联邦身份管理是一个相对较新的概念,是身份管理的扩展,身份管理是一种集中的、自动化的方法,用于规范员工和其他授权个人对企业资源的访问。
身份管理的重点是为每个用户(人或流程)定义一个身份,将属性与身份关联起来,并实施一种用户可以验证身份的方法。一旦实现,身份管理系统就支持单点登录(SSO),即用户通过单次认证后访问所有网络资源的能力。
联邦身份管理指的是支持跨多个企业和众多应用程序的身份、身份属性和权限的可移植性的协议、标准和技术,支持数千甚至数百万用户。
当多个组织实现可互操作的联合身份方案时,一个组织中的员工可以使用SSO访问与该身份相关联的信任关系的联合中的服务。
除了SSO之外,联合身份管理还提供其他功能。一个是表示属性的标准化方法。数字身份越来越多地包含标识符和身份验证信息(如密码和生物特征信息)以外的属性。属性可以包括账号、组织角色、物理位置和文件所有权。一个用户可以有多个与多个角色相关联的标识符,每个标识符都有自己的访问权限。
联合标识管理的另一个关键功能是标识映射。安全域可能以不同的方式表示身份和属性。此外,在一个领域中与个人关联的信息量可能比在另一个领域中所需的信息量还要多。联合身份管理协议将一个域中的用户的身份和属性映射到另一个域中的需求。
通用的联邦身份管理体系结构包括身份提供者和服务提供者。身份提供者通过与用户和管理员进行对话和协议交换来获取属性信息。
服务提供者是获取和使用身份提供者维护和提供的数据的实体,通常用于支持授权决策和收集审计信息。例如,数据库服务器或文件服务器是一个数据使用者,它需要客户机的凭据来知道向该客户机提供什么访问。服务提供者可以与用户和标识提供者位于同一个域中,也可以位于不同域中。
其目标是共享数字身份,这样用户可以一次通过身份验证,并跨多个域访问应用程序和资源。这些合作的组织在商定的标准和相互信任的基础上组成一个联盟。
联邦身份管理使用许多标准作为安全身份交换的构建块。本质上,组织为他们的用户发出某种形式的安全票据,可以由合作伙伴进行处理。因此,身份联合标准关注的是根据内容和格式定义这些票据,提供交换票据的协议,并执行许多管理任务。这些任务包括配置系统以执行属性传输和标识映射,以及执行日志和审计功能。
联邦身份的主要标准是安全断言标记语言(Security Assertion Markup Language, SAML),它定义了在线业务伙伴之间安全信息的交换。
SAML是结构化信息标准促进组织(Organization for the Advancement of Structured Information standards)为联邦身份管理而发布的更广泛的标准集合的一部分。例如,WS-Federation支持基于浏览器的federation;它依赖于安全令牌服务来代理参与Web服务之间的身份、属性和身份验证信任。
联邦身份管理的挑战是集成多种技术、标准和服务,以提供安全、用户友好的实用程序。关键是依赖于一些被业界广泛接受的成熟标准。联邦身份管理似乎已经达到了这个成熟度级别。
Stallings是新书《计算机安全:原理与实践。联系他ws@shore.net.