МИНИСТЕРСТВО НАУКИ И ВЫСШЕГО ОБРАЗОВАНИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ СТАРООСКОЛЬСКИЙ ТЕХНОЛОГИЧЕСКИЙ ИНСТИТУТ ИМ. А.А. УГАРОВА (филиал) федерального государственного автономного образовательного учреждения высшего образования «Национальный исследовательский технологический университет «МИСиС» ОСКОЛЬСКИЙ ПОЛИТЕХНИЧЕСКИЙ КОЛЛЕДЖ МДК 06.04 «Интеллектуальные системы и технологии» РЕФЕРАТ НА ТЕМУ «Использование технологии управления идентификацией (Identity Management)» Выполнил: студент группы ИСП-18-2 Коннов Вадим Проверил: преподаватель Коврижных О.А. Старый Оскол, 2022 Оглавление ВВЕДЕНИЕ .............................................................................................................. 3 Определения ............................................................................................................ 4 Функция.................................................................................................................... 5 Чистая идентичность............................................................................................... 5 Доступ пользователя ............................................................................................... 7 Услуги....................................................................................................................... 8 Возможности системы ............................................................................................ 8 Конфиденциальность .............................................................................................. 9 Последствия для организации.............................................................................. 10 Управление аутентификацией ............................................................................. 11 Стандартизация ..................................................................................................... 12 Заключение ............................................................................................................ 14 СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ ........................................... 15 ВВЕДЕНИЕ Мир корпоративных информационных систем перешагнул границы того этапа автоматизации деятельности предприятий, на котором различные аспекты деятельности автоматизировались по отдельности. В настоящий момент всё чаще ставится вопрос об интеграции всех приложений в единую информационную среду. Обсуждаемое в этой заметке направление Identity Management представляет собой набор задач по интеграции приложений в части их взаимодействия с пользователями. ОПРЕДЕЛЕНИЯ Соответственно, для управления персональными данными в ИТ крупные компании будут вынуждены внедрять специализированные системы класса IDM для управления информацией о пользователях своих корпоративных систем. Если раньше наблюдался некоторый дефицит квалифицированных кадров в этой области, то теперь этот дефицит примет катастрофические масштабы, так как гром грянул, и мужику положено начать креститься. Дефицит кадров в этой специализированной области обусловлен тем, что специалист по IDM должен обладать сразу несколькими навыками в ИТ – он должен хорошо разбираться в устройстве различных систем информационной безопасности, иметь практический опыт системного администрирования, быть неплохим программистом для написания адаптеров и сценариев обработки данных, уметь описывать и ставить бизнес-процессы. И при этом он не должен беситься от огромного количества рутинной работы по выверке персональных данных. Могу практически со стопроцентной уверенностью утверждать, что таких людей в природе не существует. С этим фактом связана извечная головная боль сотрудников HR, которые вообще смутно себе представляют нашу специфику, а тут еще им приходится иметь дело с такой гремучей смесью несовместимых навыков. Единственным выходом из ситуации является разделение работы минимум на двоих. Один может программировать коннекторы к системам безопасности, настраивать внутренние workflow, писать скрипты и заниматься развертываением. Второй должен работать с пользовательскими данными, описывать бизнес-процессы, заниматься документированием и продвижением идеи IDM в ИТ массы. Управление идентификацией ( ID management ) - или управление идентификацией и доступом ( IAM ) - это организационные и технические процессы для первой регистрации и авторизации прав доступа на этапе конфигурации, а затем на этапе эксплуатации для идентификации, аутентификации и контроля отдельных лиц или групп люди имеют доступ к приложениям, системам или сетям на основе ранее авторизованных прав доступа. Управление идентификацией (IdM) - это задача управления информацией о пользователях на компьютерах. Такая информация включает в себя информацию, которая удостоверяет личность пользователя, и информацию, описывающую данные и действия, к которым им разрешен доступ и / или выполнять. Он также включает в себя управление описательной информацией о пользователе, а также о том, как и кто может получить доступ к этой информации и изменить ее. Помимо пользователей, управляемые объекты обычно включают оборудование, сетевые ресурсы и даже приложения. На схеме ниже показана взаимосвязь между фазами конфигурации и работы IAM, а также различие между управлением идентификацией и управлением доступом. ФУНКЦИЯ В реальном контексте разработки онлайн-систем управление идентификацией может включать четыре основные функции: Функция чистой идентичности: создание, управление и удаление идентичностей без учета доступа или прав; Функция доступа пользователя (входа в систему): Например: смарт-карта и связанные с ней данные, используемые клиентом для входа в службу или службы (традиционный вид); Сервисная функция: система, которая предоставляет пользователям и их устройствам персонализированные, основанные на ролях, онлайновые, мультимедийные (контент) услуги по запросу, а также услуги на основе присутствия. Identity Federation: система, которая полагается на федеративную идентификацию для аутентификации пользователя, не зная его пароля. ЧИСТАЯ ИДЕНТИЧНОСТЬ Общая модель идентичности может быть построена из небольшого набора аксиом, например, что все идентичности в данном пространстве имен уникальны или что такие идентичности имеют определенное отношение к соответствующим сущностям в реальном мире. Такая аксиоматическая модель выражает «чистую идентичность» в том смысле, что модель не ограничивается конкретным контекстом приложения. В общем, объект (реальный или виртуальный) может иметь несколько идентификаторов, и каждый идентификатор может включать в себя несколько атрибутов, некоторые из которых уникальны в данном пространстве имен. На приведенной ниже диаграмме показаны концептуальные отношения между идентификаторами и объектами, а также между идентификаторами и их атрибутами. В большинстве теоретических и всех практических моделей цифровой идентичности данный объект идентичности состоит из конечного набора свойств (значений атрибутов). Рисунок 1 – Общая модель идентичности Эти свойства записывают информацию об объекте либо для внешних по отношению к модели целей, либо для работы с моделью, например, при классификации и извлечении. Модель «чистой идентичности» строго не касается внешней семантики этих свойств. Наиболее распространенное отклонение от «чистой идентичности» на практике происходит со свойствами, предназначенными для обеспечения некоторого аспекта идентичности, например, цифровой подписи или программного токена, который модель может использовать внутри для проверки некоторого аспекта идентичности для удовлетворения внешней цели. Поскольку модель внутренне выражает такую семантику, это не чистая модель. Сравните эту ситуацию со свойствами, которые могут использоваться извне для целей информационной безопасности, таких как управление доступом или правами, но которые просто хранятся, обслуживаются и извлекаются без особой обработки модели. Отсутствие внешней семантики в модели квалифицирует ее как модель «чистой идентичности». Таким образом, управление идентификацией можно определить как набор операций над данной моделью идентификации или, в более общем смысле, как набор возможностей, связанных с ней. На практике управление идентификацией часто расширяется, чтобы выразить, как контент модели должен быть подготовлен и согласован между несколькими моделями идентификации. ДОСТУП ПОЛЬЗОВАТЕЛЯ Доступ пользователей позволяет пользователям предполагать определенную цифровую идентификацию в приложениях, что позволяет назначать средства управления доступом и оценивать их по этой личности. Использование одного удостоверения для данного пользователя в нескольких системах упрощает задачи для администраторов и пользователей. Это упрощает мониторинг и проверку доступа и позволяет организациям минимизировать чрезмерные привилегии, предоставляемые одному пользователю. Доступ пользователя можно отслеживать от начала до прекращения доступа пользователя. Когда организации развертывают процесс или систему управления идентификационной информацией, их мотивация обычно заключается не в том, чтобы управлять набором идентификационных данных, а скорее в том, чтобы предоставить соответствующие права доступа этим объектам через их идентификационные данные. Другими словами, управление доступом обычно является мотивацией для управления идентификацией, и, следовательно, эти два набора процессов тесно связаны. УСЛУГИ Организации продолжают добавлять услуги как для внутренних пользователей, так и для клиентов. Многие такие службы требуют управления идентификацией для надлежащего предоставления этих услуг. Все чаще управление удостоверениями отделяется от функций приложений, так что одно удостоверение может обслуживать многие или даже все виды деятельности организации. Для внутреннего использования управление идентификацией развивается для контроля доступа ко всем цифровым активам, включая устройства, сетевое оборудование, серверы, порталы, контент, приложения и / или продукты. Службам часто требуется доступ к обширной информации о пользователе, включая адресные книги, предпочтения, права и контактную информацию. Поскольку большая часть этой информации подчиняется требованиям конфиденциальности и / или конфиденциальности, контроль доступа к ней имеет жизненно важное значение. ВОЗМОЖНОСТИ СИСТЕМЫ В дополнение идентификационных к созданию, данных удалению, пользователя с модификации помощью или самообслуживанием, Identity Management контролирует вспомогательные данные объекта для использования приложениями, такие как контактная информация или местоположение. Аутентификация : проверка того, кто / что утверждает, что объект использует пароль, биометрические данные, такие как отпечаток пальца, или отличительное поведение, такое как шаблон жестов на сенсорном экране. Авторизация : управление информацией авторизации, которая определяет, какие операции объект может выполнять в контексте конкретного приложения. Например, одному пользователю может быть разрешено вводить заказ на продажу, а другому пользователю разрешено утверждать кредитный запрос для этого заказа. Роли : роли - это группы операций и / или другие роли. Пользователям предоставляются роли, часто связанные с определенной работой или должностной функцией. Роли получают полномочия, фактически разрешая всем пользователям, которым была предоставлена роль. Например, роль администратора пользователя может быть авторизована для сброса пароля пользователя, а роль системного администратора может иметь возможность назначать пользователя определенному серверу. Делегирование : Делегирование позволяет локальным администраторам или супервизорам вносить изменения в систему без глобального администратора или разрешать одному пользователю выполнять действия от своего имени. Например, пользователь может делегировать право на управление служебной информацией. Обмен: протокол SAML является важным средством, используемым для обмена идентификационной информацией между двумя идентификационными доменами. OpenID Connect - еще один такой протокол. КОНФИДЕНЦИАЛЬНОСТЬ Размещение личной информации в компьютерных сетях обязательно вызывает проблемы с конфиденциальностью . При отсутствии надлежащей защиты данные могут быть использованы для организации слежки за обществом . Социальные сети и социальные сети в Интернете активно используют управление идентификацией. Помощь пользователям в принятии решения о том, как управлять доступом к их личной информации, стала проблемой, вызывающей всеобщую озабоченность. В рамках Седьмой рамочной программы исследований Европейского Союза с 2007 по 2013 год стартовало несколько новых проектов, связанных с управлением идентификацией. Проект PICOS исследует и разрабатывает современную платформу для обеспечения доверия, конфиденциальности и управления идентификацией в мобильных сообществах. PrimeLife разрабатывает концепции и технологии, чтобы помочь людям защитить автономию и сохранить контроль над личной информацией, независимо от деятельности. SWIFT фокусируется на расширении функций идентификации и федерации в сети, одновременно решая проблемы удобства использования и конфиденциальности, и использует технологию идентификации в качестве ключа для интеграции сервисной и транспортной инфраструктуры на благо пользователей и поставщиков. ПОСЛЕДСТВИЯ ДЛЯ ОРГАНИЗАЦИИ В каждой организации обычно есть роль или отдел, отвечающий за управление схемой цифровых удостоверений своих сотрудников и их собственных объектов, которые представлены идентификаторами объектов или идентификаторами процессы и объектов процедуры, (OID). относящиеся Организационные к надзору за политики, управлением идентификационной информацией, иногда называют Identity Governance and Administration (IGA). Существуют коммерческие программные инструменты, помогающие автоматизировать и упростить такие функции управления идентификацией на уровне организации. Насколько эффективно и правильно используются такие инструменты, относятся к более широким режимам корпоративного управления, управления рисками и соблюдения нормативных требований . С 2016 года у специалистов по управлению идентификацией и доступом есть собственная профессиональная организация IDPro . В 2018 году комитет инициировал публикацию аннотированной библиографии, в которой перечислен ряд важных публикаций, книг, презентаций и видео. УПРАВЛЕНИЕ АУТЕНТИФИКАЦИЕЙ Работа с многообразием несвязанных систем неудобна не только администраторам; она также причиняет определённые неудобства конечным пользователям - разные пароли (а иногда и разные имена для входа в систему) в разных приложениях, а также необходимость вводить пароль при переходе от приложения к приложению. Эти неудобства преодолеваются при помощи создания единой системы аутентификации и системы однократной регистрации (Single Sign-On, SSO). Первая из этих задач может быть решена при помощи внедрения единого каталога LDAP – в этом случае у пользователя имеется единственное имя для доступа к приложениям и единственный пароль; похожий результат может быть достигнут при внедрении метакаталога (заметим, что не все метакаталоги в состоянии синхронизировать пароли, так что эта задача может требовать использования специальных средств, таких, как P-Synch). Заметим,что это - не единственный способ создания единой системы аутентификации (см. ниже). Существующие на сегодня системы SSO можно условно разделить на два типа. Системы первого типа не требуют внесения изменений в сами приложения и обеспечивают автоматический ввод имени пользователя и пароля в момент, когда соответствующее приложение их запрашивает. Примерами таких систем являются Novell SecureLogin и Evidian AccessMaster. Реализация SSO второго типа накладывает определённые условия на сами приложения – они должны уметь получать информацию о пользователе без отдельного запроса на ввод пароля. Например, SSO для веб-приложений может быть реализовано при помощи cookies, помещаемых в клиентский веббраузер: cookie помещается при первоначальной аутентификации, а последующие приложения используют его для проверки личности пользователя. Такой подход реализуется в продуктах Netegrity SiteMinder и Oblix NetPoint. В качестве другого примера можно назвать технологию Kerberos, получившую особенно широкое распространение после своего включения в Windows 2000: «билет» Kerberos, получаемый при входе в ОС, может использоваться для входа в приложения, поддерживающие Kerberos, что происходит незаметно для пользователя. В настоящий момент большинство крупных и средних фирм и организаций на западном рынке либо уже внедрили единую систему каталогов LDAP, либо находятся на стадии её развёртывания. Наблюдается также высокий (и растущий) интерес к метакаталогам и системам SSO, хотя из-за молодости этих технологий степень их проникновения пока что относительно невелика. Российский рынок следует за западным с характерным запозданием; здесь достаточно распространены каталоги, управляющие сетевыми ресурсами (в первую очередь, Active Directory), а о метакаталогах и SSO до последнего времени практически не говорилось. СТАНДАРТИЗАЦИЯ ISO (и, в частности, ISO / IEC JTC1 , SC27, методы ИТ-безопасности, WG5, методы управления доступом к удостоверениям и методы конфиденциальности) проводит некоторую работу по стандартизации для управления идентификацией ( ISO 2009 ), такую как разработка структуры для управления идентификацией, включая определение термины, связанные с идентичностью. Опубликованные стандарты и текущие рабочие элементы включают следующее: ИСО / МЭК 24760-1 Структура управления идентификацией. Часть 1. Терминология и концепции. ISO / IEC 24760-2 A Framework for Identity Management. Часть 2: Эталонная архитектура и требования. ISO / IEC DIS 24760-3 Структура управления идентификацией Часть 3: Практика ISO / IEC 29115 Обеспечение аутентификации объекта ISO / IEC 29146 Структура для управления доступом ISO / IEC CD 29003 Подтверждение и проверка личности Структура конфиденциальности ISO / IEC 29100 Архитектура конфиденциальности ISO / IEC 29101 ISO / IEC 29134 конфиденциальность Методология оценки воздействия на ЗАКЛЮЧЕНИЕ Что такое Identity Management? Identity – это личность. Все, что составляет информацию о реальном человеке, является Identity: его имя, пол, должность, год рождения, атрибуты его учетных записей в системах. В определенных сочетаниях информация о человеке является предметом защиты федеральных законов и должна управляться. Процессы и системы управления персональными данными называются Identity Management, или IDM, из этого следует что, управление идентификацией - или управление идентификацией и доступом ( IAM ) - это организационные и технические процессы для первой регистрации и авторизации прав доступа на этапе конфигурации. Направление Identity Management является относительно молодым – самому термину Identity Management сейчас около трех лет. За исключением технологии каталогов LDAP, возникшей в начале (и достаточно широко распространившейся к концу) 1990-х, это можно сказать и о соответствующих продуктах и технологиях. СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 1. https://dic.academic.ru/dic.nsf/ruwiki/140162 2. https://atesting.ru/quality 3. https://studref.com/320312/informatika 4. https://intuit.ru/studies/courses/3492 5. https://studme.org/226097/informatika