Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску
«IdAM» перенаправляется сюда. Для тамильского / санскритского слова см. Идам .

Управление идентификацией ( IdM ), также известное как управление идентификацией и доступом ( IAM или IdAM ), представляет собой структуру политик и технологий для обеспечения того, чтобы соответствующие люди на предприятии имели соответствующий доступ к технологическим ресурсам. Системы IdM подпадают под всеобъемлющую сферу ИТ-безопасности и управления данными . Системы управления идентификацией и доступом не только идентифицируют, аутентифицируют и авторизуют людей, которые будут использовать ИТ-ресурсы, но также и оборудование и приложения, к которым должны иметь доступ сотрудники. [1] [2]Решения для управления идентификацией и доступом стали более распространенными и важными в последние годы, поскольку нормативные требования становятся все более строгими и сложными. [3]

Он направлен на обеспечение надлежащего доступа к ресурсам во все более разнородных технологических средах и соответствие все более строгим требованиям соответствия. [4]

Термины «управление идентичностью» ( IdM ) и «управление идентичностью и доступом» взаимозаменяемы в области управления доступом к идентичности. [5]

Системы , продукты, приложения и платформы управления идентификацией управляют идентификационными и вспомогательными данными об объектах, которые включают физических лиц, компьютерное оборудование и программные приложения .

IdM охватывает такие вопросы, как то, как пользователи получают идентичность , роли и, иногда, разрешения, которые предоставляет идентичность, защита этой идентичности и технологии, поддерживающие эту защиту (например, сетевые протоколы , цифровые сертификаты , пароли и т. Д.).

Определения [ править ]

Управление идентификацией ( управление идентификацией ) - это организационный процесс для идентификации, аутентификации и авторизации отдельных лиц или групп людей на доступ к приложениям, системам или сетям путем связывания прав и ограничений пользователей с установленными идентификационными данными. Управление идентификацией (IdM) - это задача контроля информации о пользователях на компьютерах. Такая информация включает информацию, которая удостоверяет личность пользователя, и информацию, описывающую данные и действия, которые им разрешены.получить доступ и / или выполнить. Он также включает управление описательной информацией о пользователе, а также о том, как и кто может получить доступ к этой информации и изменить ее. Помимо пользователей, управляемые объекты обычно включают в себя оборудование, сетевые ресурсы и даже приложения. [6]

Цифровая идентификация - это присутствие организации в Интернете, охватывающая личную идентификационную информацию (PII) и вспомогательную информацию. См. Рекомендации OECD [7] и NIST [8] по защите PII. [9] Это можно интерпретировать как кодификацию имен идентичности и атрибутов физического экземпляра таким образом, чтобы облегчить обработку.

Функция [ править ]

В реальном контексте разработки онлайн-систем управление идентификацией может включать четыре основные функции:

  1. Функция чистой идентификации: создание, управление и удаление идентификационных данных без учета доступа или прав;
  2. Функция доступа пользователя (входа в систему): Например: смарт-карта и связанные с ней данные, используемые клиентом для входа в службу или службы (традиционный вид);
  3. Функция обслуживания: система, которая предоставляет пользователям и их устройствам персонализированные, основанные на ролях, онлайновые, мультимедийные (контент) услуги по запросу, а также услуги на основе присутствия.
  4. Identity Federation: система, которая использует федеративную идентификацию для аутентификации пользователя, не зная его пароля.

Чистая идентичность [ править ]

Общая модель идентичности может быть построена из небольшого набора аксиом, например, что все идентичности в данном пространстве имен уникальны или что такие идентичности имеют определенное отношение к соответствующим сущностям в реальном мире. Такая аксиоматическая модель выражает «чистую идентичность» в том смысле, что модель не ограничивается конкретным контекстом приложения.

В общем, объект (реальный или виртуальный) может иметь несколько идентификаторов, и каждый идентификатор может включать в себя несколько атрибутов, некоторые из которых уникальны в данном пространстве имен. На схеме ниже показаны концептуальные отношения между идентификаторами и объектами, а также между идентификаторами и их атрибутами.

В большинстве теоретических и всех практических моделей цифровой идентичности данный объект идентичности состоит из конечного набора свойств (значений атрибутов). Эти свойства записывают информацию об объекте либо для внешних по отношению к модели целей, либо для работы с моделью, например, при классификации и извлечении. Модель «чистой идентичности» строго не касается внешней семантики этих свойств.

Наиболее частое отклонение от "чистой идентичности" на практике происходит со свойствами, предназначенными для обеспечения некоторого аспекта идентичности, например цифровой подписью [4] или программным токеном, который модель может использовать для внутренних целей для проверки некоторого аспекта идентичности в соответствии с требованиями внешнее назначение. Поскольку модель внутренне выражает такую ​​семантику, это не чистая модель.

Сравните эту ситуацию со свойствами, которые могут использоваться извне для целей информационной безопасности, таких как управление доступом или правами, но которые просто хранятся, обслуживаются и извлекаются без особой обработки модели. Отсутствие внешней семантики в модели квалифицирует ее как модель «чистой идентичности».

Таким образом, управление идентификацией может быть определено как набор операций над данной моделью идентификации или, в более общем смысле, как набор связанных с ней возможностей.

На практике управление идентификацией часто расширяется, чтобы выразить, как контент модели должен быть подготовлен и согласован между несколькими моделями идентификации.

Доступ пользователя [ редактировать ]

Пользовательский доступ позволяет пользователям предполагать определенную цифровую идентификацию в приложениях, что позволяет назначать средства управления доступом и оценивать их по этой личности. Использование единого идентификатора для данного пользователя в нескольких системах упрощает задачи для администраторов и пользователей. Это упрощает мониторинг и проверку доступа и позволяет организациям минимизировать чрезмерные привилегии, предоставляемые одному пользователю. Доступ пользователя можно отследить от начала до прекращения доступа пользователя. [10]

Когда организации развертывают процесс или систему управления идентификационными данными, их мотивация обычно заключается не в том, чтобы управлять набором идентификационных данных, а скорее в предоставлении соответствующих прав доступа этим объектам через их идентификационные данные. Другими словами, управление доступом обычно является мотивацией для управления идентификацией, и, следовательно, эти два набора процессов тесно связаны. [11]

Услуги [ править ]

Организации продолжают добавлять услуги как для внутренних пользователей, так и для клиентов. Многие такие службы требуют управления идентификацией для надлежащего предоставления этих услуг. Все чаще управление удостоверениями отделяется от функций приложений, так что одно удостоверение может обслуживать многие или даже все виды деятельности организации.

Для внутреннего использования управление идентификацией развивается для контроля доступа ко всем цифровым активам, включая устройства, сетевое оборудование, серверы, порталы, контент, приложения и / или продукты.

Службы часто требуют доступа к обширной информации о пользователе, включая адресные книги, предпочтения, права и контактную информацию. Поскольку большая часть этой информации подчиняется требованиям конфиденциальности и / или конфиденциальности, контроль доступа к ней имеет жизненно важное значение. [12]

Федерация идентичности [ править ]

Основная статья: Федеративная идентичность

Федерация удостоверений включает одну или несколько систем, которые совместно используют доступ пользователей и позволяют пользователям входить в систему на основе аутентификации в одной из систем, участвующих в федерации. Это доверие между несколькими системами часто называют «Кругом доверия». В этой настройке одна система действует как поставщик удостоверений (IdP), а другие системы действуют как поставщик услуг.(SP). Когда пользователю необходимо получить доступ к некоторой службе, управляемой SP, он сначала аутентифицируется с помощью IdP. После успешной аутентификации IdP отправляет безопасное «утверждение» поставщику услуг. «Утверждения SAML, указанные с использованием языка разметки, предназначенного для описания утверждений безопасности, могут использоваться проверяющей стороной, чтобы сделать заявление проверяющей стороне об идентичности заявителя. Утверждения SAML могут дополнительно иметь цифровую подпись». [13]

Возможности системы [ править ]

В дополнение к созданию, удалению, модификации данных идентификации пользователя с помощью или самообслуживанием, Identity Management контролирует вспомогательные данные объекта для использования приложениями, такие как контактная информация или местоположение.

  • Аутентификация  : проверка того, кто / что утверждает, что объект использует пароль, биометрические данные, такие как отпечаток пальца, или характерное поведение, такое как шаблон жестов на сенсорном экране.
  • Авторизация  : управление информацией об авторизации, которая определяет, какие операции объект может выполнять в контексте конкретного приложения. Например, одному пользователю может быть разрешено вводить заказ на продажу, а другому пользователю разрешено утверждать кредитный запрос для этого заказа.
  • Роли  : роли - это группы операций и / или другие роли. Пользователям предоставляются роли, часто связанные с определенной работой или должностной функцией. Ролям предоставляются полномочия, фактически разрешающие всем пользователям, которым была предоставлена ​​роль. Например, роль администратора пользователя может быть авторизована для сброса пароля пользователя, а роль системного администратора может иметь возможность назначать пользователя на конкретный сервер.
  • Делегирование  : Делегирование позволяет локальным администраторам или супервизорам вносить изменения в систему без глобального администратора или разрешать одному пользователю выполнять действия от своего имени. Например, пользователь может делегировать право на управление служебной информацией.
  • Обмен: протокол SAML - известное средство, используемое для обмена идентификационной информацией между двумя идентификационными доменами. [14] OpenID Connect - еще один такой протокол.

Конфиденциальность [ править ]

Размещение личной информации в компьютерных сетях обязательно вызывает проблемы с конфиденциальностью . При отсутствии надлежащей защиты данные могут быть использованы для организации слежки за обществом . [15]

Социальные сети и социальные сети в Интернете активно используют управление идентификацией. Помощь пользователям в принятии решения о том, как управлять доступом к их личной информации, стала проблемой, вызывающей всеобщую озабоченность. [16] [17]

Кража личных данных [ править ]

Кража личных данных происходит, когда воры получают доступ к идентификационной информации, например к личным данным, необходимым для доступа к банковскому счету.

Исследование [ править ]

Исследования, связанные с управлением идентичностью, охватывают такие дисциплины, как технологии, социальные науки, гуманитарные науки и право. [18]

Децентрализованное управление идентификацией - это управление идентификацией на основе децентрализованных идентификаторов (DID). [19]

Европейские исследования [ править ]

В рамках Седьмой рамочной программы исследований Европейского Союза с 2007 по 2013 год стартовало несколько новых проектов, связанных с управлением идентификацией.

Проект PICOS исследует и разрабатывает современную платформу для обеспечения доверия, конфиденциальности и управления идентификацией в мобильных сообществах. [20]

PrimeLife разрабатывает концепции и технологии, чтобы помочь людям защитить свою автономию и сохранить контроль над личной информацией, независимо от деятельности. [21]

SWIFT фокусируется на расширении функций идентификации и федерации в сети, одновременно решая проблемы удобства использования и конфиденциальности, и использует технологию идентификации в качестве ключа для интеграции сервисной и транспортной инфраструктуры в интересах пользователей и поставщиков. [22]

Текущие проекты [ править ]

Текущие проекты включают будущее идентичности в информационном обществе (FIDIS), [23] GUIDE < [24] и PRIME. [25]

Публикации [ править ]

Академические журналы, которые публикуют статьи, связанные с управлением идентификацией, включают:

  • Этика и информационные технологии
  • Идентичность в информационном обществе
  • Наблюдение и общество [ необходима ссылка ]

Менее специализированные журналы публикуются по этой теме и, например, имеют специальные выпуски по идентификации, такие как:

  • Обзор онлайн-информации . [26]

Стандартизация [ править ]

ISO (и, в частности, ISO / IEC JTC1 , SC27, методы ИТ-безопасности, WG5, методы управления доступом к идентификации и методы конфиденциальности) проводит некоторую работу по стандартизации для управления идентификацией ( ISO 2009 ), такую ​​как разработка структуры для управления идентификацией, включая определение термины, связанные с идентичностью. Опубликованные стандарты и текущие рабочие элементы включают следующее:

  • ИСО / МЭК 24760-1 Структура управления идентификацией. Часть 1. Терминология и концепции.
  • ISO / IEC 24760-2 A Framework for Identity Management. Часть 2: Эталонная архитектура и требования.
  • ISO / IEC DIS 24760-3 Структура управления идентификацией - Часть 3: Практика
  • ISO / IEC 29115 Обеспечение аутентификации объекта
  • ISO / IEC 29146 Структура для управления доступом
  • ISO / IEC CD 29003 Подтверждение и проверка личности
  • Структура конфиденциальности ISO / IEC 29100
  • Архитектура конфиденциальности ISO / IEC 29101
  • ISO / IEC 29134 Методология оценки воздействия на конфиденциальность

Последствия для организации [ править ]

В каждой организации обычно есть роль или отдел, который отвечает за управление схемой цифровых удостоверений своих сотрудников и их собственных объектов, которые представлены идентификаторами объектов или идентификаторами объектов (OID). [27] Политики, процессы и процедуры организации, относящиеся к надзору за управлением идентификационной информацией, иногда называются Identity Governance and Administration (IGA). Существуют коммерческие программные инструменты, помогающие автоматизировать и упростить такие функции управления идентификацией на уровне организации. [28] Насколько эффективно и правильно используются такие инструменты, входит в сферу применения более широких режимов корпоративного управления, управления рисками и соблюдения нормативных требований .

С 2016 года специалисты по управлению идентификацией и доступом имеют собственную профессиональную организацию IDPro . В 2018 году комитет инициировал публикацию аннотированной библиографии, в которой перечислен ряд важных публикаций, книг, презентаций и видео. [29]

См. Также [ править ]

  • Контроль доступа
  • Аутентификация
  • Авторизация
  • Идентификация на основе утверждений
  • Компьютерная безопасность
  • Цифровая карта
  • Цифровая идентичность
  • Справочная служба
  • Ключ
  • Федеративное управление идентификацией
  • Модуль безопасности оборудования
  • Подтверждение личности
  • Сеть, управляемая идентификацией
  • Системы управления идентификацией
  • Сервис проверки личности
  • Поставщик удостоверений
  • Безопасность на основе личности
  • Конфиденциальность информации
  • Инициатива по открытой аутентификации
  • Список реализаций единого входа
  • Дисконтная карта
  • Управление мобильной идентификацией
  • Мобильная подпись
  • Многофакторная аутентификация
  • Взаимная аутентификация
  • OAuth
  • Управление идентификацией онлайн
  • OpenID
  • Управление паролями
  • Информация, позволяющая установить личность
  • Управление привилегированной идентификацией
  • RBAC
  • SAML 2.0
  • Продукты и услуги на основе SAML
  • Маркер безопасности
  • Самостоятельная идентичность
  • Поставщик услуг
  • Единая точка входа
  • Программный токен
  • Двухфакторная аутентификация
  • Пользовательское моделирование
  • веб-сервис
    • WS-Безопасность
    • WS-Trust
  • Приложение рабочего процесса

Ссылки [ править ]

  1. ^ Страуд, Форрест. «Что такое управление идентификацией и доступом (IAM)? Определение Webopedia» . www.webopedia.com . Проверено 27 февраля 2019 .
  2. ^ Сильва, Эдельберто Франко; Мучалуат-Сааде, Дебора Кристина; Фернандес, Наталья Кастро (1 января 2018 г.). «ACROSS: общая структура для управления доступом на основе атрибутов с распределенными политиками для виртуальных организаций» . Компьютерные системы будущего поколения . 78 : 1–17. DOI : 10.1016 / j.future.2017.07.049 . ISSN 0167-739X . 
  3. ^ "Главная страница IdenTrust | IdenTrust" . www.identrust.com . Проверено 27 февраля 2019 .
  4. ^ a b Сравните: «Gartner IT Glossary> Identity and Access Management (IAM)» . Gartner . Дата обращения 2 сентября 2016 . Управление идентификацией и доступом (IAM) - это дисциплина безопасности, которая позволяет нужным людям получать доступ к нужным ресурсам в нужное время по нужным причинам. [...] IAM удовлетворяет критически важную потребность в обеспечении надлежащего доступа к ресурсам во все более разнородных технологических средах и удовлетворении все более строгих требований соответствия.
  5. ^ "Управление идентификацией (управление идентификацией)" . SearchSecurity. 1 октября 2013 . Дата обращения 2 марта 2017 .
  6. ^ «Что такое управление идентификацией (управление идентификацией)? - Определение с сайта WhatIs.com» . SearchSecurity . Проверено 20 декабря 2019 .
  7. ^ Функциональные требования к системам повышения конфиденциальности Фред Картер, Семинар ОЭСР по управлению цифровой идентификацией, Тронхейм, Норвегия, 9 мая 2007 г. (презентация PPT)
  8. ^ Руководство по защите конфиденциальности информации, позволяющей установить личность (PII), Архивировано 13 августа 2009 г. в Wayback Machine , Рекомендации Национального института стандартов и технологий, январь 2009 г.
  9. ^ PII (личная информация) архивации 28 апреля 2009 в Wayback Machine , Центр демократии и технологии, 14 сентября 2007
  10. ^ «IBM Cloud Docs» . console.bluemix.net . Проверено 3 декабря 2018 .
  11. ^ «Что такое управление идентификацией (управление идентификацией)? - Определение с сайта WhatIs.com» . SearchSecurity . Проверено 3 декабря 2018 .
  12. ^ Сети, Институт медицины (США), Комитет по региональным данным здравоохранения; Donaldson, Molla S .; Лор, Кэтлин Н. (1994). Конфиденциальность и неприкосновенность личных данных . Национальная академия прессы (США).
  13. ^ Берр, Уильям Э .; Додсон, Донна Ф .; Полк, В. Тимоти (2006). «Информационная безопасность» (PDF) . Специальная публикация NIST . CiteSeerX 10.1.1.153.2795 . DOI : 10,6028 / NIST.SP.800-63v1.0.2 . OCLC 655513066 . Проверено 10 октября 2015 года .   
  14. ^ «Рабочие группы | Identity Commons» . Idcommons.org . Проверено 12 января 2013 года .
  15. Перейти ↑ Taylor, Lips & Organ 2009 .
  16. ^ Гросс, Acquisti & Heinz 2005 .
  17. Перейти ↑ Taylor 2008 .
  18. ^ Гальперин и Backhouse 2008 .
  19. ^ «Децентрализованные идентификаторы (DID)» . Консорциум World Wide Web . 8 июня 2020 . Проверено 22 июня 2020 .
  20. ^ PICOS
  21. ^ «PrimeLife - Управление конфиденциальностью и идентификацией в Европе на всю жизнь» .
  22. ^ "www.ist-swift.org" .
  23. ^ FIDISCoord (DR). «Дом: будущее IDentity в информационном обществе» .
  24. ^ «Создание европейской архитектуры управления идентификацией для электронного правительства» . istrg.som.surrey.ac.uk . Архивировано из оригинала 8 мая 2009 года .
  25. ^ «ПРАЙМ - Управление конфиденциальностью и идентификацией для Европы» . Портал для проекта ПРАЙМ . 28 сентября 2006 года Архивировано из оригинала 10 октября 2007 года.
  26. ^ «Специальный выпуск: специальный раздел: Управление цифровой идентификацией» . Обзор онлайн-информации . Брэдфорд: Издательство Университета MCB. 33 (3). 19 июня 2009 г. ISSN 1468-4527 . OCLC 807197565 , 676858452 . Проверено 29 января 2021 года .  
  27. ^ Идентификаторы объекта (OID'S) , PostgreSQL: Введение и концепции, Брюс Момджян, 21 ноября 1999 г.
  28. ^ Canner, Бен (24 июля 2018). «17 лучших платформ для управления и администрирования идентификационной информации 2018 года» . Обзор решений . Проверено 17 декабря 2019 .
  29. ^ "Аннотированная библиография" (PDF) . Дата обращения 6 сентября 2019 .

Источники [ править ]

  • Гросс, Ральф; Аккисти, Алессандро; Хайнц, JH (2005). «Раскрытие информации и конфиденциальность в социальных сетях онлайн». Семинар по конфиденциальности в электронном обществе; Труды семинара ACM 2005 г. по конфиденциальности в электронном обществе . С. 71–80. DOI : 10.1145 / 1102199.1102214 . ISBN 978-1595932280. S2CID  9923609 .
  • Гальперин, Рут; Бэкхаус, Джеймс (2008). «Дорожная карта для исследования идентичности в информационном обществе» . Идентичность в информационном обществе (опубликовано в 2009 г.). 1 (1): 71. DOI : 10.1007 / s12394-008-0004-0 .
  • Лусоли, Вайнер; Мильтген, Кэролайн (2009). «Молодежь и новые цифровые услуги. Исследовательское исследование мотиваций, восприятия и принятия рисков» . Научно-технические отчеты JRC (опубликованы в марте 2009 г.) (23765 евро). DOI : 10.2791 / 68925 .
  • ИСО, МЭК (2009). «Информационные технологии - Методы безопасности - Основа для управления идентификацией» . ISO / IEC WD 24760 (Рабочий проект). Цитировать журнал требует |journal=( помощь )
  • Полман, МБ (2008). Oracle Identity Management: управление, риски и архитектура соответствия . Публикации Ауэрбаха. ISBN 978-1-4200-7247-1.
  • Паундер, CNM (2008). «Девять принципов для оценки того, защищена ли конфиденциальность в обществе наблюдения» . Идентичность в информационном обществе (опубликовано в 2009 г.). 1 : 1. DOI : 10.1007 / s12394-008-0002-2 .
  • Тейлор, Джон А .; Губы, Мириам; Орган, Джо (2009). «Практика идентификации в правительстве: наблюдение за гражданами и стремление к улучшению общественных услуг» . Идентичность в информационном обществе . 1 : 135. DOI : 10.1007 / s12394-009-0007-5 .
  • Тейлор, Джон А. (2008). «Нулевая конфиденциальность». IEEE Spectrum . 45 (7): 20. DOI : 10,1109 / MSPEC.2008.4547499 .
  • Уильямсон, Грэм; Ип, Дэвид; Шарни, Илан; Сполдинг, Кент (1 сентября 2009 г.). Управление идентификацией: Учебник . MC Press. ISBN 978-1-58347-093-0.
  • Бернал Бернабе, Хорхе; Эрнандес-Рамос, Хосе Л .; Скармета, Антонио (2017). «Целостная система управления идентификацией с сохранением конфиденциальности для Интернета вещей» . Мобильные информационные системы . 2017 (6384186): 1–20. DOI : 10.1155 / 2017/6384186 .

Внешние ссылки [ править ]

  • Общее общедоступное руководство по управлению конфиденциальностью и идентификацией
  • Обзор управления идентификацией ( компьютер еженедельно )
  • Защита широко распространенных идентификационных данных для федеративных телекоммуникаций (SWIFT)
  • Управление идентификацией и обмен информацией в ISO 18876 Системы промышленной автоматизации и интеграция
  • 50 принципов управления данными для слабосвязанного управления идентификацией: SlideShare
  • Перестаньте запоминать пароль и переключитесь на управление идентификацией: Business Insider