Федеративное управление идентификацией

Моя цель - предложение широкого ассортимента товаров и услуг на постоянно высоком качестве обслуживания по самым выгодным ценам.
Федеративное управление идентификацией (FIM) — это соглашение, которое может быть заключено между несколькими компаниями, позволяющее участникам использовать одни и те же идентификационные данные для входа всех компаний, находящихся в группе. Такой подход получил название “федерация удостоверений”.

Федерация удостоверений объединяет идентификационную информацию о пользователях в доменах безопасности, каждый из которых поддерживает свою систему управления доступами. Если два домена объединены федерацией удостоверений, пользователь может аутентифицироваться в одном домене, а, затем, войти в другой уже без дополнительного ввода логина или пароля.

Федерация удостоверений обладает не только рядом экономических преимуществ, но и упрощает работу как компаниям, так и участникам подобной сети. Например, если несколько корпораций будут совместно использовать лишь одно приложение, это приведет к сокращению расходов и консолидации ресурсов.

Технология единого входа Single Sign-On (SSO) является важной составляющей федерации удостоверений, но это не одно и то же/они не являются взаимозаменяемыми.

Федерация удостоверений включает в себя большой набор вариантов использования: пользователь-пользователь, пользователь-приложение и приложение-приложение как на уровне браузера, так и уровне сервисно-ориентированной архитектуры/архитектуры IT-сервисов предприятия.

Чтобы сделать FIM максимально эффективным, стороны должны находиться в состоянии полного доверия друг другу. Сообщения об авторизации в FIM могут передаваться с помощью языка разметки декларации безопасности (SAML) или другого подобного XML-стандарта, который позволяет пользователю всего один раз авторизоваться для доступа к абсолютно автономным, но, при этом, состоящим в одной системе веб-сайтам или сетям.

К примерам FIM относятся OpenID и OAuth, а также Shibboleth, базирующийся на OASIS SAML.

Как работает федеративное управление идентификацией


В соответствии со схемой FIM, учетные данные хранятся в системе управления доступами — обычно это домашняя организация пользователя/домашняя сеть/домашний сервер. Затем, в процессе авторизации пользователю нет необходимости предоставлять учетные данные поставщику услуг. Поставщик услуг доверяет системе управления доступами проверку учетных данных пользователя.Таким образом, пользователю необходимо предоставить учетные данные только системе управления доступами, которая, как правило, является домашним доменом пользователя.

В рамках федерации удостоверений пользователь аутентифицируется лишь один раз через домашний домен; если этот же пользователь откроет сессию в другом домене безопасности, этот домен доверится домашнему домену и аутентифицирует пользователя.

Вот как это работает:

  • Пользователи входят в свою домашнюю сеть, аутентифицируясь через домашний домен безопасности.
  • После аутентификации в домашнем домене, пользователи пробуют зайти в удаленное приложение, используя федерацию удостоверений.
  • Вместо аутентификации напрямую через удаленное приложение, это приложение запрашивает аутентификацию пользователя у его домашнего сервера.
  • Домашний сервер аутентификации авторизует пользователя в удаленном приложении и предоставляет доступ.

Пользователю необходимо пройти процесс аутентификации к домашнему домену лишь один раз; удаленные приложения в других доменах безопасности, находящиеся в одной сети/согласившиеся сотрудничать, теперь могут предоставить доступ пользователю, не требуя при этом дополнительной авторизации.

Преимущества федеративного управления идентификацией


Федерация удостоверений обеспечивает не только экономические преимущества, но и комфорт в использовании как для компаний, так и для их пользователей.

Компании, работающие вместе над проектом, могут сформировать федерацию удостоверений, чтобы предоставить пользователям простой доступ к необходимым ресурсам. При этом, хоть и пользователи аутентифицируются один раз для получения доступа к ресурсам во всех доменах, администраторы каждой организации все так же могут контролировать/управлять уровнем доступа в своих собственных доменах. Такой подход позволяет сократить расходы и консолидировать ресурсы.

Кроме того, федерация удостоверений направлена на устранение барьеров, которые мешают пользователям получать доступ к нужным им ресурсам, когда они им нужны, безопасно и просто. Пользователям федераций удостоверений не нужно создавать новые аккаунты для каждого домена, что означает, что теперь не нужно держать в голове учетные данные для каждого из них. Теперь можно свободно переходить из одного домена в другой без повторного ввода логина и пароля.

Плюс ко всему, с помощью федерации удостоверений администраторы могут избежать проблем, которые могут возникнуть при балансировке доступа к нескольким доменам, такие как, например, разработка особой системы, облегчающей доступ к ресурсам внешней организации/извне.

Федерация удостоверений также может быть полезна при администрировании приложений, которым необходим доступ к ресурсам в нескольких доменах безопасности.

В чем разница между FIM и SSO?


Несмотря на то, что федеративное управление идентификацией предоставляет своим пользователям возможность единого входа, это вовсе не одно и то же с SSO. SSO позволяет пользователям использовать один набор учетных данных для получения доступа к нескольким системам внутри одной организации, в то время, как FIM дает пользователям возможность доступа к системам разных организаций.

Обратите внимание на то, что FIM предоставляет возможность SSO для своих пользователей, но организациям, реализующим SSO, не обязательно использовать FIM. Однако, важно отметить, что федерация удостоверений в значительной степени зависит от технологий SSO для аутентификации пользователей в разных доменах.

Технология единого входа позволяет пользователям аутентифицироваться и получить доступ к нескольким сервисам,, авторизовавшись лишь один раз. SSO базируется на токенах, что означает, что каждый пользователь идентифицируется в системе не с помощью пароля, а с помощью токена.

Федеративное управление идентификацией — это соглашение, заключенное между компаниями, которое позволяет сторонам использовать одну и ту же идентификационную информацию, чтобы получить доступ к программам, приложениям и сетям сторон-участниц.

В то время, как SSO позволяет получить доступ к нескольким системам внутри одной компании/предприятия, используя один набор учетных данных, а FIM же открывает доступ к разного рода системам внутри сразу нескольких организаций. Поэтому пользователи предоставляют учетные данные не непосредственно в веб-приложение, а в саму систему FIM.

Плюсы и минусы FIM


Главное преимущество FIM по отношению к пользователю — это удобство. Ведь теперь нужно запомнить только одно сочетание логина и пароля, необходимое для доступа к приложениям в нескольких доменах безопасности. FIM освобождает пользователя от необходимости держать в голове несколько наборов учетных данных для доступа к данным организации, с которым он сотрудничает.

FIM также облегчает жизнь системным администраторам, упрощая процесс аутентификации и авторизации пользователей их систем в пределах одной федерации. Благодаря федеративному управлению идентификацией, системному администратору будет достаточно лишь имени пользователя, чтобы предоставить разрешения или скорректировать уровни доступа в системах разных доменов безопасности. Это сокращает количество работы системного администратора, упрощает процесс управления идентификацией и ускоряет доступ к различного рода ресурсам.

Безусловно, в FIM есть и свои недостатки, включающие первоначальные затраты на модификацию уже существующей системы и приложений (что может быть особой проблемой для менее крупных организаций).

Еще одним препятствием в работе с федеративным управлением идентификацией является необходимость участия всех членов федерации в создании общих правил, соответствующим требованиям безопасности каждой из сторон. Наличие уже установленных требований и правил каждой из сторон может немного усложнить процесс согласования новых.

В заключение, отметим, что поскольку организация может быть членом разных федераций, ее политика должна точно отражать позицию каждой из сторон федерации. К таким обязательствам может быть готов далеко не каждый.
Источник: https://habr.com/ru/company/nixys/blog/568878/


Интересные статьи

Интересные статьи

Требования меняются и расширяются в ходе любого проекта. Это естественный аспект разработки программного обеспечения. Менеджер проекта должен предвидеть и планировать это...
Предыстория Когда-то у меня возникла необходимость проверять наличие неотправленных сообщений в «1С-Битрикс: Управление сайтом» (далее Битрикс) и получать уведомления об этом. Пробле...
VUE.JS - это javascript фрэймворк, с версии 18.5 его добавили в ядро битрикса, поэтому можно его использовать из коробки.
Agile подходы набирают популярность из-за хорошей реализации работы с неопределенностью за счет постоянной поставки результата. Однако, почти любой Agile-процесс требует выделенной команды на про...
Недавно я рассказала о докладах, которые сформировали программу конференции про управление знаниями в IT компаниях KnowledgeConf. Но не докладами едиными, все таки самое важное на конференции — э...