Что такое поставщик идентификационных данных?
Поставщик идентификационных данных (IdP), или администратор IdP, — это система, которая создает и хранит цифровые идентификационные данные, а также управляет ими. IdP может либо напрямую аутентифицировать пользователя, либо предоставлять услуги аутентификации сторонним поставщикам услуг (приложениям, веб-сайтам или другим цифровым службам).
Проще говоря, администратор IdP предлагает аутентификацию пользователя как услугу. Например, для входа в Spotify можно использовать учетные данные учетной записи Google. В этом случае Google Sign-In выступает в роли IdP, а Spotify является поставщиком услуг (SP). Любой веб-сайт, на котором требуется ввести имя для входа, например, использует IdP для аутентификации пользователей. Для аутентификации пользователя может использоваться пароль или другой фактор аутентификации.
С точки зрения IdP, пользователь расценивается как основной участник. Основным участником может быть человек или машина. IdP может аутентифицировать любую сущность, включая устройства. Цель IdP — отслеживать эти сущности и выяснять, где и как получить основные идентификационные данные, по которым можно определить, может ли человек или устройство получить доступ к конфиденциальным данным.
Почему IdP необходимы?
Поставщики идентификационных данных могут помочь решить некоторые административные проблемы, с которыми сталкиваются компании. Работа с поставщиком услуг идентификации имеет несколько преимуществ: фактическое отсутствие длинных списков имен пользователей и паролей, упрощенное администрирование и подробная документация попыток доступа на случай возникновения проблем.
Большинство потребителей знакомы с приложениями, которые дают возможность войти в систему, коснувшись кнопки, которая объединяет эту учетную запись с учетной записью пользователя в Facebook или Google. Аналогичная концепция существует и в мире бизнеса, с некоторыми дополнительными преимуществами. Во-первых, соблюдение нормативно-правовых требований упрощается за счет контрольного журнала всех событий доступа. Во-вторых, компании могут снизить расходы на ИТ более чем на 20 %, сократив время, затрачиваемое службой поддержки на сброс паролей.
Каковы преимущества наличия IdP?
Есть несколько преимуществ, в том числе указанные далее.
- Более строгая аутентификация. IdP может предоставлять инструменты и решения, обеспечивающие безопасный доступ через приложения, веб-сайты и другие цифровые платформы, такие как адаптивная многофакторная аутентификация (MFA) на основе рисков.
- Упрощенное управление пользователями. Другое решение, предоставляемое большинством IdP, — система единого входа (SSO), которая избавляет пользователей от забот, связанных с созданием и сохранением нескольких имен пользователей и паролей.
- Создание собственных идентификационных данных (BYOI). С помощью BYOI пользователи могут получать доступ к службам с уже имеющимися учетными данными (например, Google, Outlook и т. д.), вместо того чтобы создавать новые. Это еще больше повышает эффективность адаптации и управления пользователями, сохраняя при этом высокий уровень безопасности.
- Улучшенная индикация. IdP будет вести централизованный контрольный журнал всех событий получения доступа, тем самым упрощая подтверждение того, кто получает доступ, к каким ресурсам и когда.
- Уменьшает нагрузку, связанную с управлением идентификационными данными. Поставщику услуг (SP) не нужно управлять идентификационными данными пользователей, поскольку эта обязанность переходит к IdP.
Как работают IdP?
IdP позволяет с помощью идентификационных данных пользователя упростить доступ ко всем его ресурсам — от электронной почты до систем управления файлами компании.
Рабочий процесс IdP включает в себя три основных этапа, которые описаны далее.
- Запрос. Пользователю отображается запрос на ввод определенного рода идентификационных данных, например имени пользователя и пароля или запрос на биометрическую аутентификацию.
- Проверка. IdP проводит проверку, чтобы определить, есть ли у пользователя доступ и, если да, то к чему.
- Разблокировка. Пользователю предоставляется доступ к определенным ресурсам, для которых они выполнили авторизацию.
Что такое поставщик услуг и как он работает с IdP?
Поставщик услуг, или SP, — это объект, предоставляющий службу, к которой вы осуществляете доступ, а IdP — это объект, создающий и хранящий идентификационные данные и управляющий ими и возможностью аутентификации пользователя.
И SP, и IdP являются частью системы управления федеративной идентификацией (FIM), при которой пользователям разрешается применять один и тот же метод проверки для доступа к различным ресурсам. FIM обеспечивается с помощью стандартных протоколов, таких как язык разметки утверждений безопасности (Security Assertion Markup Language, SAML), открытая авторизация (Open Authorization, OAuth), OpenID Connect (OIDC) и система междоменного управления идентификацией (System for Cross-domain Identity Management, SCIM).
IdP устанавливает отношения доверия с SP, предоставляя идентификационные данные и аутентифицируя пользователей в рамках доменов. Например, когда пользователь пытается получить доступ к любым сторонним приложениям (SP), запрос отправляется такому IdP как Entrust Identity as a Service (решение «идентификация как услуга» IDaaS). IdP аутентифицирует идентификационные данные пользователя и определяет SP с помощью документа SAML. Этот документ содержит данные, по которым определяется, является ли пользователь проверенным и разрешен ли ему доступ к службе.
Типы поставщиков идентификационных данных
Существует два основных типа поставщиков идентификационных данных: язык разметки утверждений безопасности и единый вход.
SAML — это язык разметки на основе XML, используемый для аутентификации через федерацию удостоверений. SAML — широко распространенный протокол, который поддерживается различными приложениями поставщиков услуг, такими как Office 365, Salesforce, Webex, ADP и Zoom.
SSO — это функция управления доступом, которая позволяет пользователям осуществлять вход с одним набором удостоверяющих учетных данных для нескольких учетных записей, программ, систем и ресурсов. Например, когда сотрудник вводит свои учетные данные для входа в систему своей рабочей станции, он также проходит аутентификацию для доступа к своим приложениям, ресурсам и облачному программному обеспечению.
Что такое управление доступом и идентификационными данными?
Управление доступом и идентификационными данными (IAM) — это концепция политик и технологий безопасности, которая гарантирует получение соответствующими сущностями доступа к нужным ресурсам в нужное время.
Такой сущностью может быть человек или устройство. Ресурсами могут быть приложения, сети, инфраструктура и данные. Система IAM может применяться при работе с персоналом, потребителями и гражданами.
В основе системы IAM лежит определение и хранение доверенных цифровых идентификационных данных. С помощью IAM организации могут выполнять аутентификацию и авторизацию объектов для предоставления безопасного доступа к нужным ресурсам. Кроме того, благодаря адаптивной аутентификации на основе рисков, которая при определенных условиях создает более сложный запрос, доверие поддерживается в течение длительного времени.
Подходит ли решение «идентификация как услуга» IDaaS Entrust в качестве IdP для нужд вашего бизнеса?
Да. Entrust Identity as a Service (решение «идентификация как услуга» IDaaS) — это облачное решение для управления доступом и идентификационными данными, которое включает многофакторную аутентификацию, беспарольный доступ на основе учетных данных и единый вход. Решение «идентификация как услуга» IDaaS предлагает исчерпывающий набор возможностей IAM, поэтому отлично справится с ролью администратора IdP и обеспечит максимальную защиту с помощью подхода к безопасности Zero Trust.