Една от многото трудности, с които се сблъскват организациите, е как да създадат преносимост, повторна използваемост и оперативна съвместимост на цифровите идентичности от локалната сфера към средите, които все повече използват уеб услуги. Един от най-ранните и най-широко разпространени подходи е SAML (или Security Assertion Markup Language) и Identity Federation.
Кратка история на SAML и Identity Federation
Най-просто казано, SAML е спецификацията за оперативна съвместимост и протоколите, определени в три роли:
- Субектът (или възложителят), човешки потребител, например служител
- Доставчик на идентичност (IdP), източник на атрибути на потребителя и информация за пълномощията
- Доставчик на услуги (ДУ) – приложение, система или услуга, до които потребителят иска да получи достъп.
Федерацията на идентичностите е понятието за преносимост и възможност за повторно използване на цифрови идентичности. Крайната цел е да се даде възможност на потребителите от един домейн да имат сигурен достъп до приложения, данни и системи по безпроблемен начин, без излишно управление на потребителите. Подобно на SAML, федерацията на уеб услуги (или WS-Fed) е стандартизирана, за да се гарантира, че има механизми, които позволяват на различни сфери да се федератират.
Както SAML, така и Identity Federation изпълняват важна роля в управлението на достъпа до работната сила, но нито един от тях не определя метода на удостоверяване, използван от доставчика на идентичност.
Облачната ера, разработчиците и липсващото ниво на идентичност в интернет
Тъй като разработчиците бързо започнаха да изграждат на базата на публична инфраструктура в облака и мобилни платформи, стана ясно, че сложността на федерацията на идентичността може да бъде решена без никакви локални сфери. Породено от необходимостта да се създаде липсващото ниво на идентичност за мащаба на интернет, започна пътуването на ориентирания към потребителя OpenID, както и създаването на OAuth – стандартния за индустрията протокол за оторизация. OAuth се фокусира върху опростяването на разработчиците на клиенти, като същевременно осигурява специфични потоци за оторизация за уеб приложения, настолни приложения, мобилни телефони и много други свързани устройства. Усъвършенстването на оторизацията беше последвано от OpenID Connect.
Основен материал за OpenID Connect
OpenID Connect (OIDC) е протокол за федерация, изграден върху рамката OAuth 2.0, който позволява на уеб услугите да екстернализират функциите за удостоверяване към трета страна. Той дава възможност на клиентите да потвърждават самоличността на краен потребител въз основа на удостоверявания, извършени от сървъри за упълномощаване, както и да получават основна информация за профила на крайния потребител по оперативно съвместим и JSON/RESTful начин.
Защо е важно OpenID Connect (OIDC)?
- OIDC дава възможност на собствениците и разработчиците на приложения да удостоверяват човешки потребители в приложения и уебсайтове, без да се налага да създават, управляват и поддържат идентичности.
- С помощта на OIDC можете да осигурите еднократно влизане (SSO) и да използвате съществуващи корпоративни или социални акаунти за достъп до приложенията, като по този начин подобрите използваемостта, сигурността и поверителността.
- OIDC осигурява управление на съгласието, поддръжка на хибридни и многооблачни среди, а също така поддръжка на повече типове клиенти в сравнение с разработените преди това протоколи за федерация.
- OIDC подобрява потребителското изживяване (UX) чрез олекотено удостоверяване и оторизиране, фино управление на съгласието и допълнителна проверка чрез методите на MFA.
- OIDC е заместител на SAML.
В WatchGuard разработваме нашата Identity Fabric в WatchGuard Cloud, за да възприемем тези нови стандарти за оторизация и протоколи за федерация на идентичности по пътя ни към AuthPoint 2.0. Междувременно научете повече за това как работи OpenID Connect.