Корреляция идентичности - Identity correlation
В информационных системах корреляция идентичности - это процесс, который согласовывает и проверяет правильность владения разными идентификаторами входа в учетную запись пользователя (имена пользователей ), которые находятся в системах и приложениях по всей организации и могут постоянно связывать права собственности на эти идентификаторы входа в учетную запись пользователя с конкретными лицами, назначая уникальный идентификатор (также называемые первичными или общими ключами) для всех проверенных идентификаторов входа в учетную запись.[1]
Процесс корреляции идентичности подтверждает, что у людей есть только идентификаторы входа в учетные записи для соответствующих систем и приложений, к которым пользователь должен иметь доступ в соответствии с бизнес-политиками организации. контроль доступа политики и различные требования к приложениям.
Уникальный идентификатор в контексте корреляции идентичности - это любой идентификатор который гарантированно будет уникальным среди всех идентификаторов, используемых для группы лиц и для определенной цели. Существует три основных типа уникальных идентификаторов, каждый из которых соответствует своей стратегии генерации:
- Серийные номера, назначаемые постепенно
- Случайные числа, выбранные из числового пространства, намного превышающего максимальное (или ожидаемое) количество идентифицируемых объектов. Хотя не совсем уникальные, некоторые идентификаторы этого типа могут подходить для идентификации объектов во многих практических приложениях, и поэтому в этом контексте называются «уникальными».
- Имя или коды назначаются по выбору, но должны быть уникальными за счет ведения центрального реестра, такого как Информационные услуги EPC из EPCglobal Network
В целях корреляции идентичности уникальный идентификатор обычно является серийный номер или случайное число, выбранное из числового пространства, намного большего, чем максимальное количество людей, которые будут идентифицированы. Уникальный идентификатор в этом контексте обычно представляется как дополнительный атрибут в каталоге, связанном с каждым конкретным источником данных. Однако добавление атрибута в каждый системный каталог может повлиять на требования приложения или конкретные бизнес-требования, в зависимости от требований организации. В этих обстоятельствах уникальные идентификаторы могут быть неприемлемым дополнением к организации.
Основные требования идентичности корреляции
Корреляция идентичности включает несколько факторов:
1. Связывание разных идентификаторов учетных записей в нескольких системах или приложениях
Многие организации должны найти способ соблюдения требований аудита, который требует, чтобы они связывали разрозненные идентификаторы пользователей приложений с реальными людьми, которые связаны с этими идентификаторами пользователей.
Некоторые люди могут иметь довольно общие имя и / или фамилию, что затрудняет привязку нужного человека к соответствующему идентификатору входа в учетную запись, особенно когда эти идентификаторы входа в учетную запись не связаны с достаточно конкретными идентификационными данными, чтобы оставаться уникальными.
Типичной конструкцией идентификатора входа в систему, например, может быть 1-й символ givenname + следующие 7 символов sn с возрастающей уникальностью. Это создаст идентификаторы входа, такие как jsmith12, jsmith 13, jsmith14 и т. Д., Для пользователей John Smith, James Smith и Jack Smith соответственно.
И наоборот, одно лицо может претерпеть изменение имени формально или неофициально, что может привести к тому, что новые идентификаторы входа в учетную запись, присвоенные им, будут кардинально отличаться по номенклатуре от идентификаторов входа в учетную запись, которые были получены до любого изменения.
Например, женщина может выйти замуж и решить профессионально использовать новую фамилию. Если ее изначально звали Мэри Джонс, а теперь она Мэри Смит, она могла бы позвонить в отдел кадров и попросить их обновить свою контактную информацию и адрес электронной почты, указав новую фамилию. Этот запрос обновит ее идентификатор входа в Microsoft Exchange до mary.smith, чтобы отразить это изменение фамилии, но на самом деле он может не обновить ее информацию или учетные данные в любой другой системе, к которой у нее есть доступ. В этом примере она все еще может быть mjones в Active Directory и mj5678 в RACF.
Корреляция идентичности должна связывать соответствующие идентификаторы входа в системную учетную запись с людьми, которые могут быть неотличимы, а также с теми людьми, которые могут показаться радикально разными с точки зрения системы за системой, но должны быть связаны с одним и тем же человеком.
Для получения дополнительных сведений по этой теме см .: Вторая волна: связь идентичностей с контекстами
2. Обнаружение преднамеренных и непреднамеренных несоответствий в идентификационных данных
Несоответствия в идентификационных данных обычно развиваются в организациях с течением времени по мере добавления, удаления или изменения приложений, а также по мере того, как отдельные лица получают или сохраняют постоянно меняющийся поток прав доступа по мере их поступления в организацию и из нее.
Идентификаторы входа пользователя приложения не всегда имеют согласованный синтаксис в разных приложениях или системах, а многие идентификаторы входа пользователя недостаточно конкретны, чтобы напрямую соотносить его с одним конкретным лицом в организации.
Несоответствие пользовательских данных также может возникать из-за простых ошибок ручного ввода, нестандартной номенклатуры или изменений имен, которые могут не обновляться одинаково во всех системах.
Процесс корреляции идентичности должен учитывать эти несоответствия, чтобы связать данные идентичности, которые могут показаться несвязанными при первоначальном исследовании.
3. Определение идентификаторов входа в сиротскую или несуществующую учетную запись
Организации могут расширяться и консолидироваться за счет слияний и поглощений, что в результате увеличивает сложность бизнес-процессов, политик и процедур.
В результате этих событий пользователи могут перемещаться в разные части организации, занимать новую должность в организации или вообще выходить из нее. В то же время каждое новое добавляемое приложение может создать новый полностью уникальный идентификатор пользователя.
Некоторые идентификаторы могут стать избыточными, другие могут нарушать специфические для приложений или более распространенные политики отделов, другие могут быть связаны с идентификаторами не связанных с человеком или системными учетными записями, а третьи могут просто больше не применяться для конкретной пользовательской среды.
Проекты, охватывающие разные части организации или ориентированные на более чем одно приложение, становятся трудными для реализации, потому что идентификационные данные пользователей часто не организованы должным образом или не распознаются как неработающие из-за изменений в бизнес-процессе.
Процесс корреляции идентификаторов должен идентифицировать все потерянные или несуществующие учетные записи, которые больше не принадлежат таким радикальным изменениям в инфраструктуре организации.
4. Проверка физических лиц на соответствие идентификаторам учетных записей.
Согласно таким правилам, как Сарбейнс-Оксли и Закон Грэмма-Лича-Блайли, от организаций требуется обеспечить целостность каждого пользователя во всех системах и учитывать весь доступ пользователя к различным внутренним системам и приложениям в организации.
При правильной реализации корреляция идентичности выявит проблемы соответствия. Аудиторы часто просят организации отчитаться, кто и к каким ресурсам имеет доступ. Для компаний, которые еще не полностью внедрили предприятие управление идентификацией Решение, корреляция идентичности и проверка необходимы для адекватного подтверждения истинного состояния пользовательской базы организации.
Этот процесс проверки обычно требует взаимодействия с людьми внутри организации, которые знакомы с пользовательской базой организации с точки зрения всего предприятия, а также с теми людьми, которые несут ответственность и осведомлены о каждой отдельной системе и / или базе пользователей конкретного приложения.
Кроме того, большая часть процесса проверки может в конечном итоге включать прямое общение с данным человеком для подтверждения конкретных идентификационных данных, связанных с этим конкретным лицом.
5. Назначение уникального первичного или общего ключа для каждого идентификатора учетной записи системы или приложения, который привязан к каждому человеку.
В ответ на различные требования соответствия организации имеют возможность вводить уникальные идентификаторы для всей своей пользовательской базы, чтобы подтвердить принадлежность каждого пользователя к каждой конкретной системе или приложению, в которых он / она имеет возможности входа в систему.
Для реализации такой политики различные лица, знакомые со всей базой пользователей организации, а также с каждой базой пользователей конкретной системы, должны нести ответственность за подтверждение того, что определенные идентификаторы должны быть связаны друг с другом, а другие идентификаторы должны быть отделены друг от друга. .
После завершения процесса проверки этому человеку и его или ее связанным системным идентификаторам входа в учетную запись может быть присвоен уникальный идентификатор.
Подходы к связыванию разных идентификаторов аккаунтов
Как упоминалось выше, во многих организациях пользователи могут входить в разные системы и приложения, используя разные идентификаторы входа. Есть много причин связать их с профили пользователей.
Существует ряд основных стратегий для выполнения этой корреляции или «сопоставления идентификаторов»:
- Предположим, что идентификаторы учетных записей совпадают:
- В этом случае отображение тривиально.
- Это действительно работает во многих организациях, когда в течение длительного времени использовался строгий и стандартизированный процесс для присвоения идентификаторов новым пользователям.
- Импорт картографических данных из существующей системы:
- Если организация внедрила надежный процесс сопоставления идентификаторов пользователям в течение длительного периода, эти данные уже доступны и могут быть импортированы в любой новый Управление идентификацией система.
- Точное соответствие значений атрибутов:
- Найдите один атрибут идентичности или комбинацию атрибутов в одной системе, которые коррелируют с одним или несколькими атрибутами в другой системе.
- Подключите идентификаторы в двух системах, найдя пользователей, чьи атрибуты совпадают.
- Примерное соответствие значений атрибутов:
- То же, что и выше, но вместо того, чтобы требовать точного соответствия атрибутов или выражений, допускайте некоторые различия.
- Это позволяет использовать имена с ошибками, непоследовательно написанные заглавные буквы и другие имена, а также похожие значения идентичности.
- Риск заключается в том, что учетные записи, которые не следует подключать, будут случайно сопоставлены в этом процессе.
- Самостоятельное согласование идентификатора входа в систему:
- Предложите пользователям заполнить форму и указать, какими идентификаторами и в каких системах они владеют.
- Пользователи могут лгать или совершать ошибки, поэтому важно проверять вводимые пользователем данные, например, прося пользователей также предоставить пароли и проверить эти пароли.
- Пользователи могут не распознавать имена систем, поэтому важно предлагать альтернативы или запрашивать у пользователей идентификаторы + пароли в целом, а не просить их указать, для какой системы эти идентификаторы предназначены.
- Наймите консультанта и / или сделайте это вручную:
- Это все еще оставляет открытым вопрос о том, откуда берутся данные - возможно, путем опроса каждого пользователя, о котором идет речь?
Общие препятствия для выполнения корреляции идентичности
1. Проблемы конфиденциальности
Часто любой процесс, требующий глубокого изучения идентификационных данных, вызывает озабоченность проблемами конфиденциальности и раскрытия информации. Часть процесса корреляции идентичности предполагает, что каждый конкретный источник данных необходимо будет сравнить с авторитетным источником данных, чтобы обеспечить согласованность и достоверность в отношении соответствующих корпоративных политик и средств контроля доступа.
Любое такое сравнение, которое включает в себя раскрытие авторитетных данных идентичности, связанных с персоналом, потребует заключения различных соглашений о неразглашении внутренней или внешней информации, в зависимости от того, как организация решает пройти проверку идентичности.
Поскольку авторитетные данные часто являются строго конфиденциальными и ограниченными, такие опасения могут помешать тщательному и достаточному выполнению действий по корреляции идентичности.
2. Требуется много времени и усилий
Большинство организаций испытывают трудности с пониманием несоответствий и сложностей, которые лежат в их идентификационных данных во всех их источниках данных. Как правило, процесс не может быть завершен точно или в достаточной степени путем ручного сравнения двух списков идентификационных данных или даже выполнения простых сценариев для поиска совпадений между двумя различными наборами данных. Даже если организация может выделить для таких усилий сотрудников, работающих полный рабочий день, сами методологии обычно не выявляют достаточный процент несуществующих идентификаторов, не подтверждают достаточный процент совпадающих идентификаторов или не идентифицируют системные (не персональные) идентификаторы учетных записей для пройти типичные требования аудита личности.
Смотрите также
- Закон Сарбейнса-Оксли (SOX)
- Закон Грэмма-Лича-Блайли (GLBA)
- Медицинское страхование Портативность и Акт об ответственности (HIPAA)
- Аудит информационных технологий (ITA)
Ручные усилия по достижению корреляции идентичности требуют много времени и усилий людей и не гарантируют, что усилия будут выполнены успешно или в соответствии с требованиями.
Из-за этого на рынке недавно появились решения для автоматической корреляции идентичности, которые обеспечивают более простые способы выполнения упражнений по корреляции идентичности.
Типичные функции решения автоматической корреляции идентичности включают следующие характеристики:
- Анализ и сравнение идентичностей в нескольких источниках данных
- Гибкие определения критериев соответствия и назначения для любой комбинации элементы данных между любыми двумя источниками данных
- Простота подключения прямо или косвенно ко всем допустимым источникам данных
- Готовые отчеты и / или сводки результатов сопоставления данных
- Возможность вручную переопределить совпадающие или несогласованные комбинации данных
- Возможность просмотра результатов данных на мелкомасштабном уровне
- Присвоение уникальных идентификаторов предварительно утвержденным или подтвержденным вручную сопоставленным данным.
- Возможность экспорта для отправки проверенных списков пользователей обратно в исходные системы и / или решения для обеспечения
- Возможность настройки отображение данных методы для уточнения совпадений данных
- Контроль доступа на основе ролей встроена в решение для регулирования раскрытия идентификационных данных по мере загрузки, анализа и проверки данных различными лицами как внутри, так и за пределами организации.
- Возможность проверять идентификационные данные для конечных пользователей быстрее или эффективнее, чем с помощью ручных методологий
- Сбор атрибутов идентичности с персональных мобильных устройств посредством частичного извлечения идентичности[2]
- Профилирование веб-серфинга и поведения в социальных сетях с помощью механизмов отслеживания[3]
- Биометрические измерения соответствующих пользователей могут коррелировать идентификационные данные в разных системах.[4]
- Централизованные брокерские системы идентификации, которые администрируют и получают доступ к атрибутам идентификации через разрозненные хранилища идентификации[5]
Три метода реализации проекта корреляции идентичности
Решения по корреляции идентичности могут быть реализованы в рамках трех различных моделей доставки. Эти методологии реализации разработаны, чтобы предложить решение, которое является достаточно гибким, чтобы соответствовать различным бюджетным и кадровым требованиям, а также соответствовать как краткосрочным, так и / или долгосрочным целям и инициативам проекта.
Покупка программного обеспечения - Это классическая модель покупки программного обеспечения, когда организация приобретает лицензию на программное обеспечение и запускает программное обеспечение в своей собственной аппаратной инфраструктуре.
- Обучение доступно и рекомендуется
- Услуги по установке не являются обязательными
Корреляция идентичности как услуга (ICAS) - ICAS - это услуга на основе подписки, когда клиент подключается к защищенной инфраструктуре для загрузки и выполнения операций корреляции. Это предложение обеспечивает полную функциональность, предлагаемую решением корреляции идентификационных данных, без необходимости владения и обслуживания оборудования и соответствующего вспомогательного персонала.
Корреляция идентичности под ключ - А Под ключ Методология требует, чтобы клиент заключил договор с поставщиком решений и предоставил данные для выполнения необходимых действий по корреляции идентичности. После завершения поставщик решений вернет коррелированные данные, выявит несоответствия и предоставит отчеты о целостности данных.
Действия по валидации по-прежнему потребуют некоторой прямой обратной связи от лиц внутри организации, которые понимают состояние базы пользователей в организации с точки зрения всего предприятия, а также от тех лиц в организации, которые знакомы с каждой базой пользователей конкретной системы. Кроме того, для некоторых действий по проверке может потребоваться прямая обратная связь от отдельных лиц в самой базе пользователей.
Решение «под ключ» может выполняться как разовое мероприятие, ежемесячно, ежеквартально или даже как часть ежегодных проверок организации. Доступны дополнительные услуги, такие как:
- Электронные кампании для устранения расхождений в данных
- Создание консолидированного или объединенного списка
См. Также: Связанные темы
Связанные или связанные темы, которые подпадают под категорию корреляции идентичности, могут включать:
Нормы соответствия / Аудиты
- Закон Сарбейнса-Оксли (SOX)
- Закон Грэмма-Лича-Блайли
- Медицинское страхование Портативность и Акт об ответственности
- Аудит информационных технологий
Управление идентичностями
- Управление идентификацией
- Уникальный идентификатор (Общий ключ)
- Идентификатор
- Имя пользователя
- ID пользователя
- Подготовка
- Метакаталог
Контроль доступа
Справочные службы
Другие категории
- Контроль доступа на основе ролей (RBAC)
- Федерация прав доступа пользователей к веб-приложениям в других ненадежных сетях
Рекомендации
- ^ Харрис, Шон. "Сертификационное универсальное руководство по экзамену CISSP, 4-е изд." (9 ноября 2007 г.), McGraw-Hill Osborne Media.
- ^ Фрич, Лотар; Момен, Нурул (2017). «Производные частичные удостоверения, созданные на основе разрешений приложений». Gesellschaft für Informatik: 117–130. Цитировать журнал требует
| журнал =
(помощь) - ^ [1], «Связь веб-идентичности и идентичности в социальных сетях», выпущено 09 мая 2012 г., Патент США
- ^ Нг-Крюэль, Грейс; Swatman, Paul A .; Хампе, Дж. Феликс; Ребне, Дуглас С. (2006). «Биометрия и электронная идентичность (электронный паспорт) в Европейском Союзе: перспективы для конечных пользователей на принятии спорных инноваций». Журнал теоретических и прикладных исследований электронной коммерции. 1 (2): 12–35. ISSN 0718-1876.
- ^ Bruegger, Bud P .; Росснагель, Хейко (2016). На пути к децентрализованной экосистеме управления идентификационной информацией для Европы и за ее пределами. Gesellschaft für Informatik e.V. ISBN 978-3-88579-658-9.