данных

Кража личных данных происходит, когда воры получают доступ к идентификационной информации, например к личным данным, необходимым для доступа к банковскому счету.

Исследование

Исследования, связанные с управлением идентичностью, охватывают такие дисциплины, как технологии, социальные науки, гуманитарные науки и право.[15]

Децентрализованное управление идентификацией - это управление идентификацией на основе децентрализованные идентификаторы (ДИД).[16]

Европейские исследования

В рамках Седьмая рамочная программа исследований Европейского Союза с 2007 по 2013 год стартовало несколько новых проектов, связанных с Identity Management.

Проект PICOS исследует и разрабатывает современную платформу для обеспечения доверия, конфиденциальности и управления идентификацией в мобильных сообществах.[17]

PrimeLife разрабатывает концепции и технологии, чтобы помочь людям защитить свою автономию и сохранить контроль над личной информацией, независимо от деятельности.[18]

SWIFT фокусируется на расширении функций идентификации и федерации в сети, одновременно решая проблемы удобства использования и конфиденциальности, и использует технологию идентификации в качестве ключа для интеграции сервисной и транспортной инфраструктуры в интересах пользователей и поставщиков.[19]

Текущие проекты

Текущие проекты включают будущее идентичности в информационном обществе (FIDIS),[20] ГИД[21] и ПРАЙМ.[22]

Публикации

Академические журналы которые публикуют статьи, связанные с управлением идентификацией, включают:

Менее специализированные журналы публикуются по этой теме и, например, имеют специальные выпуски по идентификации, такие как:

  • Обзор онлайн-информации.[23]

Стандартизация

ISO (и, более конкретно ISO / IEC JTC1, SC27 Методы ИТ-безопасности WG5 Методы управления доступом к учетным данным и конфиденциальности) проводит некоторую работу по стандартизации управления учетными данными (ISO 2009 ), например, разработка структуры управления идентификацией, включая определение терминов, связанных с идентификацией. Опубликованные стандарты и текущие рабочие элементы включают следующее:

  • ИСО / МЭК 24760-1 Структура управления идентификацией. Часть 1. Терминология и концепции.
  • ISO / IEC 24760-2 A Framework for Identity Management. Часть 2: Эталонная архитектура и требования.
  • ISO / IEC DIS 24760-3 Структура управления идентификацией - Часть 3: Практика
  • ISO / IEC 29115 Обеспечение аутентификации объекта
  • ISO / IEC 29146 Структура для управления доступом
  • ISO / IEC CD 29003 Подтверждение и проверка личности
  • Структура конфиденциальности ISO / IEC 29100
  • Архитектура конфиденциальности ISO / IEC 29101
  • ISO / IEC 29134 Методология оценки воздействия на конфиденциальность

Последствия для организации

В каждой организации обычно есть роль или отдел, который отвечает за управление схемой цифровых удостоверений своих сотрудников и их собственных объектов, которые представлены идентификаторами объектов или идентификаторы объекта (OID).[24]Организационные политики, процессы и процедуры, относящиеся к надзору за управлением идентификационной информацией, иногда называют Управление идентификацией и администрирование (IGA). Существуют коммерческие программные инструменты, помогающие автоматизировать и упростить такие функции управления идентификацией на уровне организации.[25] Насколько эффективно и целесообразно используются такие инструменты, входит в сферу применения более широкого корпоративное управление, управление рисками и комплаенс режимы.

С 2016 года специалисты по управлению доступом и идентификацией имеют собственную профессиональную организацию, IDPro. В 2018 году комитет инициировал публикацию аннотированной библиографии, в которой перечислен ряд важных публикаций, книг, презентаций и видео.[26]

Смотрите также

Рекомендации

  1. ^ Страуд, Форрест. «Что такое управление идентификацией и доступом (IAM)? Определение Webopedia». www.webopedia.com. Получено 27 февраля 2019.
  2. ^ Сильва, Эдельберто Франко; Мучалуат-Сааде, Дебора Кристина; Фернандес, Наталья Кастро (1 января 2018 г.). «ACROSS: общая структура для управления доступом на основе атрибутов с распределенными политиками для виртуальных организаций». Компьютерные системы будущего поколения. 78: 1–17. Дои:10.1016 / j.future.2017.07.049. ISSN  0167-739X.
  3. ^ "IdenTrust Home | IdenTrust". www.identrust.com. Получено 27 февраля 2019.
  4. ^ а б Сравнивать: "Gartner IT Glossary> Управление идентификацией и доступом (IAM)". Gartner. Получено 2 сентября 2016. Управление идентификацией и доступом (IAM) - это дисциплина безопасности, которая позволяет нужным людям получать доступ к нужным ресурсам в нужное время по нужным причинам. [...] IAM направлен на решение критически важной потребности в обеспечении надлежащего доступа к ресурсам во все более разнородных технологических средах и в удовлетворении все более строгих требований соответствия.
  5. ^ "управление идентификацией (управление идентификацией)". SearchSecurity. 1 октября 2013 г.. Получено 2 марта 2017.
  6. ^ «Что такое управление идентификацией (управление идентификацией)? - Определение с сайта WhatIs.com». ПоискБезопасность. Получено 20 декабря 2019.
  7. ^ Функциональные требования к системам повышения конфиденциальности Фред Картер, Семинар ОЭСР по управлению цифровой идентификацией, Тронхейм, Норвегия, 9 мая 2007 г. (презентация PPT)
  8. ^ Руководство по защите конфиденциальности информации, позволяющей установить личность (PII) В архиве 13 августа 2009 г. Wayback Machine, Рекомендации Национального института стандартов и технологий, январь 2009 г.
  9. ^ PII (личная информация) В архиве 28 апреля 2009 г. Wayback Machine, Центр демократии и технологий, 14 сентября 2007 г.
  10. ^ «IBM Cloud Docs». console.bluemix.net. Получено 3 декабря 2018.
  11. ^ «Что такое управление идентификацией (управление идентификацией)? - Определение с сайта WhatIs.com». ПоискБезопасность. Получено 3 декабря 2018.
  12. ^ Сети, Комитет по региональным данным здравоохранения Института медицины (США); Donaldson, Molla S .; Лор, Кэтлин Н. (1994). Конфиденциальность и неприкосновенность личных данных. Национальная академия прессы (США).
  13. ^ Берр, Дональдсон, Полк (2006). "Информационная безопасность" (PDF). CiteSeerX  10.1.1.153.2795. Дои:10.6028 / NIST.SP.800-63v1.0.2. Получено 10 октября 2015. Цитировать журнал требует | журнал = (помощь)CS1 maint: несколько имен: список авторов (связь)
  14. ^ «Рабочие группы | Identity Commons». Idcommons.org. Получено 12 января 2013.
  15. ^ (Гальперин и Бэкхаус 2009 )
  16. ^ «Децентрализованные идентификаторы (DID)». Консорциум World Wide Web. 8 июн 2020. Получено 22 июн 2020.
  17. ^ PICOS
  18. ^ «PrimeLife - Управление конфиденциальностью и идентификацией в Европе на всю жизнь».
  19. ^ "www.ist-swift.org".
  20. ^ FIDISCoord (DR). «Домой: будущее идентичности в информационном обществе».
  21. ^ «Архивная копия». Архивировано из оригинал 8 мая 2009 г.. Получено 29 сентября 2008.CS1 maint: заархивированная копия как заголовок (связь)
  22. ^ «Архивная копия». Архивировано из оригинал 10 октября 2007 г.. Получено 29 сентября 2008.CS1 maint: заархивированная копия как заголовок (связь)
  23. ^ http://www.emeraldgrouppublishing.com/products/journals/journals.htm?id=oir См., Например, специальный выпуск «Управление цифровыми удостоверениями личности» (том 33, выпуск 3, 2009 г.).
  24. ^ Идентификаторы объекта (OID), PostgreSQL: Введение и концепции, Брюс Момджиан, 21 ноября 1999 г.
  25. ^ Каннер, Бен (24 июля 2018 г.). «17 лучших платформ для управления и администрирования идентификационной информации 2018 года». Обзор решений. Получено 17 декабря 2019.
  26. ^ «Аннотированная библиография» (PDF). Получено 6 сентября 2019.

внешняя ссылка