Godkendelse vs. Federation vs. SSO

Subway of Life 8/52 / Dennis Skley

Godkendelse. Føderation. Enkelt signatur (SSO). Jeg har nævnt disse begreber mange gange. Jeg har faktisk ikke formelt defineret, hvad hvert af disse udtryk betyder, selvom jeg har brugt disse mange gange i løbet af min skrivning - disse begreber er tæt forbundet.

Autentificering: proces med en enhed (hovedmanden), der beviser dens identitet til en anden enhed (systemet).

Single Sign On (SSO): karakteristisk for en godkendelsesmekanisme, der vedrører brugerens identitet, der bruges til at give adgang på tværs af flere tjenesteudbydere.

Forbund: fælles standarder og protokoller til at styre og kortlægge brugeridentiteter mellem identitetsudbydere på tværs af organisationer (og sikkerhedsdomæner) via tillidsforhold (normalt oprettet via digitale signaturer, kryptering og PKI).

For det første er Identity and Access Management (IAM) styring af identitetsproblemer i en informationsteknologiorganisation. Udtrykket, IAM, kan henvise til teamet eller holdets ansvar. IAM er ideelt set et centraliseret hold, men på grund af historie, politik eller organisationsstruktur, der ikke altid er muligt. Den næste bedste mulighed er at have et centralt team dedikeret til hver enkelt forretnings-til-forretning (B2B), forretning til forbruger (B2C) og forretning til medarbejder (B2E). Alt for ofte håndterer hver enkelt gruppe deres eget IAM-ansvar - dette skaber yderligere forhindringer for at vedtage Federation og SSO på tværs af en organisation. IAM kan omfatte autentificering af brugere og system, godkendelse af disse brugere og systemer, brugerlevering, revision af identitetssystemer, administration af brugerlager (tænk LDAP eller Active Directory), adgangskodepolitikker og andre problemer.

Godkendelse

Levering af autentificeringstjenester er et hovedansvar for IAM. Autentificering er den mest generiske af de tre koncepter, der er nævnt i posttittlen. Fra et tidligere indlæg på thinkmiddleware.com gav jeg følgende som en definition af godkendelse. Godkendelse er processen for en enhed (hovedmanden), der beviser dens identitet til en anden enhed (systemet). Hovedmanden kan være et computerprogram (et batchjob, for eksempel, der kører i baggrunden), en slutbruger (menneske), et computersystem, et stykke hardware, mobil enhed eller andre eksotiske ting. Systemet er til vores formål ethvert computersystem, der kræver, at den, der ringer, identificeres, før der gives adgang - ofte vil dette system være på serveren, nogle gange er det på en enhed (mobiltelefon, desktop, laptop, tablet), nogle gange vil det være i en browser. Hovedmanden leverer legitimationsoplysninger til systemet, der skal godkendes af systemet ved hjælp af en eller anden type identitetssystem (inklusive User Repository, Federation Server eller anden). Oplysninger er følsomme oplysninger, der identificerer klienten positivt og kan komme i mange former:

  • Userid og adgangskode
  • Digital signatur
  • X509v3 klientcertifikat
  • pin # + tilfældigt nummer fra en FOB, Google Authenticate eller lignende teknologi.

For at gøre det fuldstændigt, indeholder et brugerlager oplysninger om brugere (rektorer), deres legitimationsoplysninger, grupper, gruppemedlemskab og andre brugerattributter. En LDAP-server eller Active Directory er et typisk eksempel på et brugerlager. Mere detaljerede beskrivelser af disse koncepter kan findes her. Jeg har tidligere defineret Federation Server og Identity Provider i et tidligere indlæg.

Enkelt signatur på

Single Sign On (SSO) er en egenskab ved en godkendelsesmekanisme, der vedrører brugerens identitet, der bruges til at give adgang på tværs af flere tjenesteudbydere. SSO gør det muligt at bruge en enkelt godkendelsesproces (administreret af en enkelt identitetsudbyder, katalogserver eller anden godkendelsesmekanisme) på tværs af flere systemer (tjenesteudbydere) i en enkelt organisation eller på tværs af flere organisationer. Denne enkelt godkendelsesmekanisme kunne være:

  • en LDAP-server, Active Directory, database eller lignende katalogserver
  • et system, der genererer og videregiver et betroet token rundt til applikationer med henblik på godkendelse.
  • Undertiden bruges udtrykket SSO til at beskrive, hvordan man logger på applikationer med en adgangskodemanager.
  • Før 2005 var SSO måske blevet brugt til at betyde, at der blev brugt et fælles sæt legitimationsoplysninger på tværs af flere systemer (sandsynligvis med en eller anden type asynkron synkroniseringssystem), men brugeroplysningerne skulle leveres af brugeren for at logge ind på hvert separat system - i i nogle sammenhænge er dette sandsynligvis stadig tilfældet.
  • Forbund som beskrevet nedenfor.

Single Sign On (SSO) beskæftiger sig med autentificering og teknisk interoperabilitet for de involverede aktører for at give de fælles loginoplysninger på tværs af systemer.

En Directory Server-baseret SSO-løsning til flere applikationer ligner følgende diagram.

SSO gennem en fælles katalogserver

Et andet SSO-eksempel er N-tjenesteudbydere (SP) inden for en organisation, der har tillid til en enkelt identitetsudbyder (IdP) ligner følgende (dette er faktisk identitetsforening, se næste afsnit).

N SP'er, der har tillid til en enkelt IdP

Føderation

Federated Identity Management er en under-disciplin af IAM, men typisk er de samme team / hold involveret i at støtte det. Federation er en type SSO, hvor skuespillerne spænder over flere organisationer og sikkerhedsdomæner.

Fra WS-Federation-specifikationen (en af ​​talrige SSO-protokoller, der muliggør føderation), har vi: "Målet med føderationen er at tillade, at sikkerhedsprincippets identiteter og attributter deles på tværs af tillidsgrænser i henhold til fastlagte politikker." Dette er en god beskrivelse af føderation generelt; det involverer at have fælles standarder og protokoller til at styre og kortlægge brugeridentiteter mellem identitetsudbydere på tværs af organisationer (og sikkerhedsdomæner) via tillidsforhold (normalt oprettet via digitale signaturer, kryptering og PKI). Federation er det tillidsforhold, der findes mellem disse organisationer; det drejer sig om hvor brugerens legitimationsoplysninger faktisk gemmes, og hvordan betroede tredjeparter kan autentificere sig mod disse legitimationsoplysninger, uden at de faktisk ser dem.

Forbundsforholdet kan opnås gennem en af ​​flere forskellige protokoller, herunder (men ikke begrænset til):

  • SAML1.1
  • SAML2
  • WS-Federation
  • OAuth2
  • OpenID Connect
  • WS-Trust
  • Forskellige proprietære protokoller

Forbund kan antage mange former. I en organisation (afdelinger, forretningsenheder) kan mønstrene se ud:

  • N-tjenesteudbydere (SPs) i en organisation, der har tillid til en enkelt identitetsudbyder (IdP) - se diagram i det sidste afsnit.
  • N SP'er på tværs af flere organisationer, der har tillid til en enkelt tredjeparts IdP
N SP'er på tværs af flere organisationer, der har tillid til en enkelt tredjeparts IdP
  • N IdP'er inden for en organisation, der er tillid til af en SP.
N IdP'er inden for en organisation, der er tillid til af en SP
  • N IdP'er inden for en organisation, der har tillid til en enkelt IdP
N IdP'er inden for en organisation, der har tillid til en enkelt IdP
  • N SP'er (lad os kalde dem API-udbydere) på tværs af flere organisationer, der har tillid til en enkelt IdP, som derefter er tillid til et fælles system (f.eks. En API-gateway)
N SP'er på tværs af flere organisationer, der har tillid til en enkelt IdP, som igen er tillid til et fælles system (API Gateway)
  • Identitetsmægler (IdP, der administrerer forhold mellem) med N SP'er og N IdP'er, der spænder over flere organisationer med indbyrdes forbundne føderationsrelationer.
Identitetsmæglermønster med N SP'er og N IdP'er

I 2017 og videre skal al slutbrugergodkendelse involvere Single Sign On med et velkendt identitetsudbyderprodukt i virksomhedsområdet. Det samme gælder for det meste også i andre sammenhænge. På virksomhedsområdet bør SSO med aktører uden for den lokale organisation ligeledes involvere føderationsrelationer. Brug af føderationsrelationer mellem systemer inden for forskellige organisationer bør bruges, da det giver mening.

Billede: Subway of Life 8/52 / Dennis Skley