Открыть сервис

Системы управления цифровыми идентификаторами

Система управления цифровыми идентификаторами (Identity and Access Management, IAM) — это совокупность политик, процессов, программных и аппаратных средств, предназначенных для создания, хранения, управления, проверки и отзыва цифровых идентификаторов субъектов (пользователей, устройств, сервисов) в информационных системах, а также для контроля их доступа к ресурсам в соответствии с заданными правилами. Основная цель IAM — обеспечение безопасности, целостности и конфиденциальности данных путём гарантии того, что только авторизованные субъекты могут выполнять определённые действия с конкретными объектами.

История

Предпосылки к возникновению систем управления идентификаторами появились в 1960-х годах с развитием многопользовательских операционных систем, таких как CTSS и Multics, где впервые была реализована аутентификация по паролю. Однако концепция централизованного управления идентификаторами оформилась в 1980-х годах с распространением корпоративных сетей и протокола LDAP (Lightweight Directory Access Protocol, 1993), который стал стандартом для хранения и поиска данных о пользователях в каталогах.

В 1990-х годах с ростом интернета возникла проблема «федерации идентичностей» — необходимости обмена данными между разными доменами безопасности. Это привело к созданию протоколов SAML (Security Assertion Markup Language, 2002) и OpenID (2005), а затем OAuth (2007) и OpenID Connect (2014). В 2010-х годах акцент сместился в сторону облачных IAM-решений (Identity as a Service, IDaaS) и управления идентификаторами для устройств Интернета вещей (IoT). В 2020-х годах ключевыми трендами стали Zero Trust (нулевое доверие), децентрализованные идентификаторы (DID) на основе блокчейна и биометрическая аутентификация.

Классификация

Системы управления цифровыми идентификаторами классифицируются по нескольким признакам.

По архитектуре

  • Централизованные: единый репозиторий (каталог) для всех идентификаторов и политик доступа. Примеры: Microsoft Active Directory, OpenLDAP. Характерны для корпоративных сетей.
  • Федеративные: объединяют несколько независимых доменов (организаций) через доверительные отношения, позволяя пользователям одного домена получать доступ к ресурсам другого без повторной аутентификации. Примеры: системы на основе SAML, OpenID Connect.
  • Децентрализованные (самостоятельные): идентификаторы не хранятся в едином центре, а управляются самим субъектом (например, с помощью криптографических ключей на устройстве). Основаны на технологии блокчейн или распределённых реестров. Примеры: Sovrin, uPort.

По функциональному назначению

  • Системы аутентификации: проверяют, является ли субъект тем, за кого себя выдаёт (пароли, биометрия, токены).
  • Системы авторизации: определяют, какие действия субъект может выполнять (ролевая модель RBAC, атрибутивная модель ABAC).
  • Системы управления учётными записями (User Provisioning): автоматизируют создание, изменение и удаление учётных записей в различных приложениях.
  • Системы управления привилегированным доступом (PAM): контролируют доступ к критически важным ресурсам для администраторов и сервисных аккаунтов.

Основные компоненты

Типовая система IAM включает следующие компоненты:

  • Репозиторий идентификаторов (Identity Store): база данных, хранящая атрибуты субъектов (логин, хеш пароля, ФИО, должность, группы). Часто реализуется на основе LDAP-каталога или реляционной СУБД.
  • Сервер аутентификации: проверяет подлинность учётных данных (например, пароля, сертификата, биометрического шаблона). Может поддерживать многофакторную аутентификацию (MFA).
  • Сервер авторизации: принимает решение о предоставлении доступа на основе политик безопасности (например, ролей, атрибутов, контекста).
  • Политика управления доступом (Policy Engine): набор правил, определяющих условия доступа (время, IP-адрес, устройство, уровень риска).
  • Интерфейсы интеграции: API (REST, SOAP), протоколы (LDAP, SAML, OAuth 2.0, RADIUS) для взаимодействия с приложениями и сервисами.
  • Аудит и мониторинг: журналы событий (логины, попытки доступа, изменения прав) для анализа инцидентов и соответствия требованиям регуляторов.

Применение

Системы управления цифровыми идентификаторами применяются в различных отраслях и сценариях:

  • Корпоративный сектор: управление доступом сотрудников к внутренним приложениям (ERP, CRM, почта), VPN, файловым серверам. Обеспечивает единый вход (Single Sign-On, SSO) и автоматическое отключение учётных записей уволенных сотрудников.
  • Государственные услуги: порталы «Госуслуги» (Россия), Gov.uk (Великобритания), ID.me (США). Используют федеративные идентификаторы для доступа к множеству ведомственных сервисов.
  • Финансовый сектор: аутентификация клиентов в интернет-банкинге, управление доступом к платёжным системам, соблюдение требований KYC (Know Your Customer) и AML (Anti-Money Laundering).
  • Здравоохранение: управление доступом врачей к электронным медицинским картам пациентов, идентификация пациентов в системах записи.
  • Образование: управление учётными записями студентов и преподавателей в LMS (Learning Management System), библиотечных системах, Wi-Fi.
  • Интернет вещей (IoT): идентификация и аутентификация устройств (датчиков, умных камер) для безопасного сбора данных и управления.

Технологии и протоколы

  • LDAP (Lightweight Directory Access Protocol): протокол для доступа к службам каталогов. Используется для хранения и поиска учётных записей.
  • SAML (Security Assertion Markup Language): XML-протокол для федеративного единого входа (SSO) между разными организациями.
  • OAuth 2.0: протокол делегирования доступа, позволяющий приложениям получать ограниченный доступ к ресурсам пользователя без передачи его пароля.
  • OpenID Connect: надстройка над OAuth 2.0, обеспечивающая аутентификацию пользователя и передачу его базовых атрибутов (identity layer).
  • SCIM (System for Cross-domain Identity Management): протокол для автоматического обмена данными об учётных записях между системами (например, между HR-системой и облачным приложением).
  • Kerberos: протокол сетевой аутентификации, использующий билеты для безопасного доступа к сервисам в домене Windows.
  • FIDO2/WebAuthn: стандарт для аутентификации без пароля с использованием криптографических ключей (например, USB-токенов или биометрии).

Безопасность и угрозы

Системы IAM являются критически важными для безопасности организации, так как их компрометация даёт злоумышленнику доступ ко всем ресурсам. Основные угрозы:

  • Атаки на пароли: перебор, фишинг, подбор по словарю.
  • Компрометация сессий: перехват токенов аутентификации (например, через XSS или CSRF).
  • Злоупотребление привилегиями: использование учётных записей администраторов для несанкционированных действий.
  • Атаки на протоколы: подделка SAML-утверждений, атаки на OAuth (например, путаница с контекстом).
  • Утечка данных из репозитория: кража хешей паролей или атрибутов пользователей.

Для защиты применяются многофакторная аутентификация, мониторинг аномалий, принцип минимальных привилегий (least privilege), регулярная ротация ключей и аудит конфигураций.

Регулирование в России

В Российской Федерации управление цифровыми идентификаторами регулируется рядом нормативных актов:

  • Федеральный закон № 152-ФЗ «О персональных данных» — устанавливает требования к обработке и хранению персональных данных, включая идентификаторы (ФИО, паспортные данные, биометрия).
  • Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации» — определяет правовые основы идентификации в информационных системах.
  • Федеральный закон № 63-ФЗ «Об электронной подписи» — регулирует использование усиленной квалифицированной электронной подписи (УКЭП) для идентификации юридических и физических лиц.
  • Приказ ФСТЭК России № 17 — требования к системам защиты информации, включая управление доступом и идентификацию.
  • Единая система идентификации и аутентификации (ЕСИА) — государственная инфраструктура, обеспечивающая доступ к порталу «Госуслуги» и другим ведомственным сервисам. Идентификация в ЕСИА может быть упрощённой, стандартной или подтверждённой (с использованием паспорта и СНИЛС).
  • Биометрическая идентификация — регулируется Федеральным законом № 572-ФЗ, который вводит Единую биометрическую систему (ЕБС) для удалённой идентификации граждан в банках и других организациях.

Примеры систем

  • Microsoft Entra ID (ранее Azure Active Directory): облачный IAM-сервис от Microsoft, поддерживающий SSO, MFA, условный доступ и интеграцию с тысячами приложений.
  • Okta: облачная платформа IDaaS, предоставляющая управление идентификаторами, аутентификацию и API-безопасность.
  • Keycloak: open-source система управления идентификаторами и доступом (IAM), поддерживающая SAML, OAuth 2.0, OpenID Connect и LDAP.
  • FreeIPA: открытая интегрированная система управления идентификаторами и политиками (Identity, Policy, Audit) для Linux-сред, объединяющая LDAP, Kerberos, DNS и PKI.
  • 1С-Битрикс: Корпоративный портал: включает модуль управления доступом на основе ролей и интеграцию с LDAP/Active Directory.

Критика и ограничения

  • Сложность внедрения: крупные IAM-системы требуют значительных ресурсов на настройку, интеграцию с legacy-приложениями и обучение персонала.
  • Единая точка отказа: централизованные системы могут стать целью атак, а их отказ блокирует доступ ко всем ресурсам.
  • Проблемы конфиденциальности: сбор и хранение большого объёма атрибутов пользователей (включая биометрию) создаёт риски утечки и злоупотребления.
  • Несовместимость стандартов: разные протоколы (SAML, OAuth, LDAP) могут плохо интегрироваться друг с другом, особенно в гетерогенных средах.
  • Зависимость от провайдера: при использовании облачных IDaaS-решений организация теряет контроль над частью инфраструктуры.

Источники

  1. Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ.
  2. Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ.
  3. Федеральный закон «Об электронной подписи» от 06.04.2011 № 63-ФЗ.
  4. Федеральный закон «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных» от 29.12.2022 № 572-ФЗ.
  5. Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
  6. RFC 4511 — Lightweight Directory Access Protocol (LDAP): The Protocol.
  7. OASIS Standard — Security Assertion Markup Language (SAML) v2.0.
  8. RFC 6749 — The OAuth 2.0 Authorization Framework.
  9. OpenID Connect Core 1.0 Specification.
  10. RFC 7644 — System for Cross-domain Identity Management (SCIM) v2.0.
  11. FIDO Alliance — FIDO2/WebAuthn Specification.
  12. Документация Microsoft Entra ID (Azure AD).
  13. Документация Keycloak.
  14. Материалы портала «Госуслуги» (ЕСИА).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →