Традиционные концепции аутентификации и авторизации со временем уступят место всесторонней системе идентификации, предполагающей выдачу пользователями так называемых «утверждений» (claim), которые отвечают на вопросы об их личности и полномочиях, для предоставления им доступа к системам и документам или права выполнения транзакций — в этом убежден Ким Кэмерон, архитектор систем идентификации корпорации Microsoft. По его словам, переход на новую модель произойдет через полтора-два года. По мнению Кэмерона, гибкая архитектура утверждений, основанная на протоколах WS-Federation, WS-Trust и Security Assertion Markup Language (SAML), заменит нынешние более жесткие системы, базирующиеся на «единой точке доверия» — например, каталоге информации о пользователях. «Жесткие» же системы идентификации, не способные связываться с другими, морально устареют. Модель утверждений состоит из трех компонентов: опирающаяся сторона, которой необходимо получить утверждение для принятия решения о дальнейших действиях; поставщик идентификационных сведений, который предоставляет утверждения из различных систем; пользователь, который решает, какой объем информации о себе выдать системе (и выдать ли вообще). Система, в которую пользователь пытается войти, руководствуясь сведениями о нем из других связанных с нею систем, после проверки утверждений может предоставить или отказать ему в доступе. В утверждениях может содержаться статичная информация, информация о взаимоотношениях (участие в пользовательской группе) или предположения, сделанные системой на основании данных из других систем.

Поделитесь материалом с коллегами и друзьями