X
GO

Blogu

Kërko Blog

MENAXHIMI I IDENTITETIT TË FEDERALIZUAR

  • 5 korrik 2019
  • Autori: Ragip Avdijaj
  • Numri i shikimeve: 175
  • 0 Komentet
MENAXHIMI I IDENTITETIT TË FEDERALIZUAR

Menaxhimi i identitetit të federalizuar[i] është një marrëveshje që mund të bëhet në mes të dy apo më shumë domeneve (ndërmarrjeve), për të lejuar abonentët e të dyja palëve t’u qasen resurseve që ndodhen në rrjetat e tyre duke përdorur të dhënat e njëjta digjitale. Një identifikim i tillë njihet si identitet i federalizuar dhe përdorimi i një zgjidhjeje të këtillë njihet si federalizim identiteti.

Menaxhimi i identitetit të federalizuar është ndërtuar mbi bazën e besimit mes dy apo shumë domeneve. P.sh. një domen i besuar mund të jetë një organizatë partnere, një njësi biznesi, një biznes vartës, etj.

Qëllimi kryesor i menaxhimit të identitetit të federalizuar është t`i lejojë shfrytëzuesit e regjistruar të një domeni të caktuar të kenë qasje në të dhënat e domeneve të tjerë në një mënyrë më të lehtë pa pasur nevojë të ofrojë informata administrative shtesë.

Identiteti i Federalizuar e lidhë identitetin e një shfrytëzuesi me disa domene të ndryshme të sigurisë, ku secili domen mbështetet në sistemin e vet të menaxhimit të identiteteve. Kur dy domene janë të federalizuara, shfrytëzuesi mund të autentikohet në njërin domen e pastaj t'i qaset burimeve në domenin tjetër pa pasur nevojë të kryejë një proces tjetër identifikimi.

Federalizimi i identitetit ofron avantazhe ekonomike, si dhe lehtësi për ndërmarrjet dhe për abonentët e rrjeteve të tyre. Për shembull, korporatat e shumta mund të ndajnë një aplikacion të vetëm, duke rezultuar në kursimin e kostos dhe konsolidimin e burimeve.

Single Sign-on (SSO)[ii] është një komponentë e rëndësishme e federalizimit të identitetit, mirëpo nuk është e njëjtë me vet federalizimin e identitetit.

Federalizimi i identitetit aplikohet në një numër të madh të rasteve në relacionin person-person, person-aplikacion dhe aplikacion-aplikacion si në nivel të shfletuesit, po ashtu edhe në arkitekturën e orientuar në shërbime.

Mesazhet e autorizimit në mes të partnerëve në një sistem të menaxhimit të identitetit të federalizuar mund të transmetohen duke përdorur Security Assertion Markup Language (SAML) apo një standard të ngjashëm XML që i mundëson një shfrytëzuesi të kyçet një herë dhe të ketë qasje në rrjeta apo ueb-faqe të ndryshme. SAML, aty për aty, mund të dallojë nëse një shfrytëzues i mundshëm është një person apo një makinë e po ashtu përcakton qasjen që mund të ketë një person apo makinë.

Shembuj të sistemeve FIM përfshijnë OpenID dhe OAuth, si dhe Shibboleth, i cili bazohet në OASIS SAML.

SI FUNKSIONON MENAXHIMI I IDENTITETIT TË FEDERALIZUAR?

Në një skemë të menaxhimit të identitetit të federalizuar, kredencialet ruhen tek ofruesi i shërbimit të identitetit të shfrytëzuesit – që zakonisht është organizata në të cilën punon shfrytëzuesi. Pastaj, kur një shfrytëzues kyçet në një shërbim, që mund të jetë një aplikacion si shërbim, ai nuk ka nevojë të sigurojë kredencialet tek ofruesi i shërbimit: Ofruesi i shërbimit i beson ofruesit të identitetit duke vërtetuar kredencialet e shfrytëzuesit. Rrjedhimisht, shfrytëzuesi duhet të sigurojë vetëm kredencialet e tij/saj drejtpërdrejtë te ofruesi i identitetit, i cili në përgjithësi është vet domeni i kompanisë ku punon shfrytëzuesi.

Tek federalizimi i identitetit, shfrytëzuesi autentikohet një herë përmes domenit të kompanisë së tij; kur ky shfrytëzues inicion sesione në domenet e tjera të sigurisë, ato fusha i besojnë domenit të kompanisë së shfrytëzuesit për të autentikuar atë shfrytëzues.

Mënyra se si funksionon menaxhimi i identitetit të federalizuar:

  • Shfrytëzuesi kyçet në rrjetin e kompanisë së tij, duke u legalizuar përmes domenit të sigurisë të kompanisë ku punon.
  • Pasi të jetë vërtetuar në domenin e kompanisë, shfrytëzuesi fillon një përpjekje për t'u identifikuar në një aplikacion në distancë (në një domen tjetër) që përdor federalizimin e identitetit.
  • Në vend të autentikimit të drejtpërdrejtë me aplikacionin në distancë, aplikacioni kërkon autentikimin e shfrytëzuesit nga serveri i legalizimit të kompanisë së tij.
  • Serveri për autentikim në kompaninë e shfrytëzuesit e autorizon shfrytëzuesin në aplikacionin e largët (në domenin tjetër) dhe shfrytëzuesi lejohet t’i qaset aplikacionit.

Shfrytëzuesi ka nevojë të autentikohet vetëm një herë në domenin e kompanisë ku punon; aplikacionet e largëta në domenet e tjera të sigurisë që kanë rënë dakord të bashkëpunojnë, janë në gjendje t’i japin qasje shfrytëzuesit pa kërkuar proces shtesë të identifikimit.

Menaxhimi i identitetit të federalizuar u mundëson kompanive të ndajnë aplikacionet, pa pasur nevojë të adoptojnë teknologjitë për autentikim, shërbimet e direktoriumit[iii] dhe sigurinë. Një nga përparësitë më të mëdha të menaxhimit të identitetit të federalizuar është se u lejon kompanive të kenë direktoriumet e tyre të veçanta e njëkohësisht të shkëmbejnë të dhëna në mënyrë të sigurt. Përdorimi i  standardeve të identitetit të federalizuar mund të ndihmoi kompanitë në zvogëlimin e kostove duke eliminuar nevojën të zhvillojnë zgjidhje private. Po ashtu kontribuon drejt përmirësimit të privatësisë duke kontrolluar vazhdimisht qasjen e shfrytëzueseve në të dhënat që janë të ndara. Përvoja e shfrytëzueseve mund të përmirësohet gjithashtu duke eliminuar nevojën për regjistrim të llogarive të reja.

PËRFITIMET E MENAXHIMIT TË IDENTITETIT TË FEDERALIZUAR

Federalizimi i Identitetit jep përfitime ekonomike, si dhe lehtësi për kompanitë dhe shfrytëzuesit e tyre.

Organizatat që punojnë së bashku në një projekt të caktuar mund të formojnë një federatë identiteti në mënyrë që të gjithë shfrytëzuesit e tyre të mund të qasen lehtë dhe të ndajnë burimet e tyre gjatë kohës së bashkëpunimit. Duke bërë kështu, shfrytëzuesit autentikohen vetëm një herë për të hyrë në burimet në të gjithë domenet, ndërkohë që administratorët e secilës organizatë mund të kontrollojnë nivelin e qasjes në domenet e tyre. Kjo qasje mund të kursejë para, si dhe të konsolidojë resurset.

Përveç kësaj, federalizimi i identitetit synon të largojë pengesat që ndalojnë shfrytëzuesit nga qasja në burimet që u nevojiten kur kanë nevojë për to në mënyrë të sigurt dhe të lehtë. Shfrytëzuesit e sistemeve në federalizimin e identitetit nuk kanë nevojë të krijojnë llogari të reja për secilin domen, që do të thotë se ata mund të qasen në mënyrë të sigurt në sisteme në domene të ndryshme pa u nevojitur të mbajnë mend kredencialet për të gjithë ato domene. Shfrytëzuesit nuk kanë nevojë të ri-shënojnë kredencialet e tyre, derisa lëvizin nga një domen në tjetrin.

Përveç kësaj, me federalizimin e identitetit, administratorët mund të shmangin disa nga problemet që lindin me balancimin e qasjes në shumë fusha, siç është zhvillimi i një sistemi specifik për ta bërë të lehtë qasjen në burimet e një organizate të jashtme.

Federalizimi i identitetit gjithashtu mund të jetë i dobishëm kur administron aplikacione që kanë nevojë për qasje në burime e në fusha të shumta të sigurisë.

DALLIMET MES FIM DHE SSO

Megjithëse sistemet e menaxhimit të identitetit të federalizuar i sigurojnë shfrytëzuesit e tyre me një formë të “single sing-on” (SSO)[iv], menaxhimi i identitetit të federalizuar dhe SSO nuk janë të njëjta. SSO kryesisht u mundëson shfrytëzuesve qasjen në shumë sisteme brenda një organizate duke shfrytëzuar një grup të vetëm kredencialesh për qasje.

Megjithëse menaxhimi i identitetit të federalizuar u mundëson shfrytëzuesve “single sign-on”, organizatat të cilat implementojnë SSO, jo domosdoshmërisht përdorin menaxhimin e identitetit të federalizuar. Identiteti i federalizuar, në anën tjetër, varet në masë të madhe nga teknologjia SSO për autentikimin e shfrytëzuesve nëpër domene.

SSO u mundëson shfrytëzuesve autentikimin dhe qasjen në shumë shërbime me një hyrje të vetme. SSO bazohet në token, që do të thotë që secili shfrytëzues identifikohet përmes një tokeni e jo përmes një fjalëkalimi.

Menaxhimi i identitetit të federalizuar është marrëveshje e lidhur mes ndërmarrjes që u mundëson abonentëve përdorimin e informatave të njëjta identifikuese për t’iu qasur aplikacioneve, programeve dhe rrjetave të të gjithë anëtarëve të grupit.

Derisa SSO lejon qasje në sisteme të ndryshme brenda një organizate përmes kredencialeve të vetme për autentikim, një sistem i menaxhimit të identitetit të federalizuar mundëson qasje në një numër sistemesh mes organizatave të ndryshme përmes qasjes me një hap të vetëm. Prandaj, shfrytëzuesit nuk i shënojnë kredencialet e tyre drejtpërdrejtë në një ueb-aplikacion por i shënojnë ato drejtpërdrejtë në vet sistemin e menaxhimit të identitetit të federalizuar.

 

 

[i] Federated Identity Management – FIM

[ii] Single sign-on (SSO) është një proces i autentikimit që mundëson qasje në shumë aplikacione me vetëm një vërtetim të identitetit të një shfrytëzuesi.

[iii] Directory Services – janë shërbime të cilat identifikojnë çdo resurs si e-mail adresa, pajisjet periferike dhe kompjuterët në rrjetë duke i bërë ato të qasshme për shfrytëzuesit dhe për aplikacionet. Dy nga këto shërbime më të njohura janë: Lightweight Directory Access Protocol (LDAP) që përdorët tek e-mail adresat dhe Netware directory service, që përdoret në rrjetat Novell Netware.

 

Print

x

Kërko Blog

Më të shikuarat