Федеративная идентификация

В информационных технологиях федеративное управление идентификацией означает внедрение общего набора политик, практик и протоколов для управления идентичностью и доверием к пользователям и устройствам в различных организациях^[5].

Системы единого входа (SSO) позволяют пользователю проходить единую процедуру аутентификации сразу в нескольких информационных системах или организациях. При этом SSO является частным случаем федеративного управления идентификацией, так как охватывает только аутентификацию и техническую совместимость.

Централизованные системы управления идентификацией были созданы для обеспечения безопасности пользователей и данных, когда пользователи и системы, к которым они обращаются, находились в одной и той же сети или хотя бы в единой «зоне контроля». Однако в современных условиях пользователи всё чаще получают доступ к внешним системам, находящимся вне их зоны контроля, а внешние пользователи — к внутренним системам. Такое отделение пользователя от ресурсов, требующих доступа, стало закономерным следствием децентрализации, обусловленной интеграцией интернета в различные аспекты личной и корпоративной жизни. Возникающие при этом новые вызовы для управления идентификацией, особенно связанные с межорганизационным обменом и междоменным доступом, привели к появлению федеративного управления идентификацией^[6].

FIdM, то есть «федерация идентификации», описывает технологии, стандарты и сценарии применения, позволяющие обеспечить переносимость идентификационных данных между автономными доменами безопасности. Основная цель федерации — предоставить пользователю одного домена возможность безопасно и прозрачно получать доступ к данным или ресурсам другого домена, без полного дублирования процедур администрирования. Подходы к федерации идентификации бывают разными: от «пользователь-центричных» сценариев до корпоративных.

Федерация достигается за счёт использования открытых индустриальных стандартов и/или публичных спецификаций, обеспечивающих совместимость для типовых сценариев взаимодействия. К числу типичных случаев относятся: единый вход между доменами, междоменное создание учётных записей, междоменное управление правами доступа и обмен пользовательскими атрибутами.

Применение стандартов федерации идентификации позволяет снижать издержки за счёт отказа от нестандартизированных или собственных решений; повышает безопасность и снижает риски, позволяя идентифицировать и аутентифицировать пользователя один раз и использовать эти данные в разных системах, в том числе внешних; улучшает соблюдение требований приватности путём контроля пользователя за передаваемой информацией или ограничением объёма передаваемых сведений. Также федеративная идентификация улучшает пользовательский опыт: исчезает необходимость в повторной регистрации через автоматизированное федеративное создание учётных записей и повторном входе через междоменный единый вход.

Понятие федеративной идентификации крайне широко и постоянно развивается. Она может включать как сценарии взаимодействия «пользователь-пользователь» и «пользователь-приложение», так и «приложение-приложение», действовать на уровне браузера или служебных веб-сервисов/служб (SOA), применяться в условиях как высокого, так и низкого уровня доверия и безопасности. Уровни гарантии идентификации для различных сценариев стандартизируются в рамках открытых платформ управления удостоверением личности (Identity Assurance Framework). Термин «федерация идентификации» изначально носит общий характер и не привязан к конкретным протоколам, технологиям, реализациям или компаниям. Федерации идентификации бывают двусторонними (с обменом необходимыми метаданными между двумя сторонами) либо многосторонними. В последнем случае федерация часто реализуется в вертикальных рынках, например, в правоохранительных органах (например, National Identity Exchange Federation — NIEF^[7]), научных и образовательных учреждениях (например, InCommon^[8]). Для двусторонних федераций обмен метаданными реализуется напрямую, а для многосторонних возможно использование схемы «звезда и концентратор» либо распространение агрегированных метаданных оператором федерации.

Общее для всех схем то, что федерация обеспечивает переносимость идентификации на основе открытых стандартов — любой участник, соответствующий этим спецификациям, может реализовать весь спектр сценариев и обеспечить совместимость^[9].

Федерация идентификации может реализовываться различными способами, включая использование формализованных стандартов интернет-индустрии (например, OASIS SAML), открытых технологий и иных публичных спецификаций (например, Information Card, OpenID, фреймворк Higgins, проект Bandit от Novell и др.).

Технологии, применяемые для федеративной идентификации, включают протокол SAML (Security Assertion Markup Language), OAuth, OpenID, различные типы токенов безопасности (Simple Web Tokens, JSON Web Tokens, SAML-ассерции), спецификации веб-сервисов и Windows Identity Foundation^[10].

В США Национальный институт стандартов и технологий посредством Национального центра кибербезопасности опубликовал в декабре 2016 года базовый документ по этой тематике^[11].

Федеральная программа оценки рисков и авторизации — правительственная программа, обеспечивающая стандартизированный подход к оценке безопасности, авторизации и непрерывному мониторингу облачных продуктов и сервисов.

FedRAMP даёт возможность федеральным ведомствам быстро перейти от устаревших, менее защищённых ИТ-систем к современным, защищённым и экономически эффективным облачным решениям^[12].

Платформы цифровой идентификации, позволяющие пользователям входить на сторонние сайты, приложения, мобильные устройства и игровые системы, используя уже существующую идентификацию, то есть реализующие социальный вход, включают:

• Amazon^[13]
• Dashlane
• Foursquare
• GitHub
• Google Account
• LastPass^[14]
• Microsoft account — ранее Windows Live ID
• PayPal
• Mozilla Persona — 30 ноября 2016 года Mozilla прекратила обслуживание сервисов persona.org
• Yahoo! — пользователи могут использовать Yahoo! ID для входа на другие сайты; ранее вход на Yahoo! был возможен через Google или Facebook ID.