M
T
51
ORGANIZACIJA ZNANJA 2006, LETN. 11, ZV. 1–2
več ponudnikov identitete,
• temelji na odprtih standardih,
• podpirajo ga vse tehnologije,
• vključuje zavedanje o zakonih, ki veljajo v okviru
“identitete”,
• spoštuje zasebnost.
Vzemimo za primer Microsoftov Passport: pokazalo se je,
da je kot metasistem identitete neprimeren. Vendar pa je MS
Passport ponudnik identitet za MSN, ki vsebuje več kakor
250 milijonov uporabnikov in preko njega se izvede na dan
več kakor ena milijarda prijav. To pomeni, da je učinkovit.
Če uporabimo Passport za javni dostop do interneta, se takoj
opazi težava zaradi nezaupanja do tretjih uporabnikov, si-
stem ni več dovolj standarden, pojavijo se problemi z uprav-
ljanjem identitet (Ali dovoliti dostop do sistema za upravlja-
nje identitet?). Največji problem pa je predelava aplikacij, da
bi sploh lahko uporabljale takšen sistem.
MS Passport ne zagotavlja ideje o metasistemu identitet v
najmanj dveh zgoraj omenjenih točkah.
Vloge v metasistemu identitet:
• Ponudniki identitete: pooblaščene organizacije, vladne
organizacije ali morda tudi končni uporabniki, ki bi
dajali zahtevke za identiteto (ime, starost, naslov itd.)
• Zaupanja vredni partnerji, ki bi ponujali vstopne toč-
ke, online servise itd.
• Stranke (individualne osebe) ali pravni subjekti, ki bi
potrebovali identiteto.
Katera koli stranka v eni od vlog v metasistemu bi morala
biti seznanjena z nadzorom identitete, minimalnim raz-
kritjem identitete in omejeno uporabo ter opravičljivostjo
uporabe v različne namene. Posest identitet ne bi smela
predstavljati tveganja za razkritje uporabnikov, zato bi
morali uporabniki imeti nadzor nad pretokom informacij
o njihovih identitetah.
Predlagane rešitve naj bi zadovoljevale potrebe znotraj
podjetja, spremembe pa naj bi bile potrebne šele po pe-
tih ali sedmih letih. V praksi, kjer so običajno potrebne
takojšnje rešitve, bo potreba po upravljanju identitet za
daljše obdobje izpolnjena z upoštevanjem karakteristik
metasistema identitet.
V nadaljevanju je bil predstavljen Microsoftov sistem za
upravljanje identitet (MS Identity Management System).
To je skupek orodij, standardov in rešitev, ki zajema:
• Directory Services (Active Directory, ADAM, Exten-
ded Directory Services, PKI/CA, Services for Unix/
Netware),
• Access Management (AD Federation Services, Autho-
rization Manager; Ent. Single Sign On, ISA Server),
• Identity Lifecycle Management (Identity Integration
Server, BizTalk, Audit Collection Services, SQL Ser-
ver Reporting).
Microsoft je že pripravil rešitve po standardih in priporo-
čilih.
Upravljanje digitalne identitete, Rafal Lukawi-
ecki (Project Botticelli)
Predavanje o funkcionalnosti proizvoda Microsoft Iden-
tity Integration Server (MIIS) se je navezovalo na prvi
sklop predavanj o problemih digitalne identitete. Pred-
stavljeni so bili enostavnejši dizajn, integriranje v že
obstoječi sistem in upravljanje metapodatkov. Zadeva je
uporabna predvsem v primeru, ko imamo več sistemov
avtorizacije in avtentikacije. MIIS naj bi olajšal uprav-
ljanje uporabnikov v takih mešanih okoljih. Identiteti je
na enostaven način mogoče sinhronizirati med različnimi
sistemi. Vsebuje tudi sistem upravljanja z gesli (angl.
password management)
, ki je prijazen za uporabnika in
ne potrebuje administratorja.
Alternativni na~ini avtentikacije, Rafal Lukawi-
ecki (Project Botticelli)
Tretji del sklopa predavanj o krizi digitalnih identitet je
opisoval pristop k močnejši avtentikaciji na osnovi Public
Key Infrastructure (PKI), pametnih kartic (SmartCard),
žetonov (Tokens), One Time Password (OTP) in Secure-
ID ter uporabo biometričnih metod za avtentikacijo. Pred-
stavljene so bile prednosti in slabosti teh tehnologij.
•
PKI
To je infrastruktura za praktično uporabo kriptograf-
skih mehanizmov za avtentikacijo in avtorizacijo.
Sama tehnologija je precej stara in preizkušena,
vendar je preveč kompleksna za tipične uporabnike.
Temelji na uporabi certifikatov in protokolov, ki za-
gotavljajo najvišjo verodostojnost pri avtentikaciji.
Pri tej tehnologiji se med strankama ne prenašajo
“skrivnosti”, pa tudi noben neuporabljen podatek se
ne zavrže. Možnosti, da bi kdo prisluškoval, skoraj
ni. Za zaščito certifikata lahko uporabljamo posebno
napravo (angl. token) ali geslo.
•
SmartCard
To so posebne fizične naprave, ki ščitijo privatni
kriptografski ključ (podpis) pred nepooblaščenimi
uporabniki. Ključ je zaščiten s posebno avtentikaci-
jo. Naprava SmartCard v nobenem primeru ne sme
razkriti privatnega ključa.