Subway of Life 8/52 / Dennis Skley

Autentificare. Federatie. Single Sign On (SSO). Am mentionat aceste concepte de multe ori. De fapt, nu am definit formal ce inseamna fiecare dintre acesti termeni, chiar daca am folosit-o de multe ori pe parcursul scrierii mele – aceste concepte sunt strans legate.

Autentificare: proces al unei entitati (principalul) care isi demonstreaza identitatea catre o alta entitate (sistemul).

Single Sign On (SSO): caracteristica unui mecanism de autentificare care se refera la identitatea utilizatorului utilizat pentru a oferi acces la mai multi furnizori de servicii.

Federatie: standarde si protocoale comune pentru gestionarea si maparea identitatilor utilizatorilor intre furnizorii de identitate intre organizatii (si domenii de securitate) prin relatii de incredere (stabilite de obicei prin semnaturi digitale, criptare si PKI).

In primul rand, Managementul identitatii si accesului (IAM) este gestionarea problemelor de identitate in cadrul unei organizatii de tehnologie a informatiei. Termenul, IAM, se poate referi la echipa sau responsabilitatile echipei. In mod ideal, IAM este o echipa centralizata, dar datorita istoriei, politicii sau structurii organizationale care nu este intotdeauna posibila. Cea mai buna optiune urmatoare este de a avea o echipa centrala dedicata fiecarei preocupari Business-to-Business (B2B), Business-to-Consumer (B2C) si Business-to-Employee (B2E). De prea multe ori, fiecare grup individual isi gestioneaza propriile responsabilitati IAM – acest lucru creeaza obstacole suplimentare in adoptarea Federatiei si SSO intr-o organizatie. IAM poate include autentificarea utilizatorilor si a sistemului, autorizarea acestor utilizatori si sisteme, aprovizionarea utilizatorilor, auditarea sistemelor de identitate, gestionarea depozitului de utilizatori (cred ca LDAP sau Active Directory),

Furnizarea de servicii de autentificare este o responsabilitate de baza a IAM. Autentificarea este cel mai generic dintre cele trei concepte mentionate in titlul postului. De la o postare anterioara pe thinkmiddleware.com, am dat urmatoarele ca definitie a autentificarii. Autentificarea este procesul unei entitati (principalul) care isi demonstreaza identitatea catre o alta entitate (sistemul). Principalul ar putea fi un program de computer (un job lot, de exemplu, care ruleaza in fundal), un utilizator final (om), un sistem de computer, o bucata de hardware, dispozitiv mobil sau alte lucruri exotice. Sistemul, in scopurile noastre, este orice sistem informatic care necesita identificarea apelantului inainte de acordarea accesului – de multe ori acest sistem va fi pe server, uneori este pe un dispozitiv (telefon mobil, desktop, laptop, tableta), uneori sa fie intr-un browser.

mamadas retro videos incesto online
porno español abuelas jovencitasxxx
videos de follar tetas en la playa
la engaña para follar madres españolas follando con hijos
peliculas porno de incesto en español cincuentonas
paja en el coche viejas tetonas
porno gay guarro lesbianas incesto
pilladas meando tias cachondas
follando en el trastero pilladas meando
mamada a dos bocas porno gay trios
abuelas tragando leche chicas corriendose
pilladas pajeandose porno amater español
porno gay trios lesbianas preciosas
realincest maduras masturbandose
sexo español gratis folladas extremas
colegialas anal coños maduros
descargar peliculas porno completas come pollas
maduras en la playa mujeres normales desnudas
vecina mirona pirno
incesto abuelas follando en casa

Principalul furnizeaza acreditari sistemului care trebuie autentificate de sistem utilizand un anumit tip de sistem de identitate (inclusiv depozit de utilizatori, server de federatie sau altele). Acreditarile sunt informatii sensibile care identifica in mod pozitiv clientul si ar putea aparea sub mai multe forme:

  • UserID si parola
  • Semnatura digitala
  • Certificat client X509v3
  • PIN # + numar aleatoriu dintr-un FOB, Google Authenticate sau o tehnologie similara.

Pentru completare, un depozit de utilizatori contine informatii despre utilizatori (directori), acreditarile acestora, grupuri, apartenenta la grup si alte atribute ale utilizatorului. Un server LDAP sau Active Directory este un exemplu tipic de depozit de utilizatori. Descrieri mai detaliate ale acestor concepte pot fi gasite aici. Am definit anterior Federation Server si Identity Provider intr-o postare anterioara.

Single Sign On (SSO) este o caracteristica a unui mecanism de autentificare care se refera la identitatea utilizatorului utilizat pentru a oferi acces la mai multi furnizori de servicii. SSO permite un singur proces de autentificare (gestionat de un singur furnizor de identitate, server de directoare sau alt mecanism de autentificare) sa fie utilizat pe mai multe sisteme (furnizori de servicii) dintr-o singura organizatie sau intre mai multe organizatii. Acest mecanism unic de autentificare ar putea fi:

  • un server LDAP, Active Directory, baza de date sau un server de director similar
  • un sistem care genereaza si transmite un simbol de incredere catre aplicatii in scopul autentificarii.
  • Uneori, termenul SSO este folosit pentru a descrie conectarea la aplicatii cu un manager de parole.
  • Inainte de 2005, SSO ar fi putut fi folosit pentru a insemna ca un set comun de acreditari au fost utilizate pe mai multe sisteme (probabil cu un anumit tip de sistem asincron de sincronizare a parolelor), dar acele acreditari trebuiau furnizate de utilizator pentru a se conecta la fiecare sistem separat – in in anumite contexte, probabil ca este inca cazul.
  • Federatie asa cum este descris mai jos.

Single Sign On (SSO) trateaza autentificarea si interoperabilitatea tehnica a actorilor implicati pentru a furniza acreditarile de conectare comune intre sisteme.

O solutie SSO bazata pe Directory Server pentru mai multe aplicatii arata ca urmatoarea diagrama.

SSO printr-un server de director comun

Un alt exemplu SSO este N Service Providers (SP) in cadrul unei organizatii care are incredere intr-un singur furnizor de identitate (IdP) care arata ca urmatorul (aceasta este de fapt federatia de identitate, vezi sectiunea urmatoare).

N SP au incredere intr-un singur IdP

Gestionarea identitatii federate este o subdisciplina a IAM, dar in mod obisnuit este implicata aceeasi echipa (e) in sustinerea acesteia. Federatia este un tip de SSO in care actorii acopera mai multe organizatii si domenii de securitate.

Din specificatiile WS-Federation (unul dintre numeroasele protocoale SSO care permit federarea) avem, „Scopul federatiei este de a permite ca identitatile si atributele principale de securitate sa fie partajate peste granitele de incredere in conformitate cu politicile stabilite”. Aceasta este o descriere buna a federatiei in general; implica existenta unor standarde si protocoale comune pentru gestionarea si maparea identitatilor utilizatorilor intre furnizorii de identitate intre organizatii (si domenii de securitate) prin relatii de incredere (de obicei stabilite prin semnaturi digitale, criptare si PKI). Federatia este relatia de incredere care exista intre aceste organizatii; este preocupat de locul in care sunt stocate acreditarile utilizatorului si de modul in care tertii de incredere se pot autentifica impotriva acelor acreditari fara a le vedea efectiv.

Relatia de federatie poate fi realizata prin unul dintre mai multe protocoale diferite, inclusiv (dar nelimitat la):

  • SAML1.1
  • SAML2
  • Federatia WS
  • OAuth2
  • OpenID Connect
  • WS-Trust
  • Diverse protocoale proprietare

Federatia poate lua mai multe forme. In cadrul unei organizatii (departamente, unitati de afaceri), tiparele ar putea arata ca:

  • N Furnizori de servicii (SP) in cadrul unei organizatii care au incredere intr-un singur furnizor de identitate (IdP) – vezi diagrama din ultima sectiune.
  • N SP-uri in mai multe organizatii care au incredere intr-un singur IdP terta parte

N SP-uri in mai multe organizatii care au incredere intr-un singur IdP terta parte

  • N IdP-uri intr-o organizatie de incredere de catre un SP.

N IdP in cadrul unei organizatii de incredere de catre un SP

  • N IdP in cadrul unei organizatii care au incredere intr-un singur IdP

N IdP in cadrul unei organizatii care au incredere intr-un singur IdP

  • N SP-uri (sa le numim Furnizori API) in mai multe organizatii care au incredere intr-un singur IdP, care este apoi de incredere de un sistem comun (cum ar fi un API Gateway)
  • Broker de identitate (IdP care gestioneaza relatiile intre) cu N SP si N IdP care acopera mai multe organizatii cu relatii de federatie interdependente.

In 2017 si ulterior, toate autentificarile utilizatorilor finali ar trebui sa implice Single Sign On cu un produs bine-cunoscut Furnizor de identitate in spatiul intreprinderii. Acelasi lucru este valabil mai ales in alte contexte. La fel, in spatiul intreprinderii, SSO cu actori din afara organizatiei locale ar trebui sa implice relatii de federatie. Utilizarea relatiilor de federatie intre sistemele din cadrul diferitelor organizatii ar trebui utilizata, deoarece are sens.

Imagine: Subway of Life 8/52 / Dennis Skley