प्रमाणीकरण विरुद्ध फेडरेशन वि एसएसओ

सबवे ऑफ लाइफ 8/52 / डेनिस स्क्ले

प्रमाणीकरण. फेडरेशन. सिंगल साइन ऑन (एसएसओ). मी या संकल्पनांचा बर्‍याच वेळा उल्लेख केला आहे. मी माझ्या लेखनात बर्‍याच वेळा वापरल्या तरीही या प्रत्येक संज्ञेचा अर्थ औपचारिकपणे परिभाषित केलेला नाही - या संकल्पना जवळपास संबंधित आहेत.

प्रमाणीकरण: एखाद्या घटकाची प्रक्रिया (प्रिन्सिपल) दुसर्‍या घटकास (सिस्टम) त्याची ओळख सिद्ध करते.

सिंगल साइन ऑन (एसएसओ): एकाधिक सेवा प्रदात्यांमधून प्रवेश प्रदान करण्यासाठी वापरकर्त्याच्या ओळखीशी संबंधित असलेल्या प्रमाणीकरण यंत्रणेचे वैशिष्ट्य.

फेडरेशनः ट्रस्ट रिलेशनशिपद्वारे (आणि सहसा डिजिटल स्वाक्षरी, एनक्रिप्शन आणि पीकेआय द्वारे स्थापित) संघटनांमध्ये ओळख प्रदात्यांमधील वापरकर्ता ओळख आणि त्यांचे नकाशे व्यवस्थापित करण्यासाठी सामान्य मानक आणि प्रोटोकॉल.

प्रथम, ओळख आणि Managementक्सेस मॅनेजमेंट (आयएएम) म्हणजे माहिती तंत्रज्ञान संस्थेमधील ओळख चिंतेचे व्यवस्थापन. आयएएम हा शब्द संघ किंवा कार्यसंघाच्या जबाबदा .्या संदर्भात घेऊ शकतो. तद्वतच, आयएएम हा एक केंद्रीकृत संघ आहे, परंतु इतिहास, राजकारण किंवा संघटनात्मक रचनेमुळे जे नेहमीच शक्य नसते. पुढील सर्वोत्तम पर्याय म्हणजे प्रत्येक व्यवसाय-ते-व्यवसाय (बी 2 बी), व्यवसाय-ते-ग्राहक (बी 2 सी) आणि व्यवसाय-ते-कर्मचारी (बी 2 ई) संबंधित प्रत्येक व्यक्तीस समर्पित केंद्रीय संघ. बर्‍याचदा, प्रत्येक वैयक्तिक गट त्यांच्या स्वतःच्या आयएएम जबाबदा .्या हाताळतो - यामुळे संघटनेत फेडरेशन आणि एसएसओचा अवलंब करण्यास अतिरिक्त अडथळे निर्माण होतात. आयएएममध्ये वापरकर्ते आणि सिस्टमचे प्रमाणीकरण, त्या वापरकर्त्यांची आणि सिस्टमची अधिकृतता, वापरकर्त्याची तरतूद, ओळख प्रणाल्यांचे ऑडिट, वापरकर्ता रेपॉजिटरी व्यवस्थापन (एलडीएपी किंवा अ‍ॅक्टिव्ह डिरेक्टरी विचार करा), संकेतशब्द धोरणे आणि इतर समस्यांचा समावेश असू शकतो.

प्रमाणीकरण

प्रमाणीकरण सेवा प्रदान करणे ही आयएएमची मुख्य जबाबदारी आहे. पोस्ट शीर्षकात नमूद केलेल्या तीन संकल्पनांपैकी प्रमाणीकरण सर्वात सामान्य आहे. थिंकमिडलवेअर.कॉम वरील आधीच्या पोस्टपासून, मी प्रमाणीकरणाची व्याख्या म्हणून खाली दिले. ऑथेंटिकेशन म्हणजे अस्तित्वाची प्रक्रिया (प्रिन्सिपल) दुसर्‍या घटकास (सिस्टम) आपली ओळख दर्शविणारी प्रक्रिया. प्रिन्सिपल एक संगणक प्रोग्राम (बॅच जॉब, उदाहरणार्थ, पार्श्वभूमीत चालू), अंतिम वापरकर्ता (मानव), संगणक प्रणाली, हार्डवेअरचा एक तुकडा, मोबाइल डिव्हाइस किंवा इतर विदेशी गोष्टी असू शकतात. सिस्टम, आमच्या हेतूंसाठी, अशी कोणतीही संगणक प्रणाली आहे ज्यास प्रवेश मंजूर होण्यापूर्वी कॉलरला ओळखले जाण्याची आवश्यकता असते - बर्‍याचदा ही सिस्टम सर्व्हरवर असते, कधीकधी ती डिव्हाइसवर असते (सेलफोन, डेस्कटॉप, लॅपटॉप, टॅबलेट), कधीकधी ती बनते ब्राउझरमध्ये रहा. प्रिन्सिपल सिस्टमला क्रेडेन्शियल्स प्रदान करतात जी प्रणालीद्वारे काही प्रकारची ओळख प्रणाली (वापरकर्ता रेपॉजिटरी, फेडरेशन सर्व्हर किंवा इतरांसह) वापरुन अधिकृत केली जाणे आवश्यक आहे. क्रेडेन्शियल ही संवेदनशील माहिती असते जी क्लायंटला सकारात्मकपणे ओळखते आणि बर्‍याच फॉर्ममध्ये येऊ शकते:

  • युजरिड व पासवर्ड
  • डिजिटल स्वाक्षरी
  • X509v3 क्लायंट प्रमाणपत्र
  • पिन # + एक एफओबी, Google प्रमाणित किंवा तत्सम तंत्रज्ञानाद्वारे यादृच्छिक क्रमांक.

परिपूर्णतेसाठी, वापरकर्ता रेपॉजिटरीमध्ये वापरकर्ते (प्रिन्सिपल्स), त्यांची क्रेडेन्शियल्स, गट, गट सदस्यता आणि इतर वापरकर्ता विशेषतांबद्दल माहिती असते. एलडीएपी सर्व्हर किंवा Directक्टिव्ह डिरेक्टरी हे वापरकर्ता रेपॉजिटरीचे विशिष्ट उदाहरण आहे. या संकल्पनांचे अधिक तपशीलवार वर्णन येथे आढळू शकते. मी पूर्वीच्या पोस्टमध्ये फेडरेशन सर्व्हर आणि आइडेंटिटी प्रदाता परिभाषित केले होते.

सिंगल साइन ऑन

सिंगल साइन ऑन (एसएसओ) एका प्रमाणीकरण यंत्रणेचे वैशिष्ट्य आहे जे एकाधिक सेवा प्रदात्यावर प्रवेश प्रदान करण्यासाठी वापरकर्त्याच्या ओळखीशी संबंधित आहे. एसएसओ एकाच प्रमाणीकरण प्रक्रियेस (एकल ओळख प्रदाता, निर्देशिका सर्व्हर किंवा इतर प्रमाणीकरण यंत्रणाद्वारे व्यवस्थापित) एका संस्थेमध्ये किंवा एकाधिक संस्थांमध्ये एकाधिक सिस्टममध्ये (सेवा प्रदात्या) वापरण्याची परवानगी देतो. ती एकल प्रमाणीकरण यंत्रणा असू शकते:

  • एलडीएपी सर्व्हर, Activeक्टिव्ह डिरेक्टरी, डेटाबेस किंवा तत्सम डिरेक्टरी सर्व्हर
  • प्रमाणीकरणाच्या उद्देशाने अनुप्रयोगांकडे विश्वसनीय टोकन व्युत्पन्न आणि पास करणारी एक प्रणाली.
  • कधीकधी, एसएसओ हा शब्द संकेतशब्द व्यवस्थापकासह अनुप्रयोगांमध्ये साइन इन करण्यासाठी वर्णन करण्यासाठी केला जातो.
  • २०० Before पूर्वी, एसएसओचा अर्थ बहुविध प्रणालींमध्ये सामान्य प्रमाणपत्रेचा एक सामान्य संच वापरला गेला असावा (कदाचित काही प्रकारच्या एसिन्क्रोनस संकेतशब्द सिंक्रोनाइझेशन सिस्टमसह), परंतु ती प्रमाणपत्रे प्रत्येक स्वतंत्र सिस्टममध्ये लॉग इन करण्यासाठी वापरकर्त्याने प्रदान केली असती - इन काही संदर्भांमध्ये, ही अजूनही शक्यता आहे.
  • खाली वर्णन केल्यानुसार फेडरेशन.

सिंगल साइन ऑन (एसएसओ) सिस्टमद्वारे सामान्य लॉगिन क्रेडेंशियल्स प्रदान करण्यासाठी सहभागी असलेल्या कलाकारांची प्रमाणीकरण आणि तांत्रिक इंटरऑपरेबिलिटी यावर कार्य करते.

एकाधिक अनुप्रयोगांसाठी डिरेक्टरी सर्व्हर-आधारित एसएसओ सोल्यूशन खालील आकृतीसारखे दिसते.

सामान्य निर्देशिका सर्व्हरद्वारे एसएसओ

एसएसओचे आणखी एक उदाहरण म्हणजे एक आइडेंटिटी प्रोव्हाइडर (आयडीपी) वर विश्वास असलेल्या संस्थेमधील एन सर्व्हिस प्रोव्हाईडर (एसपी) हे असे काहीतरी दिसत आहे (हे प्रत्यक्षात ओळख महासंघ आहे, पुढचा विभाग पहा).

सिंगल आयडीपीवर विश्वास ठेवणारे एन एसपी

फेडरेशन

फेडरेटेड आइडेंटिटी मॅनेजमेंट हे आयएएमची एक उप-शाखा आहे, परंतु सामान्यत: समान टीम (टी) त्याला पाठिंबा देण्यात गुंतलेली असते. फेडरेशन हा एसएसओ चा एक प्रकार आहे जिथे कलाकार अनेक संस्था आणि सुरक्षा डोमेन विस्तृत करतात.

आमच्याकडे डब्ल्यूएस-फेडरेशन स्पेकवरून (फेडरेशन सक्षम करणार्‍या असंख्य एसएसओ प्रोटोकॉलपैकी एक), “फेडरेशनचे उद्दीष्ट प्रस्थापित धोरणांनुसार सुरक्षा मुख्य ओळख आणि विशेषता ट्रस्टच्या सीमांवर सामायिक करण्याची परवानगी देणे हे आहे.” हे त्याचे चांगले वर्णन आहे सर्वसाधारणपणे फेडरेशन; यामध्ये संपूर्ण विश्वासार्हता (सामान्यत: डिजिटल स्वाक्षरी, एनक्रिप्शन आणि पीकेआय द्वारे स्थापित केलेले) संस्थांमधील ओळख प्रदात्यांमधील वापरकर्ता ओळख आणि त्यांचे नकाशे व्यवस्थापित करण्यासाठी सामान्य मानक आणि प्रोटोकॉल समाविष्ट असतात. या संघटनांमध्ये अस्तित्त्वात असलेले विश्वस्तत्व हे फेडरेशन आहे; वापरकर्त्याची क्रेडेन्शियल्स प्रत्यक्षात कोठे संग्रहित केलेली आहेत आणि तृतीय-पक्ष विश्वासार्हता त्या क्रेडेंशियल्सना प्रत्यक्षात पाहिल्याशिवाय त्यास कसे प्रमाणित करतात याबद्दल संबंधित आहे.

महासंघ संबंध कित्येक भिन्न प्रोटोकॉलद्वारे साध्य करता येतो (परंतु मर्यादित नाही):

  • SAML1.1
  • एसएएमएल 2
  • डब्ल्यूएस-फेडरेशन
  • OAuth2
  • ओपनआयडी कनेक्ट
  • डब्ल्यूएस-ट्रस्ट
  • विविध मालकीचे प्रोटोकॉल

फेडरेशन अनेक फॉर्म घेऊ शकते. संस्थेमध्ये (विभाग, व्यवसाय एकके) नमुने असे दिसू शकतात:

  • एका आइडेंटिटी प्रोव्हाइडर (आयडीपी) वर विश्वास ठेवणार्‍या संस्थेमधील एन सर्व्हिस प्रोव्हाइडर्स (एसपी) - शेवटच्या विभागात आकृती पहा.
  • एकाच तृतीय-पक्ष आयडीपीवर विश्वास ठेवणार्‍या एकाधिक संस्थांमधील एन एसपी
एकाच तृतीय-पक्ष आयडीपीवर विश्वास ठेवणार्‍या एकाधिक संस्थांमधील एन एसपी
  • एका एसपी द्वारे विश्वासार्ह असलेल्या संस्थेमधील एन आयडीपी.
एका एसपी द्वारे विश्वासार्ह असलेल्या संस्थेमधील एन आयडीपी
  • एका आयडीपीवर विश्वास ठेवणार्‍या संस्थेमधील एन आयडीपी
एका आयडीपीवर विश्वास ठेवणार्‍या संस्थेमधील एन आयडीपी
  • एकाच आयपीपीवर विश्वास ठेवणार्‍या एकाधिक संस्थांमध्ये एन एसपी (त्यांना एपीआय प्रदाता कॉल करू या), ज्याचा नंतर सामान्य सिस्टमद्वारे विश्वास ठेवला जातो (जसे की एपीआय गेटवे)
एकाच आयडीपीवर विश्वास ठेवणार्‍या एकाधिक संस्थांमधील एन एसपी, ज्यावर सामान्य सिस्टमद्वारे (एपीआय गेटवे) विश्वास ठेवला जाईल
  • एन एसपी आणि एन आयडीपी यांच्यासह आइडेंटिटी ब्रोकर (दरम्यान संबंधांचे व्यवस्थापन)
एन एसपी आणि एन आयडीपीसह ओळख दलाल नमुना

२०१ and मध्ये आणि त्याही पलीकडे, सर्व अंतिम वापरकर्ता प्रमाणीकरणात एंटरप्राइझ स्पेसमधील सुप्रसिद्ध ओळख प्रदाता उत्पादनासह सिंगल साइन ऑन असणे आवश्यक आहे. सामान्यत: इतर संदर्भांमध्येही हेच आहे. त्याचप्रमाणे, एंटरप्राइझ स्पेसमध्ये, स्थानिक संस्थेच्या बाहेरील कलाकारांसह एसएसओमध्ये फेडरेशनचे संबंध गुंतले पाहिजेत. वेगवेगळ्या संस्थांमधील सिस्टममधील फेडरेशनच्या संबंधांचा वापर ज्यायोगे अर्थ प्राप्त होतो तितकाच वापरला पाहिजे.

प्रतिमा: सबवे ऑफ लाइफ 8/52 / डेनिस स्क्ले