«Контракт» на идентификацию

В конце ноября компания Oracle анонсировала новый проект, посвященный решению одной из самых острых проблем, с которыми сталкиваются предприятия, — передаче важной идентификационной информации по корпоративным сетям.

Инициатива Identity Governance Framework (IGF) касается разработки спецификаций на обмен идентификационными данными между гетерогенными приложениями. Этот проект поддерживают ведущие разработчики систем управления идентификационной информацией и доступом (Identification and Access Management, IAM), в том числе компании Ping Identity, Sun Microsystems и Securent, а также CA и Novell. Как подчеркнул вице-президент Oracle по разработке продуктов информационной безопасности и управления идентификационными данными Эмит Джешуа, эти спецификации в конечном итоге будут переданы одной из организаций, занимающихся стандартизацией.

Джешуа пояснил, что инициатива IGF появилась в результате попыток интегрировать технологии управления идентификационной информацией и доступом, полученные от Thor Technologies, OctetString и других приобретенных Oracle компаний.

«Мы поняли, что имеющееся в нашем распоряжении решение не устраивает пользователей», — сказал Джешуа.

Такие проблемы, как потеря данных, хранившихся на ноутбуках, и кражи идентификационной информации, подчеркивают необходимость создания объединенных стандартов, которые регулировали бы работу со всей критически важной информацией, рассредоточенной по многочисленным источникам данных предприятия (например, системам управления кадровыми ресурсами и отношениями с клиентами), а также по внутренним приложениям. По оценкам Oracle, примерно 60-80% критически важных данных находятся именно в такого рода источниках, а не в более надежно защищенных корпоративных базах данных.

«Поиск подобной информации превращается в сложное расследование, — заметил Джешуа. — Приходится анализировать логику как самих приложений, так и каждого хранилища в таких приложениях, чтобы понять, как используются эти важные данные».

IGF ставит своей решить эту проблему за счет создания модели управления, которая дает возможность организациям определять «контракты» между приложениями и источниками идентификационной информации. Эта модель описывает, как данные такого рода распространяются по предприятию и передаются за его пределы — бизнес-партнерам или по цепочке поставки.

Организации, занимающиеся программами категории Open Source и стандартами, в том числе Eclipse и OASIS, также работают над проблемами федеративности идентификационной информации. Однако, как заметил Джешуа, SPML (Service Provisioning Markup Language), предложенный OASIS, и Higgins Trust Framework, разработанная Eclipse, в большей степени касаются создания согласованных идентификационных записей пользователей, которые поддерживаются между системами, а не управления критически важными данными.

«Никто не спрашивает, могу ли я передать номер социальной защиты за границу и поместить эту информацию в систему, расположенную где-то еще», — подчеркнул Джешуа. По его словам, в Oracle уверены, что спецификация IGF должным образом впишется во внутренние стандарты, устанавливаемые предприятиями с целями управления движением критически важной информацией.

Компания планирует договориться о передаче одной из организаций по стандартизации своего API, а также работ, связанных с AAPML и CARML, в ближайшие три месяца. Джешуа не сообщил, с какой именно организацией ведет переговоры Oracle, однако признал, что первоочередное значение при выборе такой организации имеет то, насколько быстро она сможет довести спецификации IGF до статуса официального стандарта.

И OASIS, и Eclipse могут стать партнерами Oracle по инициативе IGF. По словам Джешуа, «известной своей медлительностью IEEE» нет среди тех организаций, которые могут взять на себя эту работу.

«Наша цель заключается в том, чтобы как можно быстрее передать все это в организацию по стандартизации и получить ее оценку, а не сидеть и бессмысленно тратить время и силы», — заявил он. 

• CARML, Client Attribute Requirement Markup Language, представляет собой язык на базе XML, используемый разработчиками приложений для создания контрактов, которые определяют, как приложения могут использовать конкретные виды данных.
• CARML API — это прикладной программный интерфейс, который разработчики приложений могут использовать для работы с идентификационной информацией таким образом, чтобы эти операции укладывались в рамки соответствующих установленных политик.
• AAPML, Attribute Authority Policy Markup Language, определяет наборы правил (или политики), касающиеся использования данных, полученных от источника идентификационной информации.
• Identity Service — это сервис, обеспечивающий с учетом установленных политик защищенный доступ к данным, получаемым из нескольких источников идентификационной информации.