Πιστοποίηση ταυτότητας vs. Ομοσπονδία εναντίον SSO

Μετρό της ζωής 8/52 / Dennis Skley

Αυθεντικοποίηση. Ομοσπονδία. Ενιαία σύνδεση (SSO). Έχω αναφέρει αυτές τις έννοιες πολλές φορές. Δεν έχω δηλώσει τυπικά αυτό που σημαίνει ο καθένας από αυτούς τους όρους, παρόλο που έχω χρησιμοποιήσει αυτές τις πολλές φορές καθ 'όλη τη διάρκεια της γραφής μου - αυτές οι έννοιες είναι στενά συνδεδεμένες.

Έλεγχος ταυτότητας: διαδικασία μιας οντότητας (ο κύριος) που αποδεικνύει την ταυτότητά της σε μια άλλη οντότητα (το σύστημα).

Ενιαία σύνδεση (SSO): χαρακτηριστικό ενός μηχανισμού ελέγχου ταυτότητας που σχετίζεται με την ταυτότητα του χρήστη που χρησιμοποιείται για την παροχή πρόσβασης σε πολλούς παρόχους υπηρεσιών.

Ομοσπονδία: κοινά πρότυπα και πρωτόκολλα για τη διαχείριση και χαρτογράφηση ταυτότητας χρήστη μεταξύ παρόχων ταυτότητας σε οργανισμούς (και τομείς ασφαλείας) μέσω σχέσεων εμπιστοσύνης (συνήθως δημιουργούνται μέσω ψηφιακών υπογραφών, κρυπτογράφησης και PKI).

Πρώτον, η διαχείριση ταυτότητας και πρόσβασης (IAM) είναι η διαχείριση των ανησυχιών ταυτότητας σε έναν οργανισμό τεχνολογίας πληροφοριών. Ο όρος, IAM, μπορεί να αναφέρεται στην ομάδα ή στις ευθύνες της ομάδας. Ιδανικά, το IAM είναι μια συγκεντρωτική ομάδα, αλλά λόγω της ιστορίας, της πολιτικής ή της οργανωτικής δομής που δεν είναι πάντοτε δυνατή. Η επόμενη καλύτερη επιλογή είναι να έχετε μια κεντρική ομάδα που να είναι αφιερωμένη σε κάθε μία από τις επιχειρηματικές δραστηριότητες (B2B), B2C (Business to Consumer) και B2E (Business to Employee). Πολύ συχνά, κάθε μεμονωμένη ομάδα διαχειρίζεται τις δικές της ευθύνες IAM - αυτό δημιουργεί επιπλέον εμπόδια στην υιοθέτηση της Ομοσπονδίας και της SSO σε έναν οργανισμό. Το IAM μπορεί να περιλαμβάνει τον έλεγχο ταυτότητας χρηστών και συστήματος, την εξουσιοδότηση αυτών των χρηστών και συστημάτων, την προμήθεια χρηστών, τον έλεγχο των συστημάτων ταυτοποίησης, τη διαχείριση αποθετηρίων χρηστών (σκέφτεται το LDAP ή το Active Directory), τις πολιτικές κωδικού πρόσβασης και άλλες ανησυχίες.

Αυθεντικοποίηση

Η παροχή υπηρεσιών ελέγχου ταυτότητας αποτελεί βασική ευθύνη του IAM. Ο έλεγχος ταυτότητας είναι η πιο γενική από τις τρεις έννοιες που αναφέρονται στον τίτλο του τίτλου. Από μια προηγούμενη ανάρτηση στο thinkmiddleware.com, έδωσα τα εξής ως έναν ορισμό της αυθεντικότητας. Ο έλεγχος ταυτότητας είναι η διαδικασία μιας οντότητας (ο κύριος) που αποδεικνύει την ταυτότητά του σε μια άλλη οντότητα (το σύστημα). Ο Διευθυντής θα μπορούσε να είναι ένα πρόγραμμα υπολογιστή (μια εργασία παρτίδας, για παράδειγμα, που τρέχει στο παρασκήνιο), ένας τελικός χρήστης (άνθρωπος), ένα ηλεκτρονικό σύστημα, ένα κομμάτι υλικού, μια κινητή συσκευή ή άλλα εξωτικά πράγματα. Το σύστημα, για τους σκοπούς μας, είναι οποιοδήποτε σύστημα υπολογιστή που απαιτεί τον εντοπισμό του καλούντος πριν από την πρόσβαση - συχνά αυτό το σύστημα θα βρίσκεται σε διακομιστή, μερικές φορές είναι σε μια συσκευή (κινητό τηλέφωνο, επιφάνεια εργασίας, φορητό υπολογιστή, tablet) να είστε σε ένα πρόγραμμα περιήγησης. Ο Διευθυντής παρέχει διαπιστευτήρια στο Σύστημα, τα οποία πρέπει να επικυρωθούν από το Σύστημα χρησιμοποιώντας κάποιο τύπο συστήματος ταυτοποίησης (συμπεριλαμβανομένου του User Repository, Federation Server ή άλλου). Τα διαπιστευτήρια είναι ευαίσθητες πληροφορίες που αναγνωρίζουν θετικά τον πελάτη και μπορούν να έρθουν σε πολλές μορφές:

  • Userid και κωδικός πρόσβασης
  • Ψηφιακή υπογραφή
  • Πιστοποιητικό πελάτη X509v3
  • pin # + τυχαίο αριθμό από FOB, Google Authenticate ή παρόμοια τεχνολογία.

Για λόγους πληρότητας, ένα κατάστημα χρηστών περιέχει πληροφορίες σχετικά με τους Χρήστες (Διευθυντές), τα διαπιστευτήρια τους, τις Ομάδες, την ιδιότητα μέλους και άλλες ιδιότητες χρηστών. Ένας διακομιστής LDAP ή μια υπηρεσία καταλόγου Active Directory είναι ένα τυπικό παράδειγμα ενός χώρου αποθήκευσης χρηστών. Λεπτομερέστερες περιγραφές αυτών των εννοιών μπορούν να βρεθούν εδώ. Ορίζω προηγουμένως τον διακομιστή ομοσπονδιών και τον παροχέα ταυτότητας σε μια προηγούμενη ανάρτηση.

Ενιαία σύνδεση

Η Ενιαία Σύνδεση (SSO) είναι ένα χαρακτηριστικό ενός μηχανισμού ελέγχου ταυτότητας που σχετίζεται με την ταυτότητα του χρήστη που χρησιμοποιείται για την παροχή πρόσβασης σε πολλούς Παροχείς Υπηρεσιών. Το SSO επιτρέπει τη χρήση μιας ενιαίας διαδικασίας ελέγχου ταυτότητας (που διαχειρίζεται ένας μοναδικός παροχέας ταυτότητας, ένας εξυπηρετητής καταλόγου ή άλλος μηχανισμός ελέγχου ταυτότητας) σε πολλά συστήματα (πάροχοι υπηρεσιών) εντός ενός οργανισμού ή σε πολλούς οργανισμούς. Ο συγκεκριμένος μηχανισμός επαλήθευσης ταυτότητας θα μπορούσε να είναι:

  • έναν διακομιστή LDAP, την υπηρεσία καταλόγου Active Directory, μια βάση δεδομένων ή παρόμοιο διακομιστή καταλόγου
  • ένα σύστημα που δημιουργεί και μεταβιβάζει ένα αξιόπιστο διακριτικό σε εφαρμογές για τους σκοπούς της πιστοποίησης ταυτότητας.
  • Μερικές φορές, ο όρος SSO χρησιμοποιείται για να περιγράψει την υπογραφή σε εφαρμογές με έναν διαχειριστή κωδικών πρόσβασης.
  • Πριν από το 2005, ο SSO ίσως είχε χρησιμοποιηθεί για να δηλώσει ότι ένα κοινό σύνολο διαπιστευτηρίων χρησιμοποιήθηκε σε πολλά συστήματα (πιθανώς με κάποιο είδος συστήματος ασύγχρονης συγχρονισμού κωδικού πρόσβασης), αλλά αυτά τα διαπιστευτήρια έπρεπε να παρέχονται από το χρήστη για να συνδεθεί σε κάθε ξεχωριστό σύστημα - σε ορισμένα πλαίσια, αυτό πιθανότατα συμβαίνει.
  • Ομοσπονδία όπως περιγράφεται παρακάτω.

Η Ενιαία Σύνδεση (SSO) ασχολείται με τον έλεγχο ταυτότητας και την τεχνική διαλειτουργικότητα των εμπλεκομένων παραγόντων για την παροχή κοινών διαπιστευτηρίων σύνδεσης σε όλα τα συστήματα.

Μια λύση SSO που βασίζεται σε διακομιστή καταλόγου για πολλές εφαρμογές μοιάζει με το ακόλουθο διάγραμμα.

SSO μέσω ενός κοινού εξυπηρετητή καταλόγων

Ένα άλλο παράδειγμα SSO είναι οι N Παροχείς Υπηρεσιών (SPs) σε έναν οργανισμό που εμπιστεύεται έναν μόνο παροχέα ταυτότητας (IdP) μοιάζει με τον ακόλουθο (αυτό είναι στην πραγματικότητα ομοσπονδία ταυτότητας, βλ. Επόμενη ενότητα).

N SPs εμπιστεύονται ένα ενιαίο IdP

Ομοσπονδία

Η Ομοσπονδιακή Διαχείρισης Ταυτότητας είναι μια υπο-πειθαρχία του ΙΑΜ, αλλά τυπικά η ίδια ομάδα (ες) συμμετέχει στην υποστήριξή της. Η Ομοσπονδία είναι ένας τύπος SSO όπου οι φορείς εμπλέκονται σε πολλαπλούς οργανισμούς και τομείς ασφαλείας.

Από το spec της WS-Federation (ένα από τα πολλά πρωτόκολλα SSO που επιτρέπουν την ομοσπονδία) έχουμε, "Ο στόχος της ομοσπονδίας είναι να επιτρέπεται η ταυτότητα και τα χαρακτηριστικά των πρωτευουσών ασφαλείας να μοιράζονται μεταξύ των ορίων εμπιστοσύνης σύμφωνα με τις καθιερωμένες πολιτικές". γενική ομοσπονδία · περιλαμβάνει κοινά πρότυπα και πρωτόκολλα για τη διαχείριση και χαρτογράφηση ταυτότητας χρήστη μεταξύ παρόχων ταυτότητας σε οργανισμούς (και τομείς ασφαλείας) μέσω σχέσεων εμπιστοσύνης (συνήθως δημιουργούνται μέσω ψηφιακών υπογραφών, κρυπτογράφησης και PKI). Ομοσπονδία είναι η σχέση εμπιστοσύνης που υπάρχει μεταξύ αυτών των οργανώσεων. ασχολείται με το πού αποθηκεύονται τα διαπιστευτήρια του χρήστη και τον τρόπο με τον οποίο οι αξιόπιστοι τρίτοι μπορούν να επικυρώσουν τα εν λόγω διαπιστευτήρια χωρίς να τα δουν.

Η σχέση ομοσπονδίας μπορεί να επιτευχθεί μέσω ενός από τα πολλά διαφορετικά πρωτόκολλα που περιλαμβάνουν (αλλά δεν περιορίζονται σε αυτά):

  • SAML1.1
  • SAML2
  • WS-Ομοσπονδία
  • OAuth2
  • OpenID Connect
  • WS-Trust
  • Διάφορα ιδιόκτητα πρωτόκολλα

Η Ομοσπονδία μπορεί να πάρει πολλές μορφές. Μέσα σε έναν οργανισμό (τμήματα, επιχειρηματικές μονάδες), τα σχέδια θα μπορούσαν να μοιάζουν με:

  • N Παροχείς Υπηρεσιών (SPs) σε έναν οργανισμό που εμπιστεύεται έναν πάροχο ταυτότητας (IdP) - δείτε το διάγραμμα στην τελευταία ενότητα.
  • N SPs σε πολλούς οργανισμούς που εμπιστεύονται ένα ενιαίο IdP τρίτου μέρους
N SPs σε πολλούς οργανισμούς που εμπιστεύονται ένα ενιαίο IdP τρίτου μέρους
  • NIDPs σε έναν οργανισμό που εμπιστεύεται ένα SP.
NIDPs σε έναν οργανισμό που εμπιστεύεται ένα SP
  • N IdPs σε έναν οργανισμό που εμπιστεύεται ένα ενιαίο IdP
N IdPs σε έναν οργανισμό που εμπιστεύεται ένα ενιαίο IdP
  • N SPs (ας τους καλέσουμε παρόχους API) σε πολλούς οργανισμούς που εμπιστεύονται ένα ενιαίο IdP, το οποίο έπειτα εμπιστεύεται ένα κοινό σύστημα (όπως Gateway API)
N SPs σε πολλούς οργανισμούς που εμπιστεύονται ένα ενιαίο IdP, το οποίο με τη σειρά του έχει εμπιστοσύνη από ένα κοινό σύστημα (API Gateway)
  • Broker ταυτότητας (IdP διαχειριζόμενες σχέσεις μεταξύ) με N SPs και N IdPs που εκτείνονται σε πολλαπλούς οργανισμούς με αλληλένδετες σχέσεις ομοσπονδίας.
Μοντέλο Broker ταυτότητας με N SPs και N IdPs

Το 2017 και πέρα, όλος ο έλεγχος ταυτότητας τελικού χρήστη θα πρέπει να περιλαμβάνει Ενιαία σύνδεση με γνωστό προϊόν παροχέα ταυτότητας στον χώρο της επιχείρησης. Το ίδιο ισχύει κυρίως και σε άλλα πλαίσια. Ομοίως, στον επιχειρησιακό χώρο, το SSO με φορείς εκτός του τοπικού οργανισμού πρέπει να περιλαμβάνει σχέσεις ομοσπονδίας. Η χρήση σχέσεων ομοσπονδίας μεταξύ συστημάτων σε διαφορετικούς οργανισμούς πρέπει να χρησιμοποιείται όπως έχει νόημα.

Εικόνα: Μετρό της ζωής 8/52 / Dennis Skley