Background Image
Previous Page  55 / 70 Next Page
Information
Show Menu
Previous Page 55 / 70 Next Page
Page Background

M

T

51

ORGANIZACIJA ZNANJA 2006, LETN. 11, ZV. 1–2

več ponudnikov identitete,

• temelji na odprtih standardih,

• podpirajo ga vse tehnologije,

• vključuje zavedanje o zakonih, ki veljajo v okviru

“identitete”,

• spoštuje zasebnost.

Vzemimo za primer Microsoftov Passport: pokazalo se je,

da je kot metasistem identitete neprimeren. Vendar pa je MS

Passport ponudnik identitet za MSN, ki vsebuje več kakor

250 milijonov uporabnikov in preko njega se izvede na dan

več kakor ena milijarda prijav. To pomeni, da je učinkovit.

Če uporabimo Passport za javni dostop do interneta, se takoj

opazi težava zaradi nezaupanja do tretjih uporabnikov, si-

stem ni več dovolj standarden, pojavijo se problemi z uprav-

ljanjem identitet (Ali dovoliti dostop do sistema za upravlja-

nje identitet?). Največji problem pa je predelava aplikacij, da

bi sploh lahko uporabljale takšen sistem.

MS Passport ne zagotavlja ideje o metasistemu identitet v

najmanj dveh zgoraj omenjenih točkah.

Vloge v metasistemu identitet:

• Ponudniki identitete: pooblaščene organizacije, vladne

organizacije ali morda tudi končni uporabniki, ki bi

dajali zahtevke za identiteto (ime, starost, naslov itd.)

• Zaupanja vredni partnerji, ki bi ponujali vstopne toč-

ke, online servise itd.

• Stranke (individualne osebe) ali pravni subjekti, ki bi

potrebovali identiteto.

Katera koli stranka v eni od vlog v metasistemu bi morala

biti seznanjena z nadzorom identitete, minimalnim raz-

kritjem identitete in omejeno uporabo ter opravičljivostjo

uporabe v različne namene. Posest identitet ne bi smela

predstavljati tveganja za razkritje uporabnikov, zato bi

morali uporabniki imeti nadzor nad pretokom informacij

o njihovih identitetah.

Predlagane rešitve naj bi zadovoljevale potrebe znotraj

podjetja, spremembe pa naj bi bile potrebne šele po pe-

tih ali sedmih letih. V praksi, kjer so običajno potrebne

takojšnje rešitve, bo potreba po upravljanju identitet za

daljše obdobje izpolnjena z upoštevanjem karakteristik

metasistema identitet.

V nadaljevanju je bil predstavljen Microsoftov sistem za

upravljanje identitet (MS Identity Management System).

To je skupek orodij, standardov in rešitev, ki zajema:

• Directory Services (Active Directory, ADAM, Exten-

ded Directory Services, PKI/CA, Services for Unix/

Netware),

• Access Management (AD Federation Services, Autho-

rization Manager; Ent. Single Sign On, ISA Server),

• Identity Lifecycle Management (Identity Integration

Server, BizTalk, Audit Collection Services, SQL Ser-

ver Reporting).

Microsoft je že pripravil rešitve po standardih in priporo-

čilih.

Upravljanje digitalne identitete, Rafal Lukawi-

ecki (Project Botticelli)

Predavanje o funkcionalnosti proizvoda Microsoft Iden-

tity Integration Server (MIIS) se je navezovalo na prvi

sklop predavanj o problemih digitalne identitete. Pred-

stavljeni so bili enostavnejši dizajn, integriranje v že

obstoječi sistem in upravljanje metapodatkov. Zadeva je

uporabna predvsem v primeru, ko imamo več sistemov

avtorizacije in avtentikacije. MIIS naj bi olajšal uprav-

ljanje uporabnikov v takih mešanih okoljih. Identiteti je

na enostaven način mogoče sinhronizirati med različnimi

sistemi. Vsebuje tudi sistem upravljanja z gesli (angl.

password management)

, ki je prijazen za uporabnika in

ne potrebuje administratorja.

Alternativni na~ini avtentikacije, Rafal Lukawi-

ecki (Project Botticelli)

Tretji del sklopa predavanj o krizi digitalnih identitet je

opisoval pristop k močnejši avtentikaciji na osnovi Public

Key Infrastructure (PKI), pametnih kartic (SmartCard),

žetonov (Tokens), One Time Password (OTP) in Secure-

ID ter uporabo biometričnih metod za avtentikacijo. Pred-

stavljene so bile prednosti in slabosti teh tehnologij.

PKI

To je infrastruktura za praktično uporabo kriptograf-

skih mehanizmov za avtentikacijo in avtorizacijo.

Sama tehnologija je precej stara in preizkušena,

vendar je preveč kompleksna za tipične uporabnike.

Temelji na uporabi certifikatov in protokolov, ki za-

gotavljajo najvišjo verodostojnost pri avtentikaciji.

Pri tej tehnologiji se med strankama ne prenašajo

“skrivnosti”, pa tudi noben neuporabljen podatek se

ne zavrže. Možnosti, da bi kdo prisluškoval, skoraj

ni. Za zaščito certifikata lahko uporabljamo posebno

napravo (angl. token) ali geslo.

SmartCard

To so posebne fizične naprave, ki ščitijo privatni

kriptografski ključ (podpis) pred nepooblaščenimi

uporabniki. Ključ je zaščiten s posebno avtentikaci-

jo. Naprava SmartCard v nobenem primeru ne sme

razkriti privatnega ključa.