13:24
Управление идентификацией
Управление идентификацией ( IdM ), также известное как управление идентификацией и доступом ( IAM или IdAM ), является основой политик и технологий для обеспечения того, чтобы соответствующие люди на предприятии имели соответствующий доступ к технологическим ресурсам. Системы IdM подпадают под всеобъемлющие зонтики ИТ-безопасности и управления данными . Системы управления идентификацией и доступом не только идентифицируют, аутентифицируют и авторизуют отдельных лиц, которые будут использовать ИТ-ресурсы, но также требуют доступа к оборудованию и приложениям для сотрудников . Управление идентификацией и доступомРешения стали более распространенными и критическими в последние годы, поскольку требования соответствия нормативным требованиям становятся все более строгими и сложными. В нем рассматривается необходимость обеспечения надлежащего доступа к ресурсам во все более разнородных технологических средах и удовлетворения все более строгих требований соответствия. 
Термины «управление идентификацией» ( IdM ) и «управление идентификацией и доступом» взаимозаменяемо используются в области управления доступом к идентификации. 
Системы управления идентификацией, продукты, приложения и платформы управляют идентификационными и вспомогательными данными об объектах, которые включают отдельных лиц, компьютерное оборудование и программные приложения .
IdM охватывает такие вопросы, как то, как пользователи получают идентификационные данные , роли и, иногда, разрешения, которые предоставляет идентификационные данные, защита этого идентификатора и технологии, поддерживающие эту защиту (например, сетевые протоколы , цифровые сертификаты , пароли и т. Д.).

Управление идентификацией ( управление идентификаторами ) - это организационный процесс идентификации, аутентификации и предоставления отдельным лицам или группам людей доступа к приложениям, системам или сетям путем сопоставления прав и ограничений пользователей с установленными идентификаторами. Управление идентификацией (IdM) является задачей контроля информация о пользователях на компьютерах. Такая информация включает в себя информацию, которая подтверждает подлинность личности пользователя, и информацию, которая описывает информацию и действия, которые они авторизовалиполучить доступ и / или выполнить. Он также включает управление описательной информацией о пользователе, а также о том, как и кем эта информация может быть доступна и изменена. Помимо пользователей, управляемые объекты обычно включают аппаратные и сетевые ресурсы и даже приложения. 
Цифровая идентификация - это присутствие организации в Интернете, охватывающее личную идентификационную информацию (PII) и вспомогательную информацию. См. Руководящие принципы ОЭСР и NIST по защите PII. Его можно интерпретировать как кодификацию имен и атрибутов физических экземпляров таким образом, чтобы облегчить обработку.

В реальных условиях разработки онлайн-систем управление идентификацией может включать четыре основные функции:
Функция чистой идентичности: создание, управление и удаление идентичностей без учета доступа или прав;
Функция доступа пользователя (входа в систему): например: смарт-карта и связанные с ней данные, используемые клиентом для входа в службу или службы (традиционное представление);
Сервисная функция: система, которая предоставляет персонализированные, основанные на ролях, онлайн, по запросу, мультимедиа (контент), услуги на основе присутствия пользователям и их устройствам.
Федерация идентификации: система, которая использует федеративную идентификацию для аутентификации пользователя без знания его или ее пароля.

Общая модель идентичности может быть построена из небольшого набора аксиом, например, что все идентичности в данном пространстве имен являются уникальными или что такие идентичности имеют определенное отношение к соответствующим сущностям в реальном мире. Такая аксиоматическая модель выражает «чистую идентичность» в том смысле, что модель не ограничена конкретным контекстом приложения.
В целом, объект (реальный или виртуальный) может иметь несколько идентификаторов, и каждый идентификатор может включать в себя несколько атрибутов, некоторые из которых уникальны в данном пространстве имен. Диаграмма ниже иллюстрирует концептуальные отношения между идентичностями и сущностями, а также между идентичностями и их атрибутами.
В большинстве теоретических и всех практических моделей цифровой идентичности данный объект идентичности состоит из конечного набора свойств (значений атрибутов). Эти свойства записывают информацию об объекте, либо для целей, внешних по отношению к модели, либо для управления моделью, например, при классификации и поиске. Модель «чистой идентичности» строго не связана с внешней семантикой этих свойств.
Наиболее распространенное отклонение от «чистой идентичности» на практике происходит со свойствами, предназначенными для обеспечения некоторого аспекта идентичности, например цифровой подписи  или программного токена, который модель может использовать внутри страны для проверки некоторого аспекта идентичности для удовлетворения внешнее назначение. В той степени, в которой модель выражает такую ​​семантику внутренне, она не является чистой моделью.
Сравните эту ситуацию со свойствами, которые могут использоваться извне для целей информационной безопасности, таких как управление доступом или правами, но которые просто хранятся, поддерживаются и извлекаются без особого отношения к модели. Отсутствие внешней семантики в модели квалифицирует ее как модель «чистой идентичности».
Таким образом, управление идентификацией может быть определено как набор операций в данной модели идентификации или, в более общем смысле, как набор возможностей со ссылкой на нее.
На практике управление идентификацией часто расширяется, чтобы показать, как содержимое модели должно быть предоставлено и согласовано между несколькими моделями идентификации.

Пользовательский доступ позволяет пользователям принимать определенную цифровую идентификацию между приложениями, что позволяет назначать и оценивать элементы управления доступом на основе этой идентификации. Использование единого удостоверения для данного пользователя в нескольких системах облегчает задачи для администраторов и пользователей. Это упрощает мониторинг и проверку доступа и позволяет организациям минимизировать чрезмерные привилегии, предоставляемые одному пользователю. Доступ пользователя может отслеживаться от начала до прекращения доступа пользователя. 
Когда организации развертывают процесс или систему управления идентификацией, их мотивация обычно заключается не в том, чтобы в первую очередь управлять набором идентификаторов, а в том, чтобы предоставить соответствующие права доступа этим объектам через их идентификаторы. Другими словами, управление доступом обычно является мотивацией для управления идентификацией, и поэтому два набора процессов тесно связаны.

Организации продолжают добавлять услуги как для внутренних пользователей, так и для клиентов. Многие такие услуги требуют управления идентификацией для правильного предоставления этих услуг. Управление идентификацией все чаще отделяется от функций приложения, так что одна идентификация может обслуживать многие или даже все виды деятельности организации.
Для внутреннего использования управление идентификацией развивается, чтобы контролировать доступ ко всем цифровым активам, включая устройства, сетевое оборудование, серверы, порталы, контент, приложения и / или продукты.
Службам часто требуется доступ к обширной информации о пользователе, включая адресные книги, предпочтения, права и контактную информацию. Поскольку большая часть этой информации является предметом требований конфиденциальности и / или конфиденциальности, контроль доступа к ней имеет жизненно важное значение.

В дополнение к созданию, удалению, изменению данных идентификации пользователя с помощью или самообслуживанием, Identity Management контролирует данные вспомогательных объектов для использования приложениями, такие как контактная информация или местоположение.
Аутентификация : подтверждение того, что объект является тем, кто / что он утверждает, что использует пароль, биометрические данные, такие как отпечаток пальца, или отличительное поведение, такое как шаблон жестов на сенсорном экране.
Авторизация : управление информацией авторизации, которая определяет, какие операции может выполнять объект в контексте конкретного приложения. Например, одному пользователю может быть разрешено ввести заказ на продажу, в то время как другому пользователю разрешено утверждать запрос на кредит для этого заказа.
Роли : Роли - это группы операций и / или других ролей. Пользователям предоставляются роли, часто связанные с конкретной работой или должностной функцией. Роли предоставляются авторизации, фактически авторизуя всех пользователей, которым была предоставлена ​​роль. Например, роль администратора пользователя может быть авторизована для сброса пароля пользователя, а роль системного администратора может иметь возможность назначить пользователя определенному серверу.
Делегирование : делегирование позволяет локальным администраторам или супервизорам выполнять модификации системы без глобального администратора или для одного пользователя, чтобы позволить другому выполнять действия от их имени. Например, пользователь может делегировать право на управление связанной с офисом информацией.
Обмен: протокол SAML является важным средством, используемым для обмена идентификационной информацией между двумя доменами идентификации.  OpenID Connect является еще одним таким протоколом.

ИСО (а точнее, ИСО / МЭК JTC1 , SC27 Методы информационной безопасности WG5 Методы управления доступом к конфиденциальности и конфиденциальности) проводит некоторую работу по стандартизации для управления идентификацией ( ISO 2009 ), такую ​​как разработка основы для управления идентификацией, включая определение термины, связанные с идентичностью. Опубликованные стандарты и текущие рабочие элементы включают в себя следующее:
ИСО / МЭК 24760-1 Структура для управления идентификацией. Часть 1. Терминология и концепции
ИСО / МЭК 24760-2 Основы управления идентификацией - Часть 2. Эталонная архитектура и требования
ISO / IEC DIS 24760-3 Структура управления идентификацией - Часть 3: Практика
ISO / IEC 29115 Проверка подлинности объекта
ISO / IEC 29146 Структура для управления доступом
ISO / IEC CD 29003 Идентификация и проверка личности
ISO / IEC 29100 Структура конфиденциальности
ISO / IEC 29101 Архитектура конфиденциальности
ISO / IEC 29134 Методология оценки влияния на конфиденциальность
Категорія: Технологии Кибербезопасности | Переглядів: 234 | Додав: Kontent_MENEGER | Теги: Управление идентификацией | Рейтинг: 0.0/0
Всього коментарів: 0
avatar