Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Семинар по Federated Identity Management

508 views

Published on

Слайды к семинару по Federated Identity Management. МГТУ им. Баумана, ИУ8, 2013.

Published in: Technology
  • Be the first to comment

Семинар по Federated Identity Management

  1. 1. Управление идентификационными данными Семинар 2 «Federated Identity Management» МГТУ им. Н.Э.Баумана, кафедра ИУ8, Ванин М.В.
  2. 2. Задачи Federated Identity Management • Администрирование пользователей в локальном домене с возможностью добора доп. информации об ИД из других доменов и передачи выбранной информации об ИД в другие домены. • Сквозной мониторинг и аудит всех этапов передачи информации об ИД: от субъекта до объекта, расположенных в разных доменах. • Единый вход (Single Sign-On, SSO) в системы предприятия для пользователей, работающих в разных доменах безопасности. • Аутентификация с использованием разных систем аутентификации. • Стандартные интерфейсы, позволяющие интегрировать функции по работе с ИД, реализованные в разных продуктах и на разных платформах.
  3. 3. План занятия • • • • • • Потребности в FIM Экосистема идентификации США Идентификация, аутентификация, авторизация Социальные сети и FIM Корпоративный и ведомственный FIM Достоверная идентификация в РФ
  4. 4. Потребности в FIM
  5. 5. План занятия • • • • • • Потребности в FIM Экосистема идентификации США Идентификация, аутентификация, авторизация Социальные сети и FIM Корпоративный и ведомственный FIM Достоверная идентификация в РФ
  6. 6. Стратегия США по достоверной идентификации в киберпространстве
  7. 7. Руководящие принципы • Обеспечение приватности и добровольность • Безопасность и устойчивость • Совместимость • Экономичность и простота в использовании
  8. 8. Экосистема идентификации физ. лица Поставщик и идентифик ации Проверенные идентификационные данные организаци и системы / устройств а Субъект ы Поставщик и атрибутов – метка доверия Проверенные атрибуты Доверяющи е стороны (поставщик и услуг)
  9. 9. Экосистема идентификации Поставщики Поставщики идентификации идентификации Доверяющие стороны Доверяющие стороны Доверяющие Доверяющие стороны стороны Поставщики Поставщики идентификации идентификации Поставщики атрибутов Поставщики атрибутов Поставщики Поставщики идентификации идентификации Поставщики атрибутов Поставщики атрибутов Центры аккредитации Центры аккредитации Контур доверия Контур доверия Центры аккредитации Центры аккредитации Контур доверия Контур доверия Другие контура Другие контура доверия доверия Основа экосистемы идентификации Роли // Роли обязанности обязанности Модели Модели рисков рисков Механизмы Механизмы отчетности отчетности Политики Политики Процессы Процессы Стандарты Стандарты
  10. 10. План занятия • Потребности в FIM • Экосистема идентификации США • Идентификация, аутентификация, авторизация • Социальные сети и FIM • Корпоративный и ведомственный FIM • Достоверная идентификация в РФ
  11. 11. Отношения доверия © Слайд из презентации Алексея Сабанова, компания Аладдин Р.Д.
  12. 12. Система доверия © Слайд из презентации Алексея Сабанова, компания Аладдин Р.Д.
  13. 13. Домен доверия © Слайд из презентации Алексея Сабанова, компания Аладдин Р.Д.
  14. 14. Пространство доверия © Слайд из презентации Алексея Сабанова, компания Аладдин Р.Д.
  15. 15. ЯЯ – МГТУ им. Баумана. Буду – МГТУ им. Баумана. Буду предоставлять данные оо предоставлять данные том, что запрошенное лицо том, что запрошенное лицо является студентом МГТУ: является студентом МГТУ: http://bmstu.ru/RS/AP/... http://bmstu.ru/RS/AP/... Экосистема идентификации Поставщик Поставщик атрибутов 11 атрибутов Инфраструктура … Поставщик Поставщик атрибутов N атрибутов N Поставщик услуги Клиент поставщиков атрибутов Пользователь 1. Поставщики атрибутов регистрируются в инфраструктуре Служба Служба обнаружения обнаружения поставщиков поставщиков атрибутов атрибутов Информационная система ЯЯ – Федеральная – Федеральная нотариальная палата. Буду нотариальная палата. Буду предоставлять данные оо предоставлять данные том, что запрошенное лицо том, что запрошенное лицо является нотариусом: является нотариусом: http://fciit.ru/RS/AP/... http://fciit.ru/RS/AP/... ЯЯ – Пенсионный Фонд. Буду – Пенсионный Фонд. Буду предоставлять данные оо предоставлять данные возрасте граждан РФ, группе возрасте граждан РФ, группе инвалидности … инвалидности … Мой сервис доступен по Мой сервис доступен по адресу: адресу: http://pfrf.ru/RS/AP/... http://pfrf.ru/RS/AP/... Ведутся данные о: 1.семантике атрибута 2.идентификаторе атрибута 3.уровне доступа 4.уровне достоверности 5.организациипоставщике 6.URI системы поставщика Не ведутся данные о: 1.значении атрибута
  16. 16. Экосистема идентификации Мне нужно подтверждение, что пользователь старше 18. Какой поставщик атрибутов может предоставить мне достоверный атрибут? Поставщик услуги Поставщик Поставщик атрибутов 11 атрибутов Инфраструктура … Поставщик Поставщик атрибутов N атрибутов N Клиент поставщиков атрибутов Пользователь 1. Поставщики атрибутов регистрируются в инфраструктуре Служба Служба обнаружения обнаружения поставщиков поставщиков атрибутов атрибутов Информационная система 2. Пользователь обращается за услугой. ИС нужны атрибуты пользователя, и она ищет подходящих поставщиков в экосистеме Подтвердить, что возраст старше 18 может поставщик AP1 (адрес сервиса …) и поставщик AP13 (адрес сервиса …). Для доступа нужна авторизация по уровню LEVEL 1 или выше.
  17. 17. Экосистема идентификации 3. ИС запрашивает атрибут у выбранного поставщика Поставщик Поставщик атрибутов 11 атрибутов … Поставщик Поставщик атрибутов N атрибутов N Поставщик услуги Клиент поставщиков атрибутов Пользователь Инфраструктура Атрибут «пользователь старше 18» = ИСТИНА. 1. Поставщики атрибутов Заверяю в инфраструктуре регистрируютсяответ своей квалифицированной электронной подписью. Срок гарантии достоверности – 1 год. Служба Служба обнаружения обнаружения поставщиков поставщиков атрибутов атрибутов Информационная система 2. Пользователь обращается за услугой. ИС нужны атрибуты пользователя, и она ищет подходящих поставщиков в экосистеме Вот выданное мне пользователем разрешение на доступ к его ПДн уровня LEVEL1 (в т.ч. проверка возраста). Подтверди, что возраст пользователя старше 18.
  18. 18. Экосистема идентификации 2. Система запрашивает onlineидентификацию пользователя 1. Пользователь запрашивает услугу 5. Поставщик идентификации проверяет действительность учётной записи, сообщает ИС результат идентификации и идентификационные данные пользователя Инфраструктура Поставщик услуги Клиент поставщика идентификации Пользователь Информационная система Поставщик идентификации БД учётных БД учётных записей записей 3. Поставщик идентификации запрашивает аутентификацию пользователя 4. Пользователь проходит аутентификацию
  19. 19. 4. Служба авторизации выпускает маркер доступа, который затем используется для доступа к поставщику атрибутов Экосистема идентификации Поставщик Поставщик атрибутов N атрибутов N 1. Пользователь запрашивает услугу 5. Поставщик атрибутов проверяет маркер (что выпущен службой авторизации) и что записанных в нем полномочий достаточно для доступа. Затем исполняет запрос. Инфраструктура Поставщик услуги Клиент поставщиков атрибутов 2. ИС запрашивает маркер доступа к определенным данным о пользователе Пользователь Информационная система Служба авторизации 3. Служба авторизации запрашивает идентификацию пользователя и разрешение пользователя на доступ (если ранее не было создано правило доступа). Поставщик идентификации
  20. 20. План занятия • • • • • • Потребности в FIM Экосистема идентификации США Идентификация, аутентификация, авторизация Социальные сети и FIM Корпоративный и ведомственный FIM Достоверная идентификация в РФ
  21. 21. OpenID поставщики идентификации
  22. 22. OpenID поставщики услуг
  23. 23. OpenID поставщики услуг
  24. 24. OpenID поставщики услуг
  25. 25. Пример идентификации по OpenID
  26. 26. Пример идентификации по OpenID
  27. 27. Пример идентификации по OpenID
  28. 28. Пример идентификации по OpenID
  29. 29. Пример – Facebook https://developers.facebook.com/docs/facebook-login/access-tokens/
  30. 30. Пример – Google https://developers.google.com/accounts/docs/OAuth2
  31. 31. План занятия • • • • • • Потребности в FIM Экосистема идентификации США Идентификация, аутентификация, авторизация Социальные сети и FIM Корпоративный и ведомственный FIM Достоверная идентификация в РФ
  32. 32. Опять вспомним о решаемой проблеме
  33. 33. Примеры корпоративных решений проблемы
  34. 34. Но это не работает в FIM
  35. 35. Примеры решений для FIM
  36. 36. IDaaS
  37. 37. Federated SSO WS-Federation
  38. 38. Federated provisioning
  39. 39. План занятия • • • • • • Потребности в FIM Экосистема идентификации США Идентификация, аутентификация, авторизация Социальные сети и FIM Корпоративный и ведомственный FIM Достоверная идентификация в РФ

×