Системы управления федеративной идентификацией (Federated Identity Management, FIM) обеспечивают возможность применения единого цифрового удостоверения для доступа ко множеству сервисов. Пример такой идентификации — вход с помощью учетной записи Google в различные сторонние сервисы.
Федеративная идентификация позволяет уменьшить число паролей для запоминания, повысив при этом общую безопасность и устойчивость. В числе возможных минусов — увеличение архитектурной сложности, привязка к конкретному поставщику и затраты на сервисы. Кроме того, из-за сложности вероятна уязвимость для новых видов атак.
FIM могут отождествлять с системами единого входа (Single Sign On, SSO), но это не одно и тоже: единый вход — одна из главных возможностей федеративной идентификации. Как правило, это касается возможности входа в приложения в пределах конкретного предприятия. Еще одна возможность FIM — федеративный единый вход, универсальный доступ к сервисам нескольких организаций. Не стоит путать FIM с децентрализованной идентификацией, когда атрибуты цифрового удостоверения фиксируются в блокчейне.
Если в различные системы предприятия приходится входить с помощью разных верительных данных, помимо неудобства это создает проблемы безопасности, поскольку, когда идентификационные сведения размещены во многих хранилищах, становится сложнее обеспечивать соблюдение единой политики.
Основа FIM — центральный диспетчер федеративной идентификации, через который проходят все запросы на использование общих верительных данных для разных сервисов. Такую систему может создать сама организация, либо можно обратиться к провайдеру сервисов идентификации.
Для федеративного единого входа обычно пользуются сервисами одного из крупных операторов — Google, Microsoft, Amazon и др. При этом функцию входа с помощью Google или другого провайдера можно достаточно легко добавить во всех приложениях предприятия, что дает гарантии опоры на мощную инфраструктуру безопасности. Возможность обмена идентификационными сведениями между приложениями и сервисами — еще одна функция FIM. С учетом простоты работы с облачными сервисами идентификации, доступными по схеме SaaS, на большинстве предприятий сегодня выбирают именно этот подход.
Обычно при реализации единого входа определяют, на каких участках инфраструктуры это будет наиболее полезно, выбирают поставщика идентификационных услуг с учетом особенностей организации и поддерживаемых протоколов, затем выясняют, как лучше провести интеграцию. В целом благодаря налаженным механизмам и наличию поддержки протоколов единого входа во многих языках программирования и фреймворках все происходит относительно просто.