Джефф Джеффи, главный технический директор компании Novell, считает, что сегодня мы работаем с третьим поколением управления идентификацией — с уже функционирующими ролевыми моделями, рабочими потоками и программными интерфейсами приложений, которые обращаются к службам каталогов. По его мнению, пятое поколение позволит открыть границы между предприятием и сетью Internet и начать предоставлять «службы идентификации», т. е. приложения смогут воспринимать разные взгляды на идентификационные данные пользователей и объектов.

Современные подходы к управлению идентификацией третьего поколения обеспечивают управление аутентификацией и авторизацией для сотрудников, желающих получать доступ к корпоративным ресурсам в пределах конкретной организации. Это довольно сложно, этого требуют законодательные акты, и все же это не соответствует потребностям мировой деловой жизни.

Сегодня сделки между предприятиями, а также их заказчиками заключаются в Internet. Однако данные о сотрудниках компаний-партнеров, не говоря уже о клиентах, не сохраняются в корпоративном каталоге. Поэтому любой пользователь вынужден, к примеру, вводить свои аутентификационные данные при доступе к запрашивающим их сайтам Web, причем часто в гораздо большем объеме, чем необходимо для конкретной транз-акции. Это ведет к увеличению издержек со стороны поставщиков услуг, поскольку каждый провайдер вынужден изобретать собственную инфраструктуру управления идентификацией, которая в Internet изначально отсутствует.

Рисунок 1. Всегда быть в маске. Этот образ охотно используется в качестве метафоры сознательного обращения с собственной идентичностью.Пользователям, в свою очередь, приходится постоянно вводить персональные данные. Кроме того, в эпоху существования поисковой системы Google, технологий добычи информации (Data Mining) и используемых спецслужбами троянов необходимо следить и за тем, что происходит с личными данными. Если в США идентификация с ориентацией на пользователей большей частью рассматривается как вероятное решение технической проблемы, то в Старом Свете (а также Канаде) контроль над собственными данными и передаваемыми вовне идентификационными данными является самоценным (https://www.prime-project.eu , Управление конфиденциальностью и идентификацией в Европе, см. Рисунок 1) и рассматривается как «политический» аспект. Практичность, пользовательский контроль и эффективность — это, пожалуй, важнейшие аспекты управления идентификацией с ориентацией на пользователей. Они упоминаются и в «Семи законах идентификации» Ким Камерон (http://www.identityblog.com/?page_jd-354, см. также одноименную врезку). 

Пользовательский контроль означает, что пользователь находится в центре транзакции идентификации. Он привлекается не при каждой транзакции, но все персональные данные проходят через его систему управления идентификацией. Таким образом, он может контролировать использование своих идентификационных данных или их части. Важный аспект заключается в том, что управление данными децентрализуется и остается там, где оно наиболее эффективно, а именно у их владельца.

В результате провайдеру услуг уже не обязательно знать провайдера идентификации для проведения транзакции. Так достигается гораздо более высокая масштабируемость, чем в случае идентификации с ориентацией на услуги. Ориентированное на пользователя управление идентификацией позволяет по-строить сеть сайтов для решения конкретных задач при помощи тех же методов, какие используются на серверах SMTP. Единственное требование к провайдеру услуг — доверие к подтверждению прав пользователя.

Для обеспечения доверия при управлении идентичностью с ориентацией на пользователя используются два принципиально разных подхода. Подход с ориентацией на пользователя предполагает, что последний поддерживает связь с доверительной инстанцией, или провайдером идентичности (Identity Provider, IDM), который дает необходимые гарантии при транзакции и обеспечивает передачу необходимых идентификационных атрибутов провайдеру услуг. Обычно в процессе транзакции устанавливается связь с провайдером идентичности, санкционирующим транзакцию. Кредитные карты являются хорошим примером подобного применения. В случае подхода, ориентированного на доказательство, пользователь получает подтверждение права от доверительной инстанции, которое он носит с собой и использует в процессе транзакции в качестве подтверждения необходимых идентификационных атрибутов без подключения к провайдеру идентификации. Пример такой модели — персональное удостоверение для проверки возраста при входе в ночной клуб.

Техническая реализация системы управления идентификацией с ориентацией на пользователя крайне нетривиальна и находится в самом начале своего развития. Первые попытки предпринимались несколько лет назад такими компаниями, как Novell, Microsoft, Yodlee и Zero Knowledge. Однако ни одна из них не привела к очевидному успеху, прежде всего, из-за отсутствия интереса со стороны пользователей. Сегодня ситуация иная.

Sxip Identity, к примеру, рассматривается в качестве мирового лидера рынка коммерческих систем с ориентацией на пользователей (см. врезку «Проблема технической реализации»). Архитектура Sxip Identity 2.0 позволяет собирать утверждения идентификации (claim) или подтверждения прав (credential) от авторитетных источников данных для определенных аспектов идентификации пользователя и таким образом доказывать другим, что владелец в действительности обладает конкретным идентификационным атрибутом. С технической точки зрения авторитет для этих доказательств прав централизован для определенных групп лиц. Он строит надежные отношения, которые Sxip называет «масштабируемым доверием». В настоящее время Sxip предлагает три функционирующих решения на базовой архитектуре: Sxip Access, Sxip Audit и Sxipper.

Sxip Access используется в Google Apps, у Salesforce (http://www.salesforce.com ), а также в других программных решениях предоставления ПО в виде сервиса (Software as a Service, SaaS). Продукт интегрируется в серверы LDAP и корпоративные каталоги, обеспечивает контроль доступа, улучшенные средства обеспечения безопасности и сокращение объема работ при управлении пользователями. С неавторизованным доступом Sxip Access борется путем синхронизации паролей, быстрой инициализации и деинициализации пользователей, управления правами и незамедлительного отзыва прав. Пользователь регистрируется при помощи I-карт, как это происходит в случае Microsoft CardSpace или Novell Digital Me (http://www.bandit-project.org/ ).

Главная задача Sxip Audit — мониторинг статуса безопасности организации. Если, к примеру, нужно узнать, сколько было отзывов паролей на определенном сайте или попыток доступа к нему со стороны деактивированных пользователей, то Sxip Audit сможет дать точный ответ.

Ознакомиться с идентификацией при помощи Sxip можно по-средством подключаемого модуля Sxipper для Firefox (см. Рисунок 2). Одним нажатием клавиши мыши он позволяет передать сайту Web-атрибут идентификации «персоны» или открытый идентификатор Open ID (http://openid.net/ ). Последний представляет собой открытый децентрализованный некоммерческий протокол для цифровой идентификации с ориентацией на пользователя.

Рисунок 2. Ориентированное на пользователя управление идентичностью – добро пожаловать в Sxipper! 

Sxipper предлагает следующие функции: регистрация на сайте одним нажатием клавиши мыши, сохранение всех идентификаторов, паролей и персональных атрибутов, защиту от фишинга, шифрование персональных данных на компьютере, поиск необходимых сведений из адресной книги и файлов браузера (Sxipper ищет даже давно забытые идентификаторы где-то в мешанине данных персонального компьютера), выполнение сценариев Web с идентификационными данными и применение в качестве провайдера Open ID.

ПРОДУКТЫ И ПРОТОКОЛЫ

Стандартизация протоколов для идентификации с ориентацией на пользователя пока еще слабо развита, и зрелых продуктов на рынке нет. Но уже сейчас можно назвать многообещающих кандидатов. Среди протоколов следует упомянуть облегченный протокол идентификации, SXIP и XR, а среди технологий — помимо Sxip — Open ID, Higgins и Bandit.

Протоколы облегченной идентификации (Lightweight Identity, LID) представляют собой семейство протоколов для однорангового обмена пользовательскими профилями. LID помогает пользователям взаимодействовать между собой и с сайтами социальных сетей. Уже доступные решения включают передачу данных из каталогов пользователя и поддержку однократной регистрации.

Простой расширяемый протокол идентификации (Simple Extensible Identity Protocol, SXIP) составляет основу сервиса IDP под названием Sxip Network. Sxip обеспечивает, во-первых, сохранение информации об идентификации на домашней странице (либо, только на хосте, либо еще и на рабочем месте) и, во-вторых, передачу информации с домашних страниц на другие сайты. В данный момент Sxip Network поддерживает однократную регистрацию в Web и выполнение сценариев браузера.

Расширенный идентификатор ресурсов (Extensible Resource Identifier, XRI) предоставляет глобальную службу имен, которая схожа с системой имен доменов (Domain Name System, DNS) с той лишь разницей, что идентификатор подходит для любого сетевого ресурса.

Open ID — это решение для многократного использования идентификационных данных на сайтах Web, предназначенное для упрощения аутентификации. Главной областью применения Open ID являются блоги. При помощи Open ID пользователь может переходить с одной страницы на другую без повторной регистрации.

Higgins является проектом Eclipse и обещает стать вехой на пути развития провайдеров обеспечения конфиденциальности
с открытым кодом. Higgins включает в себя следующие службы и инструменты: аутентификацию и авторизацию, инструменты администрирования, однократную регистрацию, а также доступ к сертификационным центрам и службам инициализации.

Bandit, проект с открытым кодом, поддерживается компанией Novell, выделившей для него разработчиков, ресурсы управления и инфраструктуру. Цель Bandit —предоставление мощных служб IDM для аутентификации, авторизации и аудита. Bandit предлагает два решения (Digital Me и IdP) и работает исключительно с Higgins.

Microsoft CardSpace (ранее Infocard) является клиентской средой, в которой пользователи могут обрабатывать персональную онлайновую информацию. CardSpace базируется на Win FX, работает под управлением Windows XP и интегрируется в Windows Vista. Обязательное условие — инсталляция .Net 3.0, что дает возможность принятия мер по адаптации используемых электронных средств. CardSpace предлагает метафору бумажника c несколькими I-картами. Последние содержат метаданные о пользователе, при помощи которых выдающая система получает информацию об идентификации пользователя от провайдера услуг идентификации (что-то вроде «кошельков с паролями»). Различие в том, что в случае CardSpace целевые системы принимают дополнительные атрибуты и эти атрибуты не надо проверять.

CardSpace является селектором идентификации с компонентом для пользовательского интерфейса и интерфейса разработчика. В метасистеме CardSpace применяется защищенный токеном интерфейс, где каждая I-карта переводится в «утверждение» или токен, которым можно обмениваться с другими службами при помощи WS Metadata Exchange, WS Security, WS Trust и простого протокола доступа к объектам (Simple Object Access Protocol, SOAP). CardSpace поддерживает язык разметки для утверждений безопасности (Security Assertions Markup Language, SAML), Kerberos и прочие технологии управлении токенами.

Вернер Дегенхардт — директор по информационным системам факультета психологии и педагогики университета Людвига Максимилиана в Мюнхене.


© AWi Verlag


Семь законов идентификации

Семь законов идентификации» отражают знания Ким Камерон (архитектора в области идентификации и доступа компании Microsoft, см. http://www.identityblog.com ) и некоторых идейных первопроходцев Identity Gang (http://www.iam-wiki.org/Identity_Gang ), к которым Microsoft пришла в рамках проекта управления паспортами. На основе этого проекта возникли семь правил обращения с цифровой идентификацией, описывающих требования к метасистеме для полноценного и целенаправленного управления идентификацией:

  1. Контроль и одобрение со стороны пользователей. Системы идентификации могут передавать информацию для идентификации пользователей только с их разрешения.
  2. Минимальное предоставление информации для ограниченных целей применения. Система идентификации должна выдавать как можно меньше идентифицирующей информации.
  3. Правомочные стороны. Системы идентификации следует разрабатывать таким образом, чтобы идентификационная информация предоставлялась только доверенным сторонам, занимающим необходимое и правомерное место при данных идентификационных отношениях.
  4. Целенаправленная идентификация. Глобальная система идентификации должна поддерживать всенаправленные идентификаторы для использования общественными ин-станциями, а также однонаправленные идентификаторы для частных инстанций. Тем самым облегчается обнаружение (Discovery) так называемых «корреляционных идентификаторов» (Correlation Handle) и одновременно устраняется их ненужное предоставление.
  5. Плюрализм провайдеров и технологий. Универсальная система идентификации должна быть совместима с многочисленными технологиями идентификации и различными провайдерами идентификации.
  6. Интеграция пользователей. Системы идентификации должны определять пользователей как часть распределенной системы. При этом необходимо применять однозначные, недвусмысленные механизмы взаимодействия человека и машины, которые параллельно будут обеспечивать защиту от атак на процесс идентификации.
  7. Единообразное восприятие пользователями независимо от контекста. Образцовая объединяющая метасистема идентификации обеспечивает простое, согласованное восприятие информации независимо от подходов различных операторов и особенностей технологий.

Проблема технической реализации

Насколько сложна техническая реализация систем управления идентификацией с ориентацией на пользователей, описывается в статье Томаса Гросса и других специалистов исследовательской лаборатории IBM в Цюрихе. Зависимости базовых свойств системы управления идентификации с ориентацией на пользователей отображаются в графическом виде. Направление стрелок обозначает «условие для». Вполне очевидно, что реализация контроля над пользователями в такой системе управления идентификацией не имеет простого решения даже на концептуальном уровне. Оптимизация определенных свойств ведет к тому, что другие особенности поддерживаются менее хорошо.

Источник: Томас Гросс и др., «User Centricity: A Taxonomy and Open Issues», ACM DIM ‘06.