استانداردهای باز مدیریت هویت
استانداردهای باز مدیریت هویت یکی از بهترین ابزارهای برقراری امنیت و بهبود تجربه کاربری در بستر فضای مجازی میباشند استاندارد و استانداردسازی یک سازوکار بسیار حیاتی جهت توسعه پایدار صنایع و فناوریهای مختلف است. هر استاندارد بیانگر سندی است که از طریق توافق و اجماع عمومی تدوین شده و به تصویب گروه، کنسرسیوم، سازمان ملی یا بینالمللی شناخته شدهای رسیده است. استاندارد مجموعه قواعد و دستورالعملهایی برای انجام فعالیتها یا بررسی نتایج آنها به منظور استفاده روزمره و مستمر ارائه میکند. مهمترین هدف از استانداردسازی، دستیابی به میزان قابل قبولی از نظم و توانایی همکاری متقابل در یک حوزه مشخص است. صنایع و کسبوکارهای موفق همواره از رویکرد استانداردسازی راهبردی برای دستیابی به رهبری صنعتی استفاده کردهاند. استانداردسازی راهبردی بیانگر چگونگی بهکار برده شدن استانداردها توسط رهبران کسبوکارها به منظور ساخت و حفظ مزیت رقابتی به ویژه در عصر ارتباطات است.
بیشتر بخوانید: استانداردهای مدیریت هویت و دسترسی
استانداردهای حوزه مدیریت هویت و دسترسی حاوی قوانین، دستورالعملها و الزاماتی هستند که با ایجاد نظمی خاص مابین سازمانها و کسبوکارها به دنبال بهبود کیفیت، ایجاد اعتماد، تضمین سطوح اطمینان، اعتباربخشی و تسهیل ارتباط از طریق ایجاد یک زبان مشترک میباشند. تدوین استاندارد و پیادهسازی استانداردهای تدوین شده نقش مهمی در جهت توسعه پایدار مدیریت هویت و دسترسی دارد.
سازمانهای ارائهدهنده استاندارد
استانداردها معمولاً توسط سازمانهای تخصصی و مختص این کار تعریف میشوند. این سازمانها در حوزه استانداردهای مدیریت هویت و دسترسی وظیفه تنظیم، نظارت و بهروزرسانی پیوسته استانداردهای فنی را بر عهده دارند تا طیف وسیعی از مسائل مرتبط به پروتکلهای مورد استفاده برای اطمینان از عملکرد و سازگاری محصولات و همچنین تسهیل همکاری متقابل آنها را برطرف نمایند. معمولاً استانداردها و بهروزرسانیهای مرتبط با آنها برای منفعت عمومی تهیه و منتشر میشوند. نهادهای و سازمانهای فعال در زمینه تولید و بهروزرسانی استانداردهای فنیِ سیستمهای مدیریت هویت و دسترسی در سه دسته سازمانهای بینالمللی، کنسرسیومهای صنعتی و سازمانهای ملی قرار میگیرند.
سازمانهای متعددی در زمینه تولید و بهروزرسانی استانداردهای فنی سیستمهای تعیین هویت دیجیتال فعالیت میکنند. این سازمانها در سه دسته سازمانهای بینالمللی نظیر آژانسهای تخصصی سازمان ملل، کنسرسیومهای صنعتی، سازمانهای ملی قرار میگیرند. در تصویر زیر، یک دید کلی از طیف گستردهای از نهادها و سازمانهای استانداردسازی مدیریت هویت و دسترسی ارائه شده است.
استانداردهای باز مدیریت هویت
استانداردهای باز یکی از بهترین ابزارهای برقراری امنیت و بهبود تجربه کاربری در بستر فضای مجازی میباشند. سیر تحول استانداردهای باز در زمینه مدیریت هویت و دسترسی نشاندهنده تکامل این استانداردها از انعطافناپذیر، بسته و با کاربردهای خاص به سمت استانداردهای باز مربوط به همکاری مدرن همانند OAuth، OpenID Connect و FIDO است. در تصویر زیر روند کلی تکامل استانداردهای باز آورده شده است.
OAuth یک پروتکل مجوزدهی کارگروه مهندسی اینترنت (IETF) است که به عنوان یک استاندارد صنعتی پذیرفته شده است. نسخه اول این پروتکل در سال 2006 ارائه شده بود که بعدها با OAuth 2.0 جایگزین شده است. OAuth 2.0 جریانهای مجوزدهی خاص برای برنامههای کاربردی تحت وب، برنامههای کاربردی دسکتاپ، تلفنهای موبایل و دیگر تجهیزات ارتباطی ارائه کرده است. چارچوب مجوزدهی OAuth، نرمافزارهای کاربردی بخش ثالث را قادر میسازد که به نیابت از مالک منبع یا از طریق تخصیص مجوز دسترسی به نرمافزار کاربردی بخش ثالث به نیابت از خود نرمافزار به یک سرویس HTTP دسترسی محدود داشته باشند.
ارائهدهندگان استانداردهای باز مدیریت هویت
تعدادی از مهمترین ارائهدهندگان استانداردهای باز مدیریت هویت و دسترسی در ادامه معرفی شدهاند.
OIDF: بنیاد OpenID (OIDF) یک سازمان بینالمللی غیرانتفاعی توسعه استاندارد است که انجمن و فناوریهای OpenID را بهبود داده و ترویج میکند. توسعهدهندگان، آژانسهای دولتی، شرکتها و طرفداران گسترش و محافظت از OpenID میتوانند در این بنیاد عضویت داشته باشند. این بنیاد از طریق تأمین زیرساخت مورد نیاز و کمک به توسعه و پشتیبانی از پذیرش OpenID به انجمن تحت حمایت خود کمک میکند. OpenID Connect به عنوان یک استاندارد باز و یک پروتکل احراز هویت غیرمتمرکز از مهمترین دستاوردهای این بنیاد است.
FIDO: اتحاد FIDO یک کنسرسیوم صنعتی است که برای رسیدگی به نبود امکان همکاری متقابل در بین دستگاههای نیازمند احراز هویت متقابل و مشکلات پیش روی کاربران برای ایجاد و به خاطر سپردن چندین نام کاربری و رمز عبور تشکیل شده است. این گروه چارچوب و پروتکلهای مختلفی را برای مدیریت احراز هویت منتشر کرده است. رویکرد پیشگیرانه اغلب گروهها و نهادها در بحث استانداردسازی نشان میدهد که در آینده نزدیک از نگاشت توکن )گواهینامههای رمزنگاری شده لایه انتقال( و رویکرد هویت غیرمتمرکز )هویت غیرمتمرکز مبتنی بر دفتر کل توزیع شده( برای تبادل اطلاعات هویتی استفاده خواهد شد.
SIA: انجمن صنعت امنیت (SIA) یک انجمن تجاری در ایالات متحده است که توسط ارائهدهندگان راهحلهای امنیت فیزیکی و الکترونیکی تشکیل شده است. این انجمن از طریق حمایت از سیاستها و قوانین صنعت امنیت در سطوح فدرال و ایالت، ایجاد استانداردهای باز صنعتی برای یکپارچهسازی، پیشرفت حرفهای در صنعت از به واسطه آموزش، ایجاد فرصتهای مربوط به بازارهای جهانی و تقویت همکاری با سازمانهای مشابه از منافع شرکتهای عضو محافظت کرده و امکان پیشرفت آنها را فراهم مینماید. این انجمن خانواده استانداردهای کارایی و ادغام سیستمهای باز (OSIPS) را در حوزه مدیریت هویت و دسترسی ارائه داده است.
OASIS: سازمان بهبود [پیشرفت] استانداردهای اطلاعات ساختیافته (OASIS) یک کنسرسیوم جهانی غیرانتفاعی است که بر روی توسعه، همگرایی و پذیرش استانداردهای امنیتی، اینترنت اشیاء، انرژی، فناوریهای مرتبط با محتوا و دیگر حوزهها فعالیت میکند. این سازمان استانداردهای SAML، XACML و IMI را در زمینه مدیریت هویت و دسترسی منتشر کرده است.
OIX: تبادل هویت باز (OIX) یک سازمان تجاری غیرانتفاعی و نوآور متشکل از رهبران بخشهای رقیب در حوزه مدیریت هویت است که بر انجام تراکنشهای قابلاعتماد به صورت آنلاین و در حجم و سرعت مناسب متمرکز است. این سازمان امکان توسعه سرویسهای هویتی موجود را برای اعضاء فراهم میسازد و ارائه خدمات به بازارهای مجاور امکانپذیر میکند. اعضای این سازمان از طریق انجام تحقیقات مشترک، مشارکت در پایلوتها و تست و تجربه موردهای مطالعاتی جهان واقعی جایگاه خود در بازار را بهبود میدهند. نتایج این تلاشها به صورت white paper منتشر شده و در کارگاههای آموزشی ارائه میشوند. همچنین اعضای این سازمان به منظور سرمایهگذاری و مشارکت در پروژههای پایلوت با یکدیگر همکاری دارند. یکی از مهمترین انتشارات این سازمان سند «مشخصههای فنی مربوط به چارچوب اعتماد تبادل خصیصه» میباشد.
نویسنده: تورج اکبری
دیدگاه خود را ثبت کنید
تمایل دارید در گفتگوها شرکت کنید؟در گفتگو ها شرکت کنید.