Среди многочисленных аспектов создания и поддержки информационных систем предприятий сегодня на передний план выходят вопросы управления идентификацией и доступом пользователей (Identity&Access Management, IAM) к различным информационным ресурсам. В общем случае ситуация выглядит примерно так: при обращении к любому сетевому приложению или сервису пользователи должны проходить удостоверяющую проверку, по результатам которой в числе прочего определяется набор доступных им прав.

Вполне понятно, что использование локальных механизмов идентификации (аутентификация, авторизация, аудит и т. д.) для каждого сервиса снижает эффективность всей ИТ-инфраструктуры предприятия и создает проблемы как пользователям, так и техническому персоналу. Среди таких проблем можно назвать неоправданно высокую стоимость и сложность администрирования, большую вероятность ошибок при синхронизации информации о пользователях, многочисленные уязвимости в системе безопасности из-за проблем синхронизации прав доступа. Более того, на самом деле задачи IAM еще сложнее, поскольку они должны учитывать такие факторы, как корпоративная политика безопасности, территориальная распределенность, государственное регулирование и требования конфиденциальности.

Вполне очевидно, что принципиальное обеспечение задач IAM должно выполняться на уровне инфраструктурных решений, что исключит необходимость в локальной поддержке информации о каждом пользователе и даст возможность централизованно управлять политиками безопасности для каждого отдельного приложения или системы.

Рост актуальности вопросов IAM виден на примере того, какое внимание им уделяют ведущие поставщики инфраструктурных решений. За последние два года отчетливо прослеживаются качественные изменения в подходах к решению подобных задач: если раньше функции IAM выполняли отдельные специализированные продукты, то теперь эти механизмы реализуются на уровне платформ. Более того, именно IAM-технологии начинают играть ключевую (а не вспомогательную) роль при решении интеграционных задач. Такое изменение позиционирования IAM в общем комплексе вопросов создания и поддержки корпоративных систем хорошо видно на примере реализации концепции SOA (сервис-ориентированной архитектуры), для которой IAM — это как раз один из ключевых, базовых компонентов.

В данной статье мы кратко рассмотрим предложения в сфере IAM от ведущих мировых производителей ПО: IBM, Microsoft, Oracle и Sun Microsystems.

Решения IBM для обеспечения безопасности

Корпорация IBM (http://www.ibm.com) предлагает широкий спектр продуктов и решений для управления безопасностью. Они позволяют контролировать, адаптировать и администрировать ресурсы и процессы для защиты информационных систем и одновременно обеспечивать соответствие постоянно меняющимся потребностям бизнеса компании. В состав решений для управления безопасностью входят следующие продукты из семейства IBM Tivoli (рис. 1): Identity Manager, Federated Identity Manager, Access Manager for Enterprise Single Sign-On, Security Access Manager for e-business, Access Manager for Business Integration, Access Manager for Operating Systems, Compliance Manager, Directory Integrator, Directory Server, Privacy Manager и Risk Manager. Ниже мы подробнее рассмотрим три из них, на которые возложены основные функции управления идентификацией и доступом пользователей.

Рис. 1. Компоненты системы безопасности на базе продуктов IBM Tivoli.

Identity Manager

IBM Tivoli Identity Manager обеспечивает централизацию и автоматизацию процедур создания, изменения и удаления учетных записей и управления идентификационными данными пользователей (рис. 2). Это решение выполняет следующие основные функции:

  • проверка применимости каждой учетной записи пользователя для каждого ресурса;
  • определение конфигурации прав доступа пользователя для каждого ресурса и соответствующая реакция на изменения;
  • предоставление пользователям доступа к необходимым ресурсам.

Рис. 2. Схема работы IBM Tivoli Identity Manager.

Для выполнения этих функций в Identity Manager реализованы следующие инструменты и средства:

  • интуитивно понятный Web-интерфейс администрирования;
  • сложная модель администрирования на основе ролей, которая позволяет делегировать административные полномочия;
  • Web-интерфейсы самообслуживания и запросов/ответов;
  • встроенный механизм документооборота для автоматической отправки пользовательских запросов на утверждение, а утвержденных запросов — на выполнение;
  • встроенный механизм автоматизации выполнения административных запросов;
  • набор инструментов для управления приложениями, который расширяет модель управления, включая в нее вновь появляющиеся среды и среды специального назначения.

Tivoli Identity Manager помогает централизовать определение пользователей и предоставление им услуг в масштабе всего предприятия, включая корпоративные политики, на основе которых реализуются подобные процессы управления. Это снижает уровень непоследовательности и ошибок при определении и реализации политик управления пользователями и контроля доступа по сравнению с ситуацией, когда приходится работать с несколькими консолями и интерфейсами. Единая консоль упрощает для администратора процесс управления средой в ходе развертывания новых бизнес-инициатив и распространения стратегически важных приложений, систем и процессов на экстрасеть.

Администратор может объединять пользователей в группы в соответствии с потребностями бизнеса и при необходимости делегировать определенные функции управления (право добавлять, удалять, изменять, просматривать учетные записи пользователей и сбрасывать пароли) другим организациям и подразделениям. Последние, имеющие те или иные полномочия, за счет политик на основе задач могут видеть только то, к чему им предоставлен доступ.

Важную роль играют также средства автоматизации административных процессов, в том числе при внедрении соглашений об уровне обслуживания (SLA). Используя интерфейсы самообслуживания, пользователи могут сами сбрасывать пароли и выполнять синхронизацию паролей, а также модифицировать набор настраиваемых администратором индивидуальных атрибутов при помощи браузера.

Tivoli Identity Manager представляет собой часть программного пакета Tivoli Enterprise, который объединяет программные продукты для управления корпоративными клиент-серверными средами. Он поддерживает интеграцию с IBM Tivoli Access Manager (для электронного бизнеса) и IBM Tivoli Risk Manager (для оценки риска и управления событиями). ПО Identity Manager работает с такими средами и приложениями, как IBM AIX, IBM OS/400, Microsoft Windows 2000/Active Directory, Microsoft Windows NT, Novell NetWare, Sun Solaris, Oracle, IBM OS/2, HP-UX, Red Hat Linux, IBM RACF, Lotus Notes, LDAP V3 Compliant Directory Servers, SAP R/3, IBM Tivoli Access Manager for e-business, с другими приложениями (при помощи Application Management Toolkit), с базами данных управления персоналом (при помощи саморегистрации CLI).

Federated Identity Manager

IBM Tivoli Federated Identity Manager (FIM) позволяет организациям взаимодействовать между собой в защищенном режиме. Данное решение реализует простую, слабосвязанную модель управления идентификацией пользователей и доступом к ресурсам, размещенным в нескольких компаниях или защищенных зонах. Например, в случае двух взаимодействующих компаний решение FIM не реплицирует структуры управления идентификацией и безопасностью обеих организаций, а предоставляет простую модель для единого управления идентификацией и обеспечивает доступ к информации и сервисам на основе доверительных отношений между ними. Компаниям, применяющим SOA и Web-сервисы, решение FIM обеспечивает основанное на правилах единое управление безопасностью для федеративных Web-сервисов.

Основа FIM — доверительные отношения, целостность и конфиденциальность данных. Это дает организациям возможность совместно использовать идентификационные данные и правила доступа пользователей к сервисам, не дублируя локальные идентификационные данные и правила безопасности. Совместное использование идентификаторов и правил безопасности в рамках «федерации» (объединения партнеров на условиях взаимного доверия) — ключевое условие для предоставления сотрудникам расширенных возможностей перемещения между несколькими объединенными сайтами этой федерации. Доверительные отношения позволяют компаниям реализовать нежесткое объединение применяемых в каждой компании систем управления идентификацией пользователей.

Компаниям, собирающимся реализовать межкорпоративные бизнес-процессы с идентификацией доступа, будут полезны следующие возможности FIM:

  • упрощение интеграции между сайтами компании и ее партнеров, включая управление сессиями;
  • улучшение соответствия бизнес-требованиям за счет ослабления угроз безопасности;
  • расширение возможностей пользователей благодаря технологии централизованного входа в систему (SSO);
  • упрощение администрирования безопасности в межкорпоративных бизнес-процессах на основе «сервисов безопасности»;
  • интегрированное управление безопасностью на основе правил для Web-сервисов в SOA-среде;
  • поддержка открытых стандартов и спецификаций, включая LAP, SAML, WS-Federation, WS-Security и WS-Trust.

Access Manager for Enterprise Single Sign-On

IBM Tivoli Access Manager for Enterprise Single Sign-On (AMESOS) — корпоративное решение для централизованной регистрации в системе на основе технологии Passlogix, составляющее неотъемлемую часть портфеля продуктов IBM для управления идентификацией пользователей. Данное ПО предоставляет возможность простой аутентификации для приложений на основе Microsoft Windows, Web, Java, Unix, Telnet, приложений, разработанных на предприятии и хостовых приложений для мэйнфреймов. Оно работает совместно с продуктами IBM Tivoli Access Manager for e-business и IBM Tivoli Identity Manager, формируя мощное решение, упрощающее управление паролями в масштабе организации.

AMESOS поддерживает различные способы аутентификации пользователя — от паролей до смарт-карт и биометрических сенсоров и может хранить учетные данные пользователя и его собственные системные параметры и политики в любом каталоге LDAP или в одной из нескольких баз данных. Централизованная консоль упрощает решение административных задач, автоматически распознавая и конфигурируя приложения для централизованного входа в систему с минимальными усилиями со стороны администратора. Для пользователей на предприятии существует единый централизованный вход в систему при наличии или отсутствии подключения к корпоративной сети, при смене компьютеров или при совместном использовании информационного киоска несколькими сотрудниками.

Управление сетевой идентификацией от Sun

Sun Microsystems (http://www.sun.com) предлагает полный набор средств управления сетевой идентификацией в сложной среде современного предприятия, включая управление службами каталогов, управление доступом, предоставление ресурсов и поддержку работы в федеративной среде. В целом программная платформа Identity Management характеризуется следующими основными функциональными и технологическими возможностями:

  • масштабируемое до десятков миллионов записей и высокодоступное (99,999%) за счет репликации хранилище информации о пользователях на базе стандартов LDAP;
  • основанный на открытых стандартах JAAS/SPML/SAML сервер управления доступом, обеспечивающий единую точку проверки прав доступа для всех сетевых приложений заказчика — за счет этого можно централизовать управление доступом и предоставить пользователям удобную функцию однократной аутентификации (single sign-on);
  • серверная поддержка практически всех стандартных механизмов аутентификации — LDAP, SmartCard Microsoft Windows/Kerberos/SPNEGO, MSISDN, Radius, RSA SecureID, SafeWord, SAML и т. д. Платформа поставляется вместе с готовыми агентами для большинства существующих корпоративных приложений производства Sun, Microsoft, SAP, Oracle, Siebel, PeopleSoft, IBM (Lotus и WebSphere), BEA и т. д.;
  • центральная консоль управления политикой информационной безопасности компании, включая средства управления ролевым доступом. Консоль позволяет из единой точки, доступной уполномоченным администраторам через браузер, управлять всем жизненным циклом информации о пользователях (заведение, изменение и удаление). Процесс внесения изменений в реестры пользователей различных приложений полностью автоматизирован;
  • автоматическая синхронизация информации о пользователях между реестрами различных приложений и ОС;
  • создание доверительных отношений между организациями-партнерами на основе спецификаций Liberty Alliance (ID-WSF) и SAML 1.1;
  • возможности делегирования полномочий администрирования пользователей на уровень департамента, отдела и т. д.;
  • синхронизация паролей между различными приложениями и автоматическое восстановление пароля в случае его утери пользователем;
  • инструменты создания отчетов и аудита политики безопасности в реальном масштабе времени;
  • средства интеграции с другими системами безопасности, например, с системами контроля за доступом в здания и помещения.

Программный комплекс Identity Management — это составная часть семейства Sun Java System; в него входят следующие основные продукты.

Identity Manager

Identity Manager — это решение для безопасного конфигурирования пользователей и синхронизации данных, не влияющее на работу системы (рис. 3). Возможности автоматизации и делегирования полномочий в Identity Manager позволяют сократить затраты времени и средств, связанных с заведением новых пользователей для начала продуктивной работы, а также предоставляют способ быстрой деактивации доступа тогда, когда отношения между работником и компанией изменились или завершились, — в целях повышения безопасности предприятия.

Кроме того, в продукте есть функциональность, с помощью которой пользователи могут самостоятельно управлять своими паролями, что сокращает расходы, связанные с технической поддержкой.

Рис. 3. Архитектура Sun Java System Identity Manager.

Access Manager

Access Manager обеспечивает децентрализованную аутентификацию и авторизацию в масштабах внутренних и внешних компьютерных доменов, проверяя наличие у пользователей надлежащих полномочий в зависимости от ценности защищаемых ресурсов. Данное решение следит за тем, чтобы авторизованные пользователи имели доступ к конкретным ресурсам, и одновременно защищает их от неавторизованных пользователей. Система предоставляет возможность однократного входа в систему и упрощенной навигации по корпоративным Web-приложениям, а также позволяет проводить аудит всех относящихся к доступу событий, включая попытки аутентификации, авторизации и сделанные изменения, обеспечивая соблюдение требований регулирующих органов.

Directory Server Enterprise Edition

Продукт предлагает безопасные, высокодоступные и масштабируемые услуги каталогов для хранения и управления данными идентификации. Система служит основой для инфраструктуры управления сетевой идентификацией и обеспечивает доступ к непротиворечивым, точным и надежным данным идентификации для критически важных приложений на современном предприятии, а также для крупномасштабных приложений для сетей экстранет, существенно повышая эффективность работы и рентабельность предприятия. Продукт эффективно интегрируется в многоплатформенную среду и предлагает безопасную синхронизацию паролей с Microsoft Windows Active Directory, доступную по требованию.

Federation Manager

Решение Federation Manager расширяет возможность использования федеративной модели при работе с огромным числом внешних контрагентов. Оно позволяет подключить к системе широкий спектр сервис-провайдеров как часть архитектуры "звезды" (hub-and-spoke architecture). Продукт предлагает защищенные федеративные службы для взаимодействия партнеров в виде ключевой инфраструктуры обеспечения безопасности и идентификации от одного провайдера-концентратора. Поскольку данный механизм позволяет создавать доверительные домены в рамках широкого круга локальных сетей, Federation Manager может формировать механизмы защиты приложений в виде повторно используемых компонентов, за счет чего различные решения поддержки аутентификации и доступа способны работать совместно в различных средах.

Отдельно следует сказать о технологии Java Card (http://java.sun.com/products/javacard), которая позволяет создавать смарт-карты и другие устройства с весьма ограниченным объемом памяти, для запуска Java-апплетов. Эта технология предоставляет производителям такого оборудования защищенную и интероперабельную исполняемую инфраструктуру для поддержки в одном устройстве нескольких различных приложений. Она дает разработчикам возможность быстро и безопасно создавать, тестировать и развертывать приложения и сервисы и совместима с существующими отраслевыми стандартами для смарт-карт. Java Card представлена сейчас версией 2.2.2 и доступна в виде описания спецификаций Platform Specification и набора Java Card Development Kit.

Семейство продуктов Oracle для управления доступом

В IAM-семейство продуктов корпорации Oracle (http://www.oracle.com) входит набор программных средств, с помощью которых решается весь комплекс задач управления идентификацией и доступом пользователей к различным информационным ресурсам, включая такие задачи, как:

  • однократная регистрация пользователя (Single Sign-On);
  • централизованное ведение учетных записей пользователей;
  • управление учетными записями пользователей в целевых системах;
  • создание метакаталогов и виртуальных каталогов.

В целом продукты данного семейства полностью соответствуют открытым стандартам, функционируют в среде Web-серверов, серверов приложений и баз данных различных вендоров (Oracle, IBM, Microsoft, BEA) и обеспечивают решение задач аутентификации, авторизации и аудита для порталов, ERP-систем и т. д., реализованных в различных архитектурах — двух- и трехзвенных. Высокий уровень интеграции этих продуктов позволяет быстро строить на их основе специфические решения для безопасности приложений, необходимые предприятию.

Ниже описаны основные программные компоненты, входящие в состав Oracle Identity and Access Management.

Oracle Identity Manager

Oracle Identity Manager (OIM, предыдущее название Oracle Xellerate Identity Provisioning) — это мощная и гибкая система управления учетными записями и привилегиями пользователей информационных ресурсов предприятия в течение всего их жизненного цикла, от создания до удаления, позволяющая адаптировать бизнес-процессы работы с учетными данными к постоянно меняющимся бизнес-требованиям предприятия.

Управление учетными записями состоит в ведении центрального репозитария учетных записей и политик доступа в OIM, распространении их в различные целевые системы, а также в использовании аппарата согласования учетных записей — получении информации от целевых систем о создании/изменении/удалении учетных записей их локальными средствами администрирования и выполнении заданных в OIM действий.

Одно из самых мощных средств OIM — механизм согласования учетных данных (Identity Reconciliation Engine), позволяющий контролировать порядок доступа к ресурсам, находящимся под его управлением. Если OIM обнаруживает изменения в учетных записях или привилегиях пользователей, появившиеся в корпоративных системах «без его участия», то, в зависимости от настроек конфигурации, он может немедленно отменить эти изменения или уведомить администратора. Это позволяет легко обнаружить незаконные и неиспользуемые учетные записи. Компонент Adapter Factory («фабрика адаптеров») позволяет создавать адаптеры к коммерческим системам и системам собственной разработки без дополнительного программирования.

Однако OIM не предназначен для решения задач аутентификации или авторизации пользователей — они решаются в рамках самих целевых систем или с помощью систем класса Access Manager, таких, как Oracle Access Manager или Oracle Enterprise Single Sign-On (рис. 4).

Рис. 4. Использование Oracle Identity Manager в системе, подключенной к трем целевым информационным системам: базе данных Oracle, каталогу Microsoft Active Directory и Oracle e-Business Suite.

Oracle Access Manager

Oracle Access Manager (старое название Oracle COREid Access and Identity) — ключевой компонент IAM-семейства. Он предоставляет собой комплексный набор сервисов для централизованного управления идентификацией пользователей и их доступом к информационным ресурсам предприятия, в том числе Web-ресурсам и приложениям. Система полностью реализует концепцию защищенного доступа к ресурсам, известную как концепция АAA (аутентификация, авторизация, аудит).

Решение включает развитые средства авторизации и аудита действий как пользователей, так и администраторов системы, может работать с широким набором LDAP-каталогов, серверов приложений, Web-серверов, серверов порталов и прикладных приложений, поставляемых ведущими производителями ПО. Централизованное управление учетными записями пользователей, политиками доступа и аудита существенно снижает риски несанкционированного доступа, особенно для организаций с большим количеством сотрудников и различных ресурсов.

Oracle Identity Federation

Переход к федеративной интеграции ИТ-инфраструктур нескольких отдельных организаций — составляющая общего процесса перехода к Web-ориентированным бизнес-процессам. Для компаний, желающих интегрировать сторонние приложения в свои портальные решения, Oracle Identity Federation (OIF) — это сервер федеративного управления идентификационной информацией, обеспечивающий механизм однократной регистрации при работе с приложениями внешних контрагентов. OIF обеспечивает однократную междоменную регистрацию пользователей через многопротокольный шлюз, поддерживая все стандарты федеративного доступа, включая SAML, Liberty ID-FF, WS-Federation.

Oracle Web Services Manager

Oracle Web Services Manager (OWSM) — комплексное решение для включения средств безопасности и управления на основе политик в существующие или вновь создаваемые Web-сервисы для развертывания решений сервис-ориентированной архитектуры (SOA). Оно позволяет ИТ-менеджерам централизованно задавать политики для управления работой Web-сервисов (политики доступа, аудита и проверки содержимого SOAP-пакета), а затем применять их к Web-сервисам. С помощью этого средства можно также собирать статистику о работе различных компонентов распределенных систем и представлять их в виде наглядных Web-панелей. Ключевые возможности продукта — управление доступом к Web-сервисам и однократная аутентификация, централизованное управление политикой безопасности, унификация процесса мониторинга, а также маршрутизация запросов к Web-сервисам.

Oracle Virtual Directory

Для создания безопасной среды функционирования приложений необходима интеграция учетных данных пользователей. В одних организациях эта информация находится в базах данных, в других используются каталоги LDAP или домены Windows. Кроме того, на большинстве предприятий эта информация фрагментирована по многочисленным отделам и службам. Oracle Virtual Directory — это система, позволяющая создавать виртуальные LDAP-каталоги на основе LDAP или XML-представлений (view) для существующих на предприятии систем хранения учетных записей (различные типы LDAP-каталогов, баз данных и т. д.) без копирования или синхронизации записей в этих системах хранения. С ее помощью можно без дополнительных настроек связать объекты и записи из одного репозитория с одним или несколькими объектами в других репозиториях, поддерживая три типа объединения: простое (Simple Joiner), "один ко многим" (One-to-Many Joiner) и "теневое" (Shadow Joiner).

Oracle eSSO Suite

Oracle Enterprise Single Sign-On Suite (eSSO Suite) — это корпоративное решение, обеспечивающее пользователям Windows, прошедшим однократную аутентификацию, прозрачный вход во все приложения. Архитектура eSSO Suite поддержит технические требования и вычислительную среду в таких ситуациях, когда на предприятии используется строгая аутентификация, когда внедряется инициатива управления идентификацией пользователей на всем предприятии или возникают проблемы входа в систему определенной группы пользователей.

Клиентское ПО eSSO Suite автоматически опознает запросы имен и паролей пользователей Windows и реагирует на них, предоставляя системам и приложениям идентификационные данные. Решение поддерживает различные типы аутентификации пользователей: от пароля до смарт-карт и биометрических характеристик, может безопасно хранить учетные данные пользователей и собственные системные параметры и политики в каталоге LDAP, в реляционной базе данных или на файл-сервере. Консоль администрирования упрощает решение административных задач, автоматически распознавая и конфигурируя приложения для централизованного входа в систему с минимальными усилиями со стороны администратора.

Enterprise User Security

Стандартный механизм аутентификации и авторизации в СУБД Oracle предполагает, что каждому пользователю соответствует учетная запись. Таким образом, если пользователь работает с несколькими базами данных, то в каждой хранится его учетная запись. Альтернативой такому положению может стать подход, предлагаемый Oracle в решении Enterprise User Security: учетные записи пользователей создаются в едином LDAP-каталоге, а в различных базах данных ведутся только роли, которым предоставляются необходимые привилегии.

Важная особенность данного решения в том, что существующие приложения не нуждаются в модификации, а к их функциональности добавляется возможность аутентификации пользователей в LDAP-каталоге. Этот подход позволяет проводить аутентификацию пользователей посредством как паролей, так и цифровых сертификатов X.509.

Управление идентификацией в Windows Vista

Год назад, выступая на крупнейшем мировом форуме по безопасности RSA Conference 2006, Билл Гейтс сформулировал планы Microsoft (http://www.microsoft.com), касающиеся совершенствования технологий обеспечения безопасности. По его мнению, главная задача состоит не только в том, чтобы оперативно реагировать на появляющиеся угрозы со стороны "злобного ПО" (malicious software), но и в том, чтобы определить долгосрочную ИТ-стратегию на основе анализа рыночных и технологических тенденций. Г-н Гейтс сформулировал четыре базовых компонента, на которых должно строиться "безопасное цифровое будущее": доверительная экосистема (trust ecosystem), инженерные методы поддержки безопасности, поддержка пользователей и платформенные технологии.

Основная идея создания доверительной экосистемы заключается в постоянной проверке безопасности всех компонентов с помощью различных методов. Для работы в этом направлении требуется на качественно новом уровне подойти к методам определения тождественности людей, организаций, устройств и программного кода на базе концепции инфраструктуры Identity Metasystem, создаваемой Microsoft для более безопасного обмена персональной идентификационной информацией через Интернет.

Тут важно подчеркнуть, что Identity Metasystem представляет собой не законченную систему, а именно концепцию, основанную на соглашениях касательно метаданных и протоколов, позволяющих применять множество различных провайдеров и брокеров на разных платформах. Концепция базируется на открытых стандартах (в частности, WS-Security) и учитывает действующее законодательство, регулирующее сферу защиты персональной информации.

Реализация этих идей связана в первую очередь с выпуском нового поколения ОС — клиентской Windows Vista, а затем и Windows Server Longhorn. Ключевой элемент тут — технология Windows CardSpace (ранее известная под кодовым названием InfoCard), один из компонентов .NET Framework 3.0. CardSpace уже включена в состав Windows Vista, а через новый браузер Internet Explorer 7 будет доступна в среде Windows XP и Windows Server 2003.

CardSpace представляет собой основанное на отраслевых стандартах, в том числе Web Services, решение для управления идентификацией при работе с Интернетом. Проще говоря, CardSpace — это способ простой и безопасной идентификации пользователей при перемещении между ресурсами Интернета без повторного ввода имен и паролей.

В отличие от ранее используемых технологий унифицированной идентификации (например, Microsoft Passport) CardSpace управляется непосредственно пользователями и приложениями, с которыми устанавливается контакт (а не из централизованного ресурса). Иными словами, можно использовать разные схемы (и уровни сложности) идентификации для доступа на Web-форумы и для банковских операций. В любом случае Microsoft не управляет доверительными удостоверениями: у пользователя есть собственный набор идентификационных карт. Внешне все выглядит так же, как в реальной жизни, когда мы пользуемся разными кредитными картами, пропусками, удостоверениями и т. п. (рис. 5).

Рис. 5. В окне CardSpace пользователь может выбрать любую из имеющихся у него идентификационных карт или пополнить свой набор карт.

CardSpace предоставляет целый ряд возможностей, среди которых выделим четыре наиболее важные:

  • поддержка любой идентификационной системы;
  • последовательное управление процессом цифровой идентификации самим пользователем;
  • замена парольного доступа в Web;
  • обеспечение конфиденциальности при идентификации в удаленных приложениях.

CardSpace подразумевает применение ролевого подхода в процессе множественной цифровой идентификации. При этом выделяются три основные роли: пользователь, провайдер идентификации и доверительная сторона.

Рис. 6. Взаимодействие между пользователем, провайдером идентификации и доверительными ролями.

Большое значение в реализации концепции Identity Metasystem играет и поддержка управления тождественностью и доступом на уровне предприятий. Для этого Microsoft предполагает включить в состав службы каталогов Active Directory будущей Windows Server Longhorn такие службы, как Rights Management Services (управление правами), Certificate Services (службы сертификатов), Metadirectory Services (службы метакаталогов) и Federation Services (федеративные службы). В рамках поддержки этого направления компания также выпустит новый продукт Microsoft Certificate Lifecycle Manager — решение для управления цифровыми сертификатами и смарт-картами на базе технологии многофакторной аутентификации.