Deklarovaná identita
Deklarovaná identita je jeden ze způsobů, kterým softwarové aplikace získávají potřebné informace o identitě uživatelů ve své organizaci, v jiných organizacích a na internetu.[1] Poskytuje také konzistentní přístup pro aplikace spuštěné lokálně nebo v cloudu. Deklarovaná identita obecně dělí jednotlivé prvky identifikace pro řízení přístupu do dvou částí: oblast deklarací (sdělení identity, předání atributů představujících nároky z této identity) a oblast emitenta nebo autority (prokázání identity).[2]
Subjekt prohlašuje kým je
Deklarace nebo s ní spojený nárok je prohlášení, které jeden subjekt, například osoba nebo organizace, učiní o sobě nebo o jiném subjektu. Například prohlášení o jménu, skupině, preferencích nákupu, etnickém původu, privilegiu, asociaci nebo schopnosti. Subjektem, který uplatňuje nárok, je autor prohlášení (deklarace). Nároky jsou zabaleny do jednoho nebo více tokenů (dočasných pověření), které pak vydává jejich emitent (poskytovatel). Tato druhá činnost se označuje jako služba bezpečnostních tokenů (STS).
Název „identita založená na deklaracích“ může být zpočátku matoucí, protože se to zdá jako nesprávné pojmenování. Zdá se, že připojení konceptu nároků ke konceptu identity je kombinace autentizace (ověření identity) s autorizací (rozhodnutí co může a co nesmí daný subjekt dělat). Bližší zkoumání však ukazuje, že tomu tak není. Deklarované nároky nejsou tím, co subjekt může a co nemůže dělat. Nároky prohlašují kým nebo čím subjekt je anebo není. Je na aplikaci, která přijímá příchozí deklaraci, aby mapovala pravidla is / is not na svá vlastní pravidla typu may / may not. V tradičních systémech často dochází k nejasnosti v rozlišení mezi tím, kým uživatel je / není a co uživatel může / nesmí dělat. Díky identitě založené na deklaracích je tento rozdíl jasný.
Služba bezpečnostních tokenů
Jakmile je vyjasněn rozdíl mezi tím, co uživatel je / není, a tím, co uživatel může / nesmí dělat, je možné zařídit, že autentizaci toho, co uživatel je / není (nároky), zpracuje třetí strana. Tato třetí strana poskytuje službu bezpečnostních tokenů (STS). Chcete-li lépe porozumět konceptu této služby, zvažte analogii nočního klubu s vrátným. Vrátný chce zabránit vstupu nezletilých návštěvníků. Aby to splnil, požádá návštěvníka, aby předložil řidičský průkaz, kartu zdravotního pojištění nebo jinou identifikaci (token, průkaz), která byla vydána důvěryhodnou třetí stranou (služba bezpečnostních tokenů), jakou je dopravní odbor města (registr řidičů), oddělení evidence obyvatel města (výdej osobních dokladů) nebo zdravotní pojišťovna. Noční klub je tak zbaven odpovědností za určení věku návštěvníka. Musí pouze důvěřovat vydávajícímu orgánu (a samozřejmě provést vlastní úsudek o pravosti předloženého tokenu). Po dokončení těchto dvou kroků noční klub úspěšně ověřil návštěvníka, pokud jde o tvrzení, že je ve věku, pro který zákon připouští pití alkoholických nápojů.
Aby člověk mohl sdělit svoji identitu jiné entitě, musí ji zpravidla prokázat. Právě jsme popsali prokazování na základě tokenu od důvěryhodné autority. Další možností je sdílené tajemství nebo vícefaktorová autentizace. V našem příkladu by tomu odpovídalo třeba tajné heslo pro vstup do soukromého klubu, anebo ještě například tetování.
Například v prostředí Windows STS podporuje dva typy aplikací předávající strany: webové aplikace ASP.NET a webové služby Windows Communication Foundation (WCF).[3]
Upozorňujeme, že ne všechna použití výrazu „autentizace“ zahrnují předávání nároků.[4] Jediný rozdíl je v tom, že ověřování (autentizace) je omezeno na vazbu uživatele k informacím obsaženým o uživateli v cílovém webu, protože k dokončení ověření nejsou vyžadována žádná data atributů (deklarace). S tím jak se obavy o soukromí stávají stále důležitějšími, stává se stále důležitější i schopnost digitálních entit ověřovat uživatele bez přístupu k osobním atributům.
Výhody
Identita založená na deklaracích má potenciál zjednodušit logiku ověřování pro jednotlivé softwarové aplikace, protože tyto aplikace nemusejí poskytovat mechanismy pro vytváření účtů, vytváření hesel, resetování atd. Identita založená na deklaracích navíc umožňuje aplikacím znát určité věci o uživateli, aniž by bylo nutné uživatele zpovídat, aby tyto skutečnosti sdělil. Fakta nebo nároky jsou přenášeny v „obálce“ zvané bezpečnostní token.
Deklarovaná identita také může výrazně zjednodušit proces ověřování, protože uživatel se nemusí přihlašovat vícekrát do více aplikací. Jedno přihlášení vytvoří token, který se poté použije k ověření proti více aplikacím nebo webům. Kromě toho, protože některá fakta (tvrzení) jsou zabalena s tokenem, uživatel nemusí každé jednotlivé aplikaci tato fakta opakovaně sdělovat, například odpovídáním na podobné otázky nebo vyplňováním podobných formulářů.
Reference
V tomto článku byl použit překlad textu z článku Claims-based identity na anglické Wikipedii.
- David Chappell. Claims Based Identity for Windows [online]. Microsoft Corporation, February 2011 [cit. 2011-07-28]. Dostupné online. (anglicky)
- Microsoft. Claims Based Identity & Access Control Guide Documentation [online]. Microsoft Corporation, Jun 3, 2011 [cit. 2011-07-28]. Dostupné online. (anglicky)
- Relying party [online]. Microsoft Developer Network [cit. 2020-10-10]. Dostupné online. (anglicky)
- IDESG. Identity Model [online]. [cit. 2017-05-05]. Dostupné online. (anglicky)
Související články
- Access Control List – přístupová práva
- Single sign-on
- Správa identit