Ejemplos de gestión de identidad federada, servicios de identidad de terceros e inicio de sesión único

4

Estoy estudiando el dominio de Identity and Access Management en CISSP, y me he topado con los tres términos Federated Identity Management (FIM), Tercer Identity Services (3PIS) y Single Sign-On (SSO). Después de algunas lecturas, incluyendo ¿Cuál es la diferencia entre el inicio de sesión federado y el inicio de sesión único? , creo que sé la diferencia entre las tres cosas:

(1) SSO es un ejemplo de 3PIS
(2) Pero no todos los SSO son 3PIS, cuando el proveedor del recurso diseña el mecanismo de autenticación. (3) Una ventaja de FIM es que puede proporcionar SSO
(4) FIM no siempre proporciona SSO. (5) La FIM puede usar el mecanismo 3PIS, si el mecanismo está diseñado por una organización no relacionada con ninguno de los proveedores del recurso. (6) La FIM no puede usar el mecanismo 3PIS, si el mecanismo está diseñado por uno de los proveedores del recurso

Suponga que todos los anteriores son verdaderos, SSO, 3PIS y FIM pueden existir en el mismo sistema, pero también pueden ser independientes. Así que ahora estoy buscando ejemplos de la vida real para todas las 7 combinaciones a continuación:

(a) SSO + 3PIS + FIM - > ??? (b) SSO + 3PIS, no FIM - > Kerberos para autenticar un dominio de MS Windows.
(c) SSO + FIM, pero no 3PIS - > Azure Active Directory para acceder a Office365 y SalesForce, ya que Office365 y Azure están desarrollados por MS.
(d) SSO, pero no 3PIS, no FIM - > Microsoft Active Directory para acceder a los recursos de MS.
(e) 3PIS + FIM, pero no SSO - > ??? (f) 3PIS, pero no SSO, no FIM - > ??? (g) FIM, pero no 3PIS, no SSO - > ??

¿Tengo razón en los 3 ejemplos anteriores (b), (c), (d), y hay ejemplos de la vida real para los otros 4 casos? Cualquier sugerencia o comentario es bienvenido.

    
pregunta GreenPenguin 30.07.2017 - 19:52
fuente

2 respuestas

1

TL; DR:

FIM (o FidM) se refiere a un concepto abstracto de gestión de identidad. Las organizaciones que han implementado un sistema FIM, lo utilizan para administrar las identidades y la confianza de sus usuarios para simplificar el acceso a los recursos.

3PIS es un producto que adquiere de un proveedor. Admite la configuración o instalación de una FIM y puede o no proporcionar una funcionalidad de SSO para los usuarios.

SSO es un mecanismo puesto en un poco de software que permite a los usuarios acceder a múltiples servicios o sistemas con un solo inicio de sesión o las mismas credenciales de inicio de sesión.

  

(1) SSO es un ejemplo de 3PIS

No exactamente. Un 3PIS puede incluir un mecanismo para el SSO, pero no necesariamente tiene que hacerlo. (Aunque, creo, la mayoría de los actuales lo hacen). No diría: "Nuestro SSO es un 3PIS". sino más bien "Nuestro 3PIS utiliza SSO".

  

(2) Pero no todos los SSO son 3PIS, cuando el proveedor del recurso ha ideado el mecanismo de autenticación

Bueno, sí, un poco. Si necesita un FIM para usar el SSO, puede usar un 3PIS para configurar su FIM. Pero no todos los sistemas / servicios admiten SSO.

  

(3) Una ventaja de FIM es que puede proporcionar SSO

Sí.

  

(4) FIM no siempre proporciona SSO

No sé nada, pero eso no significa nada.

  

(5) FIM puede utilizar el mecanismo 3PIS, si el mecanismo es diseñado por una organización no relacionada con ninguno de los proveedores del recurso

3PIS no es un mecanismo en sí mismo. Los proveedores de identidad utilizan, por ejemplo, mecanismos de identificación basados en certificados para establecer la confianza entre los usuarios, el proveedor de servicios y la organización que utiliza un 3PIS.

  

(6) La FIM no puede usar el mecanismo 3PIS, si el mecanismo está diseñado por uno de los proveedores del recurso

Ver más arriba.

Mientras aún estás estudiando, quizás quieras intentar responder el resto de tu pregunta por ti mismo. Si las cosas aún no están claras, intentaré proporcionar un poco más de contexto.

Divulgación: no estoy certificado con CISSP ni he estudiado para obtener su certificado.

    
respondido por el Tom K. 31.07.2017 - 10:46
fuente
1

Yo agregaría que 'Administración de Identidad Federada' es una mala etiqueta. La administración de identidades significa crear, administrar y eliminar identidades en un repositorio, como un directorio LDAP. Los sistemas de administración de "identidad" federada no hacen nada de eso, y deberían ser más adecuadamente llamados sistemas de "administración de acceso federado".

FAM (como arriba) significa que la aplicación A puede descargar el proceso de identificación y autorización de un usuario que desea iniciar sesión en la aplicación B. Este proceso también puede descargar algunas decisiones de autorización (lo que el usuario puede hacer en la aplicación A puede ser hasta la aplicación B).

Hay algunos protocolos estándar más o menos para la federación, incluido el lenguaje de marcado de aserciones seguras (SAML) y OAuth (supongo que significa Autenticación abierta). Un protocolo "también ejecutado" es el conjunto de protocolos WS-Federation defendidos por Microsoft y básicamente nadie más (utilizado entre ADFS, SharePoint y O365, por ejemplo).

Puede inferir una definición para la gestión de identidades desde arriba. Puede ser abreviado "IDM".

Por lo general, no hacemos IDM solo. Después de todo, la mayoría de los sistemas y la mayoría de las organizaciones solo se preocupan por la identidad como un requisito previo para otorgar acceso a algo. En la práctica, hacemos "gestión de identidad y acceso" juntos, es decir, administramos el ciclo de vida de los objetos que representan personas o procesos no humanos, y al mismo tiempo otorgamos y revocamos derechos de acceso, como la pertenencia a grupos de seguridad. La combinación de gestión de identidad y acceso se reduce a IAM.

A algunas firmas de analistas les gusta centrarse en el aspecto de la gobernanza de IAM, como revisar a qué usuario tiene acceso y revocar derechos ya no apropiados. Les gusta tanto que a veces se refieren a IAM como Identity Governance and Administration (IGA). Confundido ya? Es solo un acrónimo, se refiere a las mismas capacidades en la realidad.

El inicio de sesión único es una cosa separada pero relacionada. Vuelve a consultar la idea de FAM anterior. Cuando la aplicación B autentica al usuario en nombre de la aplicación A, ¿le solicita al usuario que ingrese su ID y contraseña, o cualquier otra credencial, cada vez que el usuario se encuentre en la página de inicio de sesión de la aplicación B? Después de todo, la aplicación B podría dejar caer una cookie en el navegador del usuario; digamos que vale una hora o un día, y si el usuario inicia sesión en la aplicación A nuevamente, o tal vez en otra aplicación (por ejemplo, la aplicación C), que también se basa en el inicio de sesión de la aplicación B En la página, la aplicación B notará que ya ha autenticado recientemente al usuario y que no necesita volver a hacerlo.

Este último bit: omitir el proceso de inicio de sesión si se completó recientemente un proceso de autenticación para el mismo usuario, es el inicio de sesión único o SSO para abreviar.

Espero que ayude!

    
respondido por el user165488 05.12.2017 - 23:52
fuente

Lea otras preguntas en las etiquetas