ЧТО ТАКОЕ ПОСТАВЩИК ИДЕНТИФИКАЦИОННЫХ ДАННЫХ (IDP)?

IdP позволяет с помощью идентификационных данных пользователя упростить доступ ко всем его ресурсам — от электронной почты до систем управления файлами компании.

Рабочий процесс IdP включает в себя три основных этапа, которые описаны далее.

1. Запрос. Пользователю отображается запрос на ввод определенного рода идентификационных данных, например имени пользователя и пароля или запрос на биометрическую аутентификацию.
2. Проверка. IdP проводит проверку, чтобы определить, есть ли у пользователя доступ и, если да, то к чему.
3. Разблокировка. Пользователю предоставляется доступ к определенным ресурсам, для которых они выполнили авторизацию.

Поставщик услуг — это сущность, предоставляющая службу, к которой вы получаете доступ, а IdP — это сущность, создающая и хранящая идентификационные данные и управляющая ими и возможностью аутентификации пользователя.

И SP, и IdP являются частью системы управления федеративной идентификацией (FIM), при которой пользователям разрешается применять один и тот же метод проверки для доступа к различным ресурсам. FIM обеспечивается с помощью стандартных протоколов, таких как SAML, OAuth, OpenID Connect (OIDC) и SCIM.

IdP устанавливает отношения доверия с SP, предоставляя идентификационные данные и аутентифицируя пользователей в рамках доменов. Например, когда пользователь пытается получить доступ к любым сторонним приложениям (SP), запрос отправляется такому IdP как Entrust Identity as a Service (решение «идентификация как услуга» IDaaS). IdP аутентифицирует идентификационные данные пользователя и определяет SP с помощью документа SAML. Этот документ содержит данные, по которым определяется, является ли пользователь проверенным и разрешен ли ему доступ к службе.

Есть несколько преимуществ, в том числе указанные далее.

• Более строгая аутентификация. IdP может предоставлять инструменты и решения, обеспечивающие безопасный доступ через приложения, веб-сайты и другие цифровые платформы, такие как адаптивная многофакторная аутентификация (MFA) на основе рисков.
• Упрощенное управление пользователями. Другое решение, предоставляемое большинством IdP, — система единого входа (SSO), которая избавляет пользователей от забот, связанных с созданием и сохранением нескольких имен пользователей и паролей.
• Создание собственных идентификационных данных (BYOI). С помощью BYOI пользователи могут получать доступ к службам с уже имеющимися учетными данными (например, Google, Outlook и т. д.), вместо того чтобы создавать новые. Это еще больше повышает эффективность адаптации и управления пользователями, сохраняя при этом высокий уровень безопасности.
• Улучшенная индикация. IdP будет вести централизованный контрольный журнал всех событий получения доступа, тем самым упрощая подтверждение того, кто получает доступ, к каким ресурсам и когда.
• Уменьшает нагрузку, связанную с управлением идентификационными данными. SP не нужно управлять идентификационными данными пользователей, поскольку эта обязанность переходит IdP.

Существует два основных типа поставщиков идентификационных данных: язык разметки декларации безопасности (SAML) и единый вход (SSO).

SAML — это язык разметки на основе XML, используемый для аутентификации через федерацию удостоверений. SAML — широко распространенный протокол, который поддерживается различными приложениями поставщиков услуг, такими как Office 365, Salesforce, Webex, ADP и Zoom.

SSO — это функция управления доступом, которая позволяет пользователям осуществлять вход с одним набором удостоверяющих учетных данных для нескольких учетных записей, программ, систем и ресурсов. Например, когда сотрудник вводит свои учетные данные для входа в систему своей рабочей станции, он также проходит аутентификацию для доступа к своим приложениям, ресурсам и облачному программному обеспечению.

Поставщики идентификационных данных (IdP) могут помочь решить некоторые проблемы, с которыми сталкиваются компании. Работа с поставщиком услуг идентификации имеет несколько преимуществ: фактическое отсутствие длинных списков имен пользователей и паролей, упрощенное администрирование и подробная документация попыток доступа на случай возникновения проблем.

Большинство потребителей знакомы с приложениями, которые дают возможность войти в систему, коснувшись кнопки, которая объединяет эту учетную запись с учетной записью пользователя в Facebook или Google. Аналогичная концепция существует и в мире бизнеса, с некоторыми дополнительными преимуществами. Во-первых, соблюдение нормативно-правовых требований упрощается за счет контрольного журнала всех событий доступа. Во-вторых, компании могут снизить расходы на ИТ более чем на 20 %, сократив время, затрачиваемое службой поддержки на сброс паролей.

Да. Entrust Identity as a Service (решение «идентификация как услуга» IDaaS) — это облачное решение для управления доступом и идентификационными данными (IAM), которое включает многофакторную аутентификацию (MFA), беспарольный доступ на основе учетных данных и единый вход (SSO). Решение «идентификация как услуга» IDaaS предлагает исчерпывающий набор возможностей IAM, поэтому отлично справится с ролью IdP и обеспечит максимальную защиту с помощью подхода к безопасности Zero Trust.

Управление доступом и идентификационными данными (IAM) — это концепция политик и технологий безопасности, которая гарантирует получение соответствующими сущностями доступа к нужным ресурсам в нужное время.

Такой сущностью может быть человек или устройство. Ресурсами могут быть приложения, сети, инфраструктура и данные. Система IAM может применяться при работе с персоналом, потребителями и гражданами.

В основе системы IAM лежит определение и хранение доверенных цифровых идентификационных данных. С помощью IAM организации могут выполнять аутентификацию и авторизацию сущностей для предоставления безопасного доступа к нужным ресурсам. Кроме того, доверие поддерживается с течением времени за счет адаптивной аутентификации на основе рисков, которая при определенных условиях добавляет этап аутентификации типа step-up.