SlideShare a Scribd company logo

Семинар по Federated Identity Management

Mikhail Vanin
Mikhail Vanin

Слайды к семинару по Federated Identity Management. МГТУ им. Баумана, ИУ8, 2013.

Technology
1 of 44
Управление идентификационными данными Семинар 2 «Federated Identity Management» МГТУ им. Н.Э.Баумана, кафедра ИУ8, Ванин М.В.
Задачи Federated Identity Management • Администрирование пользователей в локальном домене с возможностью добора доп. информации об ИД из других доменов и передачи выбранной информации об ИД в другие домены. • Сквозной мониторинг и аудит всех этапов передачи информации об ИД: от субъекта до объекта, расположенных в разных доменах. • Единый вход (Single Sign-On, SSO) в системы предприятия для пользователей, работающих в разных доменах безопасности. • Аутентификация с использованием разных систем аутентификации. • Стандартные интерфейсы, позволяющие интегрировать функции по работе с ИД, реализованные в разных продуктах и на разных платформах.
План занятия • • • • • • Потребности в FIM Экосистема идентификации США Идентификация, аутентификация, авторизация Социальные сети и FIM Корпоративный и ведомственный FIM Достоверная идентификация в РФ
Потребности в FIM
План занятия • • • • • • Потребности в FIM Экосистема идентификации США Идентификация, аутентификация, авторизация Социальные сети и FIM Корпоративный и ведомственный FIM Достоверная идентификация в РФ
Стратегия США по достоверной идентификации в киберпространстве
Руководящие принципы • Обеспечение приватности и добровольность • Безопасность и устойчивость • Совместимость • Экономичность и простота в использовании
Экосистема идентификации физ. лица Поставщик и идентифик ации Проверенные идентификационные данные организаци и системы / устройств а Субъект ы Поставщик и атрибутов – метка доверия Проверенные атрибуты Доверяющи е стороны (поставщик и услуг)
Экосистема идентификации Поставщики Поставщики идентификации идентификации Доверяющие стороны Доверяющие стороны Доверяющие Доверяющие стороны стороны Поставщики Поставщики идентификации идентификации Поставщики атрибутов Поставщики атрибутов Поставщики Поставщики идентификации идентификации Поставщики атрибутов Поставщики атрибутов Центры аккредитации Центры аккредитации Контур доверия Контур доверия Центры аккредитации Центры аккредитации Контур доверия Контур доверия Другие контура Другие контура доверия доверия Основа экосистемы идентификации Роли // Роли обязанности обязанности Модели Модели рисков рисков Механизмы Механизмы отчетности отчетности Политики Политики Процессы Процессы Стандарты Стандарты
План занятия • Потребности в FIM • Экосистема идентификации США • Идентификация, аутентификация, авторизация • Социальные сети и FIM • Корпоративный и ведомственный FIM • Достоверная идентификация в РФ
Отношения доверия © Слайд из презентации Алексея Сабанова, компания Аладдин Р.Д.
Система доверия © Слайд из презентации Алексея Сабанова, компания Аладдин Р.Д.
Домен доверия © Слайд из презентации Алексея Сабанова, компания Аладдин Р.Д.
Пространство доверия © Слайд из презентации Алексея Сабанова, компания Аладдин Р.Д.
ЯЯ – МГТУ им. Баумана. Буду – МГТУ им. Баумана. Буду предоставлять данные оо предоставлять данные том, что запрошенное лицо том, что запрошенное лицо является студентом МГТУ: является студентом МГТУ: http://bmstu.ru/RS/AP/... http://bmstu.ru/RS/AP/... Экосистема идентификации Поставщик Поставщик атрибутов 11 атрибутов Инфраструктура … Поставщик Поставщик атрибутов N атрибутов N Поставщик услуги Клиент поставщиков атрибутов Пользователь 1. Поставщики атрибутов регистрируются в инфраструктуре Служба Служба обнаружения обнаружения поставщиков поставщиков атрибутов атрибутов Информационная система ЯЯ – Федеральная – Федеральная нотариальная палата. Буду нотариальная палата. Буду предоставлять данные оо предоставлять данные том, что запрошенное лицо том, что запрошенное лицо является нотариусом: является нотариусом: http://fciit.ru/RS/AP/... http://fciit.ru/RS/AP/... ЯЯ – Пенсионный Фонд. Буду – Пенсионный Фонд. Буду предоставлять данные оо предоставлять данные возрасте граждан РФ, группе возрасте граждан РФ, группе инвалидности … инвалидности … Мой сервис доступен по Мой сервис доступен по адресу: адресу: http://pfrf.ru/RS/AP/... http://pfrf.ru/RS/AP/... Ведутся данные о: 1.семантике атрибута 2.идентификаторе атрибута 3.уровне доступа 4.уровне достоверности 5.организациипоставщике 6.URI системы поставщика Не ведутся данные о: 1.значении атрибута
Экосистема идентификации Мне нужно подтверждение, что пользователь старше 18. Какой поставщик атрибутов может предоставить мне достоверный атрибут? Поставщик услуги Поставщик Поставщик атрибутов 11 атрибутов Инфраструктура … Поставщик Поставщик атрибутов N атрибутов N Клиент поставщиков атрибутов Пользователь 1. Поставщики атрибутов регистрируются в инфраструктуре Служба Служба обнаружения обнаружения поставщиков поставщиков атрибутов атрибутов Информационная система 2. Пользователь обращается за услугой. ИС нужны атрибуты пользователя, и она ищет подходящих поставщиков в экосистеме Подтвердить, что возраст старше 18 может поставщик AP1 (адрес сервиса …) и поставщик AP13 (адрес сервиса …). Для доступа нужна авторизация по уровню LEVEL 1 или выше.
Экосистема идентификации 3. ИС запрашивает атрибут у выбранного поставщика Поставщик Поставщик атрибутов 11 атрибутов … Поставщик Поставщик атрибутов N атрибутов N Поставщик услуги Клиент поставщиков атрибутов Пользователь Инфраструктура Атрибут «пользователь старше 18» = ИСТИНА. 1. Поставщики атрибутов Заверяю в инфраструктуре регистрируютсяответ своей квалифицированной электронной подписью. Срок гарантии достоверности – 1 год. Служба Служба обнаружения обнаружения поставщиков поставщиков атрибутов атрибутов Информационная система 2. Пользователь обращается за услугой. ИС нужны атрибуты пользователя, и она ищет подходящих поставщиков в экосистеме Вот выданное мне пользователем разрешение на доступ к его ПДн уровня LEVEL1 (в т.ч. проверка возраста). Подтверди, что возраст пользователя старше 18.
Экосистема идентификации 2. Система запрашивает onlineидентификацию пользователя 1. Пользователь запрашивает услугу 5. Поставщик идентификации проверяет действительность учётной записи, сообщает ИС результат идентификации и идентификационные данные пользователя Инфраструктура Поставщик услуги Клиент поставщика идентификации Пользователь Информационная система Поставщик идентификации БД учётных БД учётных записей записей 3. Поставщик идентификации запрашивает аутентификацию пользователя 4. Пользователь проходит аутентификацию
4. Служба авторизации выпускает маркер доступа, который затем используется для доступа к поставщику атрибутов Экосистема идентификации Поставщик Поставщик атрибутов N атрибутов N 1. Пользователь запрашивает услугу 5. Поставщик атрибутов проверяет маркер (что выпущен службой авторизации) и что записанных в нем полномочий достаточно для доступа. Затем исполняет запрос. Инфраструктура Поставщик услуги Клиент поставщиков атрибутов 2. ИС запрашивает маркер доступа к определенным данным о пользователе Пользователь Информационная система Служба авторизации 3. Служба авторизации запрашивает идентификацию пользователя и разрешение пользователя на доступ (если ранее не было создано правило доступа). Поставщик идентификации
План занятия • • • • • • Потребности в FIM Экосистема идентификации США Идентификация, аутентификация, авторизация Социальные сети и FIM Корпоративный и ведомственный FIM Достоверная идентификация в РФ
OpenID поставщики идентификации
OpenID поставщики услуг
OpenID поставщики услуг
OpenID поставщики услуг
Пример идентификации по OpenID
Пример идентификации по OpenID
Пример идентификации по OpenID
Пример идентификации по OpenID
Пример – Facebook https://developers.facebook.com/docs/facebook-login/access-tokens/
Пример – Google https://developers.google.com/accounts/docs/OAuth2
План занятия • • • • • • Потребности в FIM Экосистема идентификации США Идентификация, аутентификация, авторизация Социальные сети и FIM Корпоративный и ведомственный FIM Достоверная идентификация в РФ
Опять вспомним о решаемой проблеме
Примеры корпоративных решений проблемы
Но это не работает в FIM
Примеры решений для FIM
IDaaS
Federated SSO WS-Federation
Federated provisioning
План занятия • • • • • • Потребности в FIM Экосистема идентификации США Идентификация, аутентификация, авторизация Социальные сети и FIM Корпоративный и ведомственный FIM Достоверная идентификация в РФ

Recommended

Презентация Алексея Сабанова, Аладдин Р.Д
Презентация Алексея Сабанова, Аладдин Р.ДПрезентация Алексея Сабанова, Аладдин Р.Д
Презентация Алексея Сабанова, Аладдин Р.Д
Банковское обозрение
 
Вебинар по СТО БР ИББС 18.11.14
Вебинар по СТО БР ИББС 18.11.14Вебинар по СТО БР ИББС 18.11.14
Вебинар по СТО БР ИББС 18.11.14
DialogueScience
 
Решения от Dell Software для  управления доступом, контроля информационных по...
Решения от Dell Software для  управления доступом, контроля информационных по...Решения от Dell Software для  управления доступом, контроля информационных по...
Решения от Dell Software для  управления доступом, контроля информационных по...Aflex Distribution
 
о неудачах майкрософт и не только 2
о неудачах майкрософт и не только 2о неудачах майкрософт и не только 2
о неудачах майкрософт и не только 2
Artur Orujaliev
 
The top 5 hearing aid myths exposed
The top 5 hearing aid myths exposed The top 5 hearing aid myths exposed
The top 5 hearing aid myths exposed
Lifestyle Hearing
 
Развитие удаленных каналов обслуживания в крупном универсальном банке
Развитие удаленных каналов обслуживания в крупном универсальном банкеРазвитие удаленных каналов обслуживания в крупном универсальном банке
Развитие удаленных каналов обслуживания в крупном универсальном банке
КРОК
 
Введение в системы управления идентификационными данными и доступом (IAM)
Введение в системы управления идентификационными данными и доступом (IAM)Введение в системы управления идентификационными данными и доступом (IAM)
Введение в системы управления идентификационными данными и доступом (IAM)
КРОК
 
Cхема использования ЕСИА (проект - апрель 2012)
Cхема использования ЕСИА (проект - апрель 2012)Cхема использования ЕСИА (проект - апрель 2012)
Cхема использования ЕСИА (проект - апрель 2012)
Victor Gridnev
 

Recommended

Презентация Алексея Сабанова, Аладдин Р.Д
Презентация Алексея Сабанова, Аладдин Р.ДПрезентация Алексея Сабанова, Аладдин Р.Д
Презентация Алексея Сабанова, Аладдин Р.Д
Банковское обозрение
 
Вебинар по СТО БР ИББС 18.11.14
Вебинар по СТО БР ИББС 18.11.14Вебинар по СТО БР ИББС 18.11.14
Вебинар по СТО БР ИББС 18.11.14
DialogueScience
 
Решения от Dell Software для  управления доступом, контроля информационных по...
Решения от Dell Software для  управления доступом, контроля информационных по...Решения от Dell Software для  управления доступом, контроля информационных по...
Решения от Dell Software для  управления доступом, контроля информационных по...Aflex Distribution
 
о неудачах майкрософт и не только 2
о неудачах майкрософт и не только 2о неудачах майкрософт и не только 2
о неудачах майкрософт и не только 2
Artur Orujaliev
 
The top 5 hearing aid myths exposed
The top 5 hearing aid myths exposed The top 5 hearing aid myths exposed
The top 5 hearing aid myths exposed
Lifestyle Hearing
 
Развитие удаленных каналов обслуживания в крупном универсальном банке
Развитие удаленных каналов обслуживания в крупном универсальном банкеРазвитие удаленных каналов обслуживания в крупном универсальном банке
Развитие удаленных каналов обслуживания в крупном универсальном банке
КРОК
 
Введение в системы управления идентификационными данными и доступом (IAM)
Введение в системы управления идентификационными данными и доступом (IAM)Введение в системы управления идентификационными данными и доступом (IAM)
Введение в системы управления идентификационными данными и доступом (IAM)
КРОК
 
Cхема использования ЕСИА (проект - апрель 2012)
Cхема использования ЕСИА (проект - апрель 2012)Cхема использования ЕСИА (проект - апрель 2012)
Cхема использования ЕСИА (проект - апрель 2012)
Victor Gridnev
 
Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутУральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минут
Aleksey Lukatskiy
 
Сервис идентификации продуктов
Сервис идентификации продуктовСервис идентификации продуктов
Сервис идентификации продуктовSergeyWalsh
 
Защита корпоративных и персональных мобильных устройств в сети
Защита корпоративных и персональных мобильных устройств в сетиЗащита корпоративных и персональных мобильных устройств в сети
Защита корпоративных и персональных мобильных устройств в сети
Cisco Russia
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОAlex Babenko
 
Сервис идентификации продуктов
Сервис идентификации продуктовСервис идентификации продуктов
Сервис идентификации продуктовSergeyWalsh
 
Blitz Identity Provider
Blitz Identity ProviderBlitz Identity Provider
Blitz Identity Provider
Mikhail Vanin
 
Электронная аутентификация в государственных системах
Электронная аутентификация в государственных системахЭлектронная аутентификация в государственных системах
Электронная аутентификация в государственных системах
Mikhail Vanin
 
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
Mail.ru Group
 
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...Демонстрация комплексной системы контроля проводного и беспроводного доступа ...
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...
SelectedPresentations
 
Безопасность Бизнеса в Инфо-Среде
Безопасность Бизнеса в Инфо-СредеБезопасность Бизнеса в Инфо-Среде
Безопасность Бизнеса в Инфо-Среде
Dmitry Clerkly
 
Алексей Голдбергс. Криптография для бизнеса
Алексей Голдбергс. Криптография для бизнесаАлексей Голдбергс. Криптография для бизнеса
Алексей Голдбергс. Криптография для бизнесаLiloSEA
 
Интеграция сервисов идентификациии контроля доступа. Решение Cisco Identity S...
Интеграция сервисов идентификациии контроля доступа. Решение Cisco Identity S...Интеграция сервисов идентификациии контроля доступа. Решение Cisco Identity S...
Интеграция сервисов идентификациии контроля доступа. Решение Cisco Identity S...Cisco Russia
 
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Mikhail Vanin
 
Gemalto ключевой компонент безопасной инфраструктуры microsoft 05122014
Gemalto ключевой компонент безопасной инфраструктуры microsoft 05122014Gemalto ключевой компонент безопасной инфраструктуры microsoft 05122014
Gemalto ключевой компонент безопасной инфраструктуры microsoft 05122014
ISSP Russia
 
«1С-Битрикс» и сертификация ФСТЭК России
«1С-Битрикс» и сертификация ФСТЭК России«1С-Битрикс» и сертификация ФСТЭК России
«1С-Битрикс» и сертификация ФСТЭК России
1С-Битрикс
 
8204
82048204
8204
coinpaper
 
Trustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSSTrustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSS
arogozhin
 
Опыт ЛИНС-М обеспечения защищенного взаимодействия мобильных пользователей
Опыт ЛИНС-М обеспечения защищенного взаимодействия мобильных пользователейОпыт ЛИНС-М обеспечения защищенного взаимодействия мобильных пользователей
Опыт ЛИНС-М обеспечения защищенного взаимодействия мобильных пользователейkvolkov
 
Auth methods lomalkin
Auth methods lomalkinAuth methods lomalkin
Auth methods lomalkin
Lesha Lomalkin
 
ФГИС ЕСИА
ФГИС ЕСИАФГИС ЕСИА
ФГИС ЕСИА
Mikhail Vanin
 
Blitz Smart Card Plugin
Blitz Smart Card PluginBlitz Smart Card Plugin
Blitz Smart Card Plugin
Mikhail Vanin
 
ТОИБАС. Семинар 2. Идентификация и аутентификация
ТОИБАС. Семинар 2. Идентификация и аутентификацияТОИБАС. Семинар 2. Идентификация и аутентификация
ТОИБАС. Семинар 2. Идентификация и аутентификация
Mikhail Vanin
 

More Related Content

Similar to Семинар по Federated Identity Management

Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутУральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минут
Aleksey Lukatskiy
 
Сервис идентификации продуктов
Сервис идентификации продуктовСервис идентификации продуктов
Сервис идентификации продуктовSergeyWalsh
 
Защита корпоративных и персональных мобильных устройств в сети
Защита корпоративных и персональных мобильных устройств в сетиЗащита корпоративных и персональных мобильных устройств в сети
Защита корпоративных и персональных мобильных устройств в сети
Cisco Russia
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОAlex Babenko
 
Сервис идентификации продуктов
Сервис идентификации продуктовСервис идентификации продуктов
Сервис идентификации продуктовSergeyWalsh
 
Blitz Identity Provider
Blitz Identity ProviderBlitz Identity Provider
Blitz Identity Provider
Mikhail Vanin
 
Электронная аутентификация в государственных системах
Электронная аутентификация в государственных системахЭлектронная аутентификация в государственных системах
Электронная аутентификация в государственных системах
Mikhail Vanin
 
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
Mail.ru Group
 
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...Демонстрация комплексной системы контроля проводного и беспроводного доступа ...
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...
SelectedPresentations
 
Безопасность Бизнеса в Инфо-Среде
Безопасность Бизнеса в Инфо-СредеБезопасность Бизнеса в Инфо-Среде
Безопасность Бизнеса в Инфо-Среде
Dmitry Clerkly
 
Алексей Голдбергс. Криптография для бизнеса
Алексей Голдбергс. Криптография для бизнесаАлексей Голдбергс. Криптография для бизнеса
Алексей Голдбергс. Криптография для бизнесаLiloSEA
 
Интеграция сервисов идентификациии контроля доступа. Решение Cisco Identity S...
Интеграция сервисов идентификациии контроля доступа. Решение Cisco Identity S...Интеграция сервисов идентификациии контроля доступа. Решение Cisco Identity S...
Интеграция сервисов идентификациии контроля доступа. Решение Cisco Identity S...Cisco Russia
 
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Mikhail Vanin
 
Gemalto ключевой компонент безопасной инфраструктуры microsoft 05122014
Gemalto ключевой компонент безопасной инфраструктуры microsoft 05122014Gemalto ключевой компонент безопасной инфраструктуры microsoft 05122014
Gemalto ключевой компонент безопасной инфраструктуры microsoft 05122014
ISSP Russia
 
«1С-Битрикс» и сертификация ФСТЭК России
«1С-Битрикс» и сертификация ФСТЭК России«1С-Битрикс» и сертификация ФСТЭК России
«1С-Битрикс» и сертификация ФСТЭК России
1С-Битрикс
 
8204
82048204
8204
coinpaper
 
Trustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSSTrustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSS
arogozhin
 
Опыт ЛИНС-М обеспечения защищенного взаимодействия мобильных пользователей
Опыт ЛИНС-М обеспечения защищенного взаимодействия мобильных пользователейОпыт ЛИНС-М обеспечения защищенного взаимодействия мобильных пользователей
Опыт ЛИНС-М обеспечения защищенного взаимодействия мобильных пользователейkvolkov
 
Auth methods lomalkin
Auth methods lomalkinAuth methods lomalkin
Auth methods lomalkin
Lesha Lomalkin
 
ФГИС ЕСИА
ФГИС ЕСИАФГИС ЕСИА
ФГИС ЕСИА
Mikhail Vanin
 

Similar to Семинар по Federated Identity Management (20)

Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутУральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минут
 
Сервис идентификации продуктов
Сервис идентификации продуктовСервис идентификации продуктов
Сервис идентификации продуктов
 
Защита корпоративных и персональных мобильных устройств в сети
Защита корпоративных и персональных мобильных устройств в сетиЗащита корпоративных и персональных мобильных устройств в сети
Защита корпоративных и персональных мобильных устройств в сети
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПО
 
Сервис идентификации продуктов
Сервис идентификации продуктовСервис идентификации продуктов
Сервис идентификации продуктов
 
Blitz Identity Provider
Blitz Identity ProviderBlitz Identity Provider
Blitz Identity Provider
 
Электронная аутентификация в государственных системах
Электронная аутентификация в государственных системахЭлектронная аутентификация в государственных системах
Электронная аутентификация в государственных системах
 
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
 
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...Демонстрация комплексной системы контроля проводного и беспроводного доступа ...
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...
 
Безопасность Бизнеса в Инфо-Среде
Безопасность Бизнеса в Инфо-СредеБезопасность Бизнеса в Инфо-Среде
Безопасность Бизнеса в Инфо-Среде
 
Алексей Голдбергс. Криптография для бизнеса
Алексей Голдбергс. Криптография для бизнесаАлексей Голдбергс. Криптография для бизнеса
Алексей Голдбергс. Криптография для бизнеса
 
Интеграция сервисов идентификациии контроля доступа. Решение Cisco Identity S...
Интеграция сервисов идентификациии контроля доступа. Решение Cisco Identity S...Интеграция сервисов идентификациии контроля доступа. Решение Cisco Identity S...
Интеграция сервисов идентификациии контроля доступа. Решение Cisco Identity S...
 
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
 
Gemalto ключевой компонент безопасной инфраструктуры microsoft 05122014
Gemalto ключевой компонент безопасной инфраструктуры microsoft 05122014Gemalto ключевой компонент безопасной инфраструктуры microsoft 05122014
Gemalto ключевой компонент безопасной инфраструктуры microsoft 05122014
 
«1С-Битрикс» и сертификация ФСТЭК России
«1С-Битрикс» и сертификация ФСТЭК России«1С-Битрикс» и сертификация ФСТЭК России
«1С-Битрикс» и сертификация ФСТЭК России
 
8204
82048204
8204
 
Trustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSSTrustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSS
 
Опыт ЛИНС-М обеспечения защищенного взаимодействия мобильных пользователей
Опыт ЛИНС-М обеспечения защищенного взаимодействия мобильных пользователейОпыт ЛИНС-М обеспечения защищенного взаимодействия мобильных пользователей
Опыт ЛИНС-М обеспечения защищенного взаимодействия мобильных пользователей
 
Auth methods lomalkin
Auth methods lomalkinAuth methods lomalkin
Auth methods lomalkin
 
ФГИС ЕСИА
ФГИС ЕСИАФГИС ЕСИА
ФГИС ЕСИА
 

More from Mikhail Vanin

Blitz Smart Card Plugin
Blitz Smart Card PluginBlitz Smart Card Plugin
Blitz Smart Card Plugin
Mikhail Vanin
 
ТОИБАС. Семинар 2. Идентификация и аутентификация
ТОИБАС. Семинар 2. Идентификация и аутентификацияТОИБАС. Семинар 2. Идентификация и аутентификация
ТОИБАС. Семинар 2. Идентификация и аутентификация
Mikhail Vanin
 
ТОИБАС. Семинар 1. Моделирование угроз
ТОИБАС. Семинар 1. Моделирование угрозТОИБАС. Семинар 1. Моделирование угроз
ТОИБАС. Семинар 1. Моделирование угроз
Mikhail Vanin
 
тезисы к докладу по электронной аутентификации в государственных системах
тезисы к докладу по электронной аутентификации в государственных системахтезисы к докладу по электронной аутентификации в государственных системах
тезисы к докладу по электронной аутентификации в государственных системах
Mikhail Vanin
 
Cloud Access Management
Cloud Access ManagementCloud Access Management
Cloud Access Management
Mikhail Vanin
 
Database security
Database securityDatabase security
Database security
Mikhail Vanin
 
Cloud security
Cloud securityCloud security
Cloud security
Mikhail Vanin
 
Семинар по IdM
Семинар по IdMСеминар по IdM
Семинар по IdM
Mikhail Vanin
 

More from Mikhail Vanin (8)

Blitz Smart Card Plugin
Blitz Smart Card PluginBlitz Smart Card Plugin
Blitz Smart Card Plugin
 
ТОИБАС. Семинар 2. Идентификация и аутентификация
ТОИБАС. Семинар 2. Идентификация и аутентификацияТОИБАС. Семинар 2. Идентификация и аутентификация
ТОИБАС. Семинар 2. Идентификация и аутентификация
 
ТОИБАС. Семинар 1. Моделирование угроз
ТОИБАС. Семинар 1. Моделирование угрозТОИБАС. Семинар 1. Моделирование угроз
ТОИБАС. Семинар 1. Моделирование угроз
 
тезисы к докладу по электронной аутентификации в государственных системах
тезисы к докладу по электронной аутентификации в государственных системахтезисы к докладу по электронной аутентификации в государственных системах
тезисы к докладу по электронной аутентификации в государственных системах
 
Cloud Access Management
Cloud Access ManagementCloud Access Management
Cloud Access Management
 
Database security
Database securityDatabase security
Database security
 
Cloud security
Cloud securityCloud security
Cloud security
 
Семинар по IdM
Семинар по IdMСеминар по IdM
Семинар по IdM
 

Семинар по Federated Identity Management

  • 1. Управление идентификационными данными Семинар 2 «Federated Identity Management» МГТУ им. Н.Э.Баумана, кафедра ИУ8, Ванин М.В.
  • 2. Задачи Federated Identity Management • Администрирование пользователей в локальном домене с возможностью добора доп. информации об ИД из других доменов и передачи выбранной информации об ИД в другие домены. • Сквозной мониторинг и аудит всех этапов передачи информации об ИД: от субъекта до объекта, расположенных в разных доменах. • Единый вход (Single Sign-On, SSO) в системы предприятия для пользователей, работающих в разных доменах безопасности. • Аутентификация с использованием разных систем аутентификации. • Стандартные интерфейсы, позволяющие интегрировать функции по работе с ИД, реализованные в разных продуктах и на разных платформах.
  • 3. План занятия • • • • • • Потребности в FIM Экосистема идентификации США Идентификация, аутентификация, авторизация Социальные сети и FIM Корпоративный и ведомственный FIM Достоверная идентификация в РФ
  • 5. План занятия • • • • • • Потребности в FIM Экосистема идентификации США Идентификация, аутентификация, авторизация Социальные сети и FIM Корпоративный и ведомственный FIM Достоверная идентификация в РФ
  • 6. Стратегия США по достоверной идентификации в киберпространстве
  • 7. Руководящие принципы • Обеспечение приватности и добровольность • Безопасность и устойчивость • Совместимость • Экономичность и простота в использовании
  • 8. Экосистема идентификации физ. лица Поставщик и идентифик ации Проверенные идентификационные данные организаци и системы / устройств а Субъект ы Поставщик и атрибутов – метка доверия Проверенные атрибуты Доверяющи е стороны (поставщик и услуг)
  • 9. Экосистема идентификации Поставщики Поставщики идентификации идентификации Доверяющие стороны Доверяющие стороны Доверяющие Доверяющие стороны стороны Поставщики Поставщики идентификации идентификации Поставщики атрибутов Поставщики атрибутов Поставщики Поставщики идентификации идентификации Поставщики атрибутов Поставщики атрибутов Центры аккредитации Центры аккредитации Контур доверия Контур доверия Центры аккредитации Центры аккредитации Контур доверия Контур доверия Другие контура Другие контура доверия доверия Основа экосистемы идентификации Роли // Роли обязанности обязанности Модели Модели рисков рисков Механизмы Механизмы отчетности отчетности Политики Политики Процессы Процессы Стандарты Стандарты
  • 10. План занятия • Потребности в FIM • Экосистема идентификации США • Идентификация, аутентификация, авторизация • Социальные сети и FIM • Корпоративный и ведомственный FIM • Достоверная идентификация в РФ
  • 11. Отношения доверия © Слайд из презентации Алексея Сабанова, компания Аладдин Р.Д.
  • 12. Система доверия © Слайд из презентации Алексея Сабанова, компания Аладдин Р.Д.
  • 13. Домен доверия © Слайд из презентации Алексея Сабанова, компания Аладдин Р.Д.
  • 14. Пространство доверия © Слайд из презентации Алексея Сабанова, компания Аладдин Р.Д.
  • 15.
  • 16. ЯЯ – МГТУ им. Баумана. Буду – МГТУ им. Баумана. Буду предоставлять данные оо предоставлять данные том, что запрошенное лицо том, что запрошенное лицо является студентом МГТУ: является студентом МГТУ: http://bmstu.ru/RS/AP/... http://bmstu.ru/RS/AP/... Экосистема идентификации Поставщик Поставщик атрибутов 11 атрибутов Инфраструктура … Поставщик Поставщик атрибутов N атрибутов N Поставщик услуги Клиент поставщиков атрибутов Пользователь 1. Поставщики атрибутов регистрируются в инфраструктуре Служба Служба обнаружения обнаружения поставщиков поставщиков атрибутов атрибутов Информационная система ЯЯ – Федеральная – Федеральная нотариальная палата. Буду нотариальная палата. Буду предоставлять данные оо предоставлять данные том, что запрошенное лицо том, что запрошенное лицо является нотариусом: является нотариусом: http://fciit.ru/RS/AP/... http://fciit.ru/RS/AP/... ЯЯ – Пенсионный Фонд. Буду – Пенсионный Фонд. Буду предоставлять данные оо предоставлять данные возрасте граждан РФ, группе возрасте граждан РФ, группе инвалидности … инвалидности … Мой сервис доступен по Мой сервис доступен по адресу: адресу: http://pfrf.ru/RS/AP/... http://pfrf.ru/RS/AP/... Ведутся данные о: 1.семантике атрибута 2.идентификаторе атрибута 3.уровне доступа 4.уровне достоверности 5.организациипоставщике 6.URI системы поставщика Не ведутся данные о: 1.значении атрибута
  • 17. Экосистема идентификации Мне нужно подтверждение, что пользователь старше 18. Какой поставщик атрибутов может предоставить мне достоверный атрибут? Поставщик услуги Поставщик Поставщик атрибутов 11 атрибутов Инфраструктура … Поставщик Поставщик атрибутов N атрибутов N Клиент поставщиков атрибутов Пользователь 1. Поставщики атрибутов регистрируются в инфраструктуре Служба Служба обнаружения обнаружения поставщиков поставщиков атрибутов атрибутов Информационная система 2. Пользователь обращается за услугой. ИС нужны атрибуты пользователя, и она ищет подходящих поставщиков в экосистеме Подтвердить, что возраст старше 18 может поставщик AP1 (адрес сервиса …) и поставщик AP13 (адрес сервиса …). Для доступа нужна авторизация по уровню LEVEL 1 или выше.
  • 18. Экосистема идентификации 3. ИС запрашивает атрибут у выбранного поставщика Поставщик Поставщик атрибутов 11 атрибутов … Поставщик Поставщик атрибутов N атрибутов N Поставщик услуги Клиент поставщиков атрибутов Пользователь Инфраструктура Атрибут «пользователь старше 18» = ИСТИНА. 1. Поставщики атрибутов Заверяю в инфраструктуре регистрируютсяответ своей квалифицированной электронной подписью. Срок гарантии достоверности – 1 год. Служба Служба обнаружения обнаружения поставщиков поставщиков атрибутов атрибутов Информационная система 2. Пользователь обращается за услугой. ИС нужны атрибуты пользователя, и она ищет подходящих поставщиков в экосистеме Вот выданное мне пользователем разрешение на доступ к его ПДн уровня LEVEL1 (в т.ч. проверка возраста). Подтверди, что возраст пользователя старше 18.
  • 19.
  • 20. Экосистема идентификации 2. Система запрашивает onlineидентификацию пользователя 1. Пользователь запрашивает услугу 5. Поставщик идентификации проверяет действительность учётной записи, сообщает ИС результат идентификации и идентификационные данные пользователя Инфраструктура Поставщик услуги Клиент поставщика идентификации Пользователь Информационная система Поставщик идентификации БД учётных БД учётных записей записей 3. Поставщик идентификации запрашивает аутентификацию пользователя 4. Пользователь проходит аутентификацию
  • 21.
  • 22. 4. Служба авторизации выпускает маркер доступа, который затем используется для доступа к поставщику атрибутов Экосистема идентификации Поставщик Поставщик атрибутов N атрибутов N 1. Пользователь запрашивает услугу 5. Поставщик атрибутов проверяет маркер (что выпущен службой авторизации) и что записанных в нем полномочий достаточно для доступа. Затем исполняет запрос. Инфраструктура Поставщик услуги Клиент поставщиков атрибутов 2. ИС запрашивает маркер доступа к определенным данным о пользователе Пользователь Информационная система Служба авторизации 3. Служба авторизации запрашивает идентификацию пользователя и разрешение пользователя на доступ (если ранее не было создано правило доступа). Поставщик идентификации
  • 23. План занятия • • • • • • Потребности в FIM Экосистема идентификации США Идентификация, аутентификация, авторизация Социальные сети и FIM Корпоративный и ведомственный FIM Достоверная идентификация в РФ
  • 24.
  • 33.
  • 36. План занятия • • • • • • Потребности в FIM Экосистема идентификации США Идентификация, аутентификация, авторизация Социальные сети и FIM Корпоративный и ведомственный FIM Достоверная идентификация в РФ
  • 37. Опять вспомним о решаемой проблеме
  • 39. Но это не работает в FIM
  • 41. IDaaS
  • 44. План занятия • • • • • • Потребности в FIM Экосистема идентификации США Идентификация, аутентификация, авторизация Социальные сети и FIM Корпоративный и ведомственный FIM Достоверная идентификация в РФ