Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Федеративное управление идентификацией пользователей

Лори Маквитти

Хотите избежать кризиса в управлении идентификацией пользователей? Создайте структуру федеративной идентификации, в которой аутентификационный идентификатор пользователя (ID) является общим для множе-ства доменов и предприятий. Организация Liberty Alliance разработала открытые стандарты для интеграции идентификаторов пользователей, подготовив почву для реализации централизованного управления идентификаторами и единой регистрации пользователей в сети. Кроме того, эти стандарты позволяют вашим партнерам и клиентам снизить затраты на управление идентификационной информацией.

Liberty Alliance, куда входят компании American Express, AOL Time Warner, General Motors и Sun Microsystems, разрабатывает стандарты совместного использования коммерческими онлайновыми предприятиями идентификационной информации своих клиентов и покупателей. В конце текущего года альянс планирует выпустить версию своей модели федеративных идентификаторов пользователей для Web-сервисов.

Федеративная модель ID позволяет пользователю проходить процедуру аутентификации в одной организации или на одном Web-сайте и получать доступ к своей персональной информации или персональным сервисам любой федеративной организации, входящей в этот круг доверия (circle of trust). Например, компания, предоставляющая финансовые услуги, и онлайновая розничная фирма могут при совершении транзакции совместно использовать одну и ту же идентификационную информацию своих клиентов; при этом им не надо хранить отдельные регистрационные данные каждой пользовательской учетной записи и управлять ими.

Чтобы как следует разобраться в модели федеративной безопасности Liberty Alliance, вам придется сначала ознакомиться с профессиональной терминологией альянса. Сетевая идентификационная информация (network identity) — это конгломерат вашей персональной информации, которая представляет вас в несметном количестве баз данных, рассредоточенных по всему миру. Эта информация может включать ваше имя и фамилию, имя пользователя, номера телефона и карточки социального страхования, медицинские выписки, идентификационные номера водительских прав, паспортов и рабочих пропусков, а также ваши личные предпочтения, в частности любимые места в салоне самолета, музыкальные вкусы, предпочитаемые модели сотовых телефонов и беспроводных устройств электронной почты.

Единая регистрация пользователей устраивает всех

При федеративной сетевой идентификации пользователей многочисленные их сетевые идентификационные параметры, принадлежащие различным учетным записям (например, для авиакомпании или для пункта проката автомобилей), хранятся на разных Web-сайтах, но связаны между собой. Это не что иное, как начальная форма парадигмы единой регистрации пользователей в Интернет. Служащий может заказать билет на самолет в авиакомпании и тут же забронировать автомобиль в пункте проката, не прибегая к дополнительной регистрации на сайте компании по прокату автомобилей. Такая федеративная модель ID предоставляет служащим компаний и партнерам по бизнесу не только более персонализированный онлайновый сервис, но и более высокую безопасность и более тщательный контроль над используемой персональной информацией.

Эта модель работает подобно системам обеспечения ресурсами и единой регистрации служащих, которые устанавливают соответствие различных имен пользователя одного и того же человека, зарегистрированного на разных корпоративных системах. Если, например, для доступа в корпоративный домен пользователь аутентифицируется под именем jsmith, но при входе в систему отдела кадров регистрируется под именем John.Smith, то федеративная сеть определяет, что оба идентификатора принадлежат одному и тому же лицу. В этом случае федеративная сеть может зарегистрировать Джона Смита в системе отдела кадров автоматически, не требуя от него выхода из корпоративного домена и дополнительной регистрации в этой системе.

Согласно определению Liberty Alliance, круг доверия — это группа, состоящая из двух или более предприятий или сервис-провайдеров (банков, онлайновых розничных магазинов или компаний, оказывающих финансовые услуги), которые совместно используют сетевые идентификаторы пользователей. Эти организации работают в рамках специальных бизнес-соглашений, диктующих им, как использовать идентификационную информацию и вести бизнес.

Клиент предприятия или покупатель сам определяет, какая идентификационная информация должна совместно использоваться сервис-провайдерами, входящими в круг доверия. Liberty Alliance рекомендует уведомлять пользователя о собираемой вами персональной информации. Пользователь должен дать свое согласие на обмен идентификационной информацией между онлайновыми сайтами разных членов круга доверия.

Такой процесс “участия” требует от пользователя согласия на разделение информации сайта А с сайтом В (см. “Как стать членом федерации по версии Liberty Alliance”). Пользователь подписывает соглашение о разделении информации в процессе регистрации на втором сайте (В). Начиная с этого момента он должен регистрироваться лишь при входе на один из этих сайтов, что упрощает регистрацию и работу пользователя, а также позволяет предприятию предоставлять своим клиентам персонализированные возможности.

Открытость модели федеративной идентификации Liberty Alliance

Механизм круга доверия может показаться очень похожим на службу Passport компании Microsoft, однако между ними имеется весьма существенная разница. Так, Liberty Alliance выпускает спецификации, основанные на таких открытых стандартах, как SAML (Security Assertion Markup Language), XML, HTTP и WSDL (Web Services Description Language). Passport же является фирменной службой Microsoft, основанной исключительно на Kerberos. Passport работает только под управлением Windows и Internet Explorer, тогда как стандарты Liberty Alliance поддерживаются любыми операционными системами и браузерами.

Спецификации Liberty Alliance не совместимы со службой Passport Microsoft, но это еще не означает, что их нельзя использовать совместно: поставщик ID, одновременно являющийся и Web-сайтом Passport и участником круга доверия, может отображать идентификационные данные между этими двумя технологиями идентификации пользователей (см. “Предъявите свой паспорт”).

В своих спецификациях Liberty Alliance полагается на стандарты, разработанные консорциумом W3C (World Wide Web Consortium) и организацией OASIS (Organization for the Advancement of Structured Information Standards). Для сохранения пользовательских данных cookie более ранние версии (1 и 1.1) спецификаций этого альянса рекомендуют использовать доменный сервис третьей фирмы, после чего любой сайт, входящий в круг доверия домена, сможет их прочитать.

Хотя эта опция остается и в последней версии (1.2) спецификаций Liberty Alliance, ее использование больше не приветствуется, поскольку управление данными cookie и их чтение через доменные соединения являются рискованными с точки зрения сетевой безопасности (и вызывают справедливый гнев пользователей, озабоченных сохранением идентификационной информации в секрете).

Кроме того, для передачи идентификационной информации между двумя сайтами версия 1.2 спецификаций Liberty Alliance рекомендует применять механизмы, основанные на стандарте SAML организации OASIS. Стандарт SAML определяет единую связующую среду XML для обмена аутентификационными и авторизационными данными между разными системами безопасности и Web-сервисами.

В такой среде из соображений секретности идентификационная информация надежно скрывается, чтобы ее нельзя было привязать к соответствующему пользователю. Все это обеспечивает более высокую защиту персональных данных, однако требует и более высокого уровня доверия между сервис-провайдером и провайдером идентификационной информации.

Спецификация Liberty Alliance содержит два метода передачи этой информации между провайдером идентификационной информации, агентом пользователя (браузером) и сервис-провайдером. В обоих этих методах используется перенаправление браузера (см. “Алгоритм аутентификации при обращении к ресурсам федерации”).

Первый метод заключается в использовании для передачи утверждения SAML (элемент описания конечного пользователя, содержащий, например, атрибут) команды get протокола HTTP. Загвоздка здесь в том, что длины указателя URL вместе с утверждением SAML не должны превышать ограничение браузера на длину URL. Второй метод, не накладывающий подобного ограничения, состоит в использовании команды post протокола HTTP. Для передачи утверждения SAML между провайдерами оно вставляется в форму HTML с помощью команды post HTTP. Недостатки этого подхода — сложность программирования и необходимость написания сценария для автоматического переключения браузера между сервис-провайдером и провайдером идентификационной информации.

Чтобы сделать такую реализацию более гладкой для браузера, часто создается передаваемый посредством команды get HTTP артефакт (или метка) SAML, который является указателем на утверждение SAML. Для того чтобы провайдер мог находить и извлекать полное утверждение SAML, этот идентификатор должен быть видимым и вместе с тем трудным для понимания.

Вступление в круг доверия

Федерация образуется тогда, когда второй узел или сервис-провайдер присоединяется к кругу доверия. Этот процесс представляет собой объединение идентификационной информации пользователя, хранящейся на одном сайте, с его же идентификационной информацией, имеющейся на другом сайте. Результатом этого процесса является унифицированная идентификационная информация, разделяемая всеми членами одного круга доверия при условии, что пользователь дает на это согласие.

Члены круга доверия назначают провайдера идентификационной информации, который обычно хранит подписанное пользователем соглашение об участии в круге доверия. Даже после авторизации федерации пользователь еще должен дать согласие на включение в свой круг доверия каждого предприятия или сервис-провайдера, что гарантирует сохранение конфиденциальности идентификационной информации.

Конечно, если принять во внимание природу Web, никакой одновременной регистрации пользователя сразу на всех сайтах в действительности не происходит. Этот процесс во многом напоминает единую регистрацию: зарегистрировавшись на сайте члена А, пользователю не нужно регистрироваться еще раз при посещении сайта любого другого члена круга доверия. Однако имейте в виду, что если на сайте члена А вы зарегистрированы под именем Joe Smith, а на сайте члена В — под именем Jsmith, то для всех членов круга доверия вы будете известны под тем именем, под которым вы зарегистрированы на первом сайте. Поэтому, если вы входите на сайт А, а затем посещаете сайт В, то вы будете известны на обоих сайтах как Joe Smith. И наоборот, если вы входите на сайт В, а затем на сайт А, то во время данного сеанса связи вы становитесь известным на обоих сайтах под именем Jsmith. Этот сценарий полностью применим к бизнес-партнерам и внутренним пользователям организации, поддерживающей федеративную архитектуру Liberty Alliance.

Хотя продукты единой регистрации таких производителей, как Netegrity и Oblix, уже имеются в продаже, Liberty Alliance продвигает свою более универсальную модель федеративной идентификации быстрее и с более широким размахом. Создание федеративной инфраструктуры идентификации пользователей, включающей всех ваших бизнес-партнеров, не только снижает накладные расходы и упрощает внутреннее управление идентификаторами пользователей, но и открывает двери для новых бизнес-возможностей в рамках вашего круга доверия.





  
13 '2003
СОДЕРЖАНИЕ

бизнес

• Десять «смертных грехов» инженера по беспроводному доступу

• Новое предложение на рынке услуг ИТ-аутсорсинга

• Рецепты Cisco

• Для малого бизнеса по российским меркам

инфраструктура

• Тестируем серверы начального уровня

информационные системы

• Федеративное управление идентификацией пользователей

сети связи

• Новинки аудиоконференц-связи

• Архитектура конвергированных радиосетей будущего

• Телекоммуникации в Самарской области

• Управление сетью УАТС

электронная коммерция

• Стойки нового поколения упрощают инсталляцию сетей

• Подача электропитания по кабелям сети Ethernet

• Выбор оптимального типа кабеля для систем видеонаблюдения

защита данных

• Контроль уязвимости корпоративной сети

• Тестируем сканеры уязвимости

• Защита корпоративного почтового документооборота

новые продукты

• FSO-системы Alcatel


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх