КриптоПРО / IdM-системы

ВендорКриптоПРО
ПродуктЭлектронные сервисы
ТипЭлектронный документооборот
ПрименениеДля бизнеса

Системы IdM (Identity management или Identity and access management (IAM)) нацелены на автоматизацию многочисленных задач, возникающих на протяжении жизненного цикла идентификационных данных. Они обеспечивают взаимодействие отдела кадров, службы безопасности и ИТ-администраторов, снабжая их необходимым программным инструментарием.

IdM – это процессы, технологии и системы для управления жизненным циклом идентификационных объектов. Эти объекты могут представлять собой:

идентификаторы индивидуальных пользователей;
учетные записи;
роли сотрудников (на уровне организационной структуры, бизнес-процессов или прав доступа);
индексы принадлежности к определенным группам и т. д.

Жизненный цикл любого из перечисленных объектов включает в себя создание, поддержание, изменение, блокировку и удаление в соответствии с изменением статуса сотрудника в организации (прием на работу, должностные ротации, перевод в другое подразделение, увольнение).

IdM-системы реализуют следующие категории процессов:

аутентификация, т.е. проверка того, что пользователь или система является именно тем, за кого себя выдает;
авторизация, т.е. проверка права аутентифицированной стороны получить доступ к запрошенному ресурсу;
контроль доступа, описание правил обращения владельца идентификатора с конкретным ресурсом;
аудит и отчетность, которые предполагают обязательную регистрацию всех событий с идентификационными данными.

Аутентификация и авторизация

Многие заказчики воспринимают IdM-решения как краеугольный камень корпоративной системы информационной безопасности. Отдельной частью IdM-решений являются системы аутентификации и авторизации. Отвечая потребностям бизнеса, эксперты в области информационной безопасности изучили множество успешных и не очень систем идентификации, сделали ряд выводов и сформулировали требования к системам идентификации.

На сегодняшний день самым распространенным методом аутентификации в Internet является логин/пароль. Практика показывает, что он имеет больше недостатков, чем преимуществ. Каждое приложение должно хранить базу данных всех учетных записей, а в идеале и защищать её. В итоге происходит дублирование пользовательских данных: пользователи вынуждены помнить множество логин/паролей, а на владельцев ресурсов ложится лишняя нагрузка по хранению и управлению этими данными. В корпоративных системах ситуация лучше, но есть свои проблемы. В большинстве продуктов есть те или иные способы строгой аутентификации. Трудности возникают при попытке интегрировать различные системы. Ситуация упрощается, если в организации работают продукты одного поставщика, иначе приходится скрещивать решения разных компаний, и в большинстве случаев это потребует определённых усилий. Ещё сложнее обеспечить единую аутентификацию пользователей между двумя различными организациями.

Для решения этих задач последние несколько лет в рамках общеотраслевой инициативы разрабатывалась единая система управления идентификационными данными на базе стандартных протоколов. Результатом совместной работы стало создание модели аутентификации на основе утверждений, которая нашла свою реализацию в продуктах таких компаний, как Microsoft, Novel, Oracle, IBM, Sun.

Модель аутентификации на основе утверждений (claim-based authentication, CBA) состоит из трех основных компонент:

Доверяющая сторона (relying party, RP) – веб приложение или сервис, которым требуются «утверждения», чтобы принять решение о дальнейших действиях. Утверждения можно рассматривать как единицу идентификационной информации, например: имя, возраст, членство в группах, роль и т.д.;
Центр Идентификации (Identity provider, IP) – веб сервис или приложение, выпускающее электронные идентификаторы (security token), содержащие сведения о пользователе. Электронные идентификатор представляет собой маркер безопасности с набором сведений (утверждений) о пользователе, заверенных цифровой подписью центра и, возможно, зашифрованных. Такими сведениями могут быть имя пользователя, адрес электронной почты, членство в группе, принадлежность роли, права данного пользователя и т.п.;
Пользователь – принимающий решение, какую информацию о себе он может и хочет предоставить.