Федеративное управление идентификационной информацией — относительно новая концепция, которая является расширением концепции управления идентификационной информацией (Identity Management, IdM). Это централизованный, автоматизированный подход к регулированию доступа к корпоративным ресурсам со стороны сотрудников и других авторизованных пользователей.
Основная цель IdM — определить «личность» каждого пользователя (человека или процесса), связать атрибуты с этой «личностью» и предоставить средства, с помощью которых пользователь может проверить корректность идентификационной информации. Системы управления идентификационной информацией поддерживают единую регистрацию (Single Sign-On, SSO), то есть возможность пользователя получить доступ ко всем сетевым ресурсам после однократной аутентификации.
Понятие федеративного управления идентификационной информацией включает в себя соглашения, стандарты и технологии, которые позволяют переносить идентификационные данные, атрибуты и наименования между различными предприятиями и приложениями, поддерживая тысячи и даже миллионы пользователей.
Если несколько организаций реализуют совместимые схемы федеративного управления идентификационной информацией, сотрудник одной организации может использовать средства SSO для доступа к сервисам в рамках федерации благодаря доверительным отношениям, связанным с его идентификационной информацией.
Помимо SSO, федеративное управление идентификационной информацией открывает и другие возможности. Одна из них — это стандартизованные средства представления атрибутов. Все чаще и чаще цифровая идентификационная информация содержит и другие атрибуты помимо идентификатора и аутентификационных данных (таких, как пароли и биометрическая информация). Атрибуты могут включать в себя числовой код, должность, физическое местонахождение и информацию о принадлежащих файлах. А пользователь может иметь несколько идентификаторов, связанных с различными должностями, каждый из которых имеет свои права доступа.
Еще одна важная функция федеративного управления идентификационной информацией — это определение соответствия для идентификационных данных. Различные домены безопасности могут представлять идентификационную информацию и атрибуты по-разному. Более того, объем информации, связанной с человеком в одном домене, может превышать необходимый в другом домене. Протоколы федеративного управления идентификационной информацией задают соответствие между идентификационными данными и атрибутами пользователям в одном домене и требованиями другого домена.
Общая архитектура федеративного управления идентификационной информацией включает в себя поставщиков идентификационных данных и поставщиков сервисов. Поставщик идентификационных данных получает информацию об атрибутах через обмен в диалоге и по протоколам с пользователями и администраторами.
Поставщики сервисов — это субъекты, которые получают и используют данные, поддерживаемые и предоставляемые поставщиками идентификационных данных, как правило, для принятия решений о предоставлении прав доступа и для сбора информации для аудита. Например, сервер базы данных или сервер файлов — это потребитель данных, которому необходимы мандаты клиента для того, чтобы узнать, какой доступ предоставить данному клиенту. Провайдер сервиса может находиться в том же самом домене, что и пользователь и поставщик идентификационных данных, или в другом домене.
Цель заключается в том, чтобы обмениваться цифровой идентификационной информацией таким образом, чтобы пользователь мог один раз пройти процесс аутентификации и получать доступ к приложениям и ресурсам во многих доменах. Сотрудничающие организации формируют федерацию на основе согласованных стандартов и взаимных уровней доверия.
В федеративном управлении идентификационной информацией используется несколько стандартов в качестве строительных блоков для безопасного обмена идентификационной информацией. По существу, организации выпускают определенного вида удостоверения безопасности для своих пользователей, которые могут обрабатывать их партнеры по коалиции. Стандарты на федеративное управление идентификационной информацией, таким образом, определяют такие удостоверения (их содержание и формат), а также предоставляют протоколы для обмена ими и выполнения определенных задач управления. К таким задачам относятся конфигурирование систем для передачи атрибутов и установки соответствия идентификационной информации, а также выполнение функций регистрации и аудита.
Основным стандартом для федеративного управления идентификационной информацией является Security Assertion Markup Language (SAML), который определяет обмен секретной информацией между бизнес-партнерами, работающими в режиме онлайн.
SAML — это часть более широкого набора стандартов, подготовленных организацией OASIS для федеративного управления идентификационной информацией. Например, WS-Federation поддерживает федерацию на базе браузеров. Он предусматривает использование сервиса маркеров безопасности для посредничества при обмене идентификационной информацией, атрибутами и при аутентификации между участвующими Web-сервисами.
Основная проблема, возникающая при реализации федеративного управления идентификационной информацией, связана с интеграцией множества технологий, стандартов и сервисов для того, чтобы обеспечить безопасный, дружественный к пользователю характер работы. Главное здесь — использование нескольких зрелых стандартов, получивших широкое распространение в отрасли. Федеративное управление идентификационной информацией, по-видимому, уже достигло такого уровня зрелости.
