Innym elementem zarządzania tożsamością jest udostępnianie użytkownikom możliwości częściowo samodzielnego nią zarządzania. Jest to tzw. self-service, którego obecność odciąża dział wsparcia, a także przyspiesza przywrócenie pełnej funkcjonalności tożsamości w razie problemów. W kontekście self-service możemy mówić o trzech podstawowych elementach: resetowaniu haseł po prawidłowym uwierzytelnieniu za pomocą innego mechanizmu weryfikacji tożsamości m.in. Challenge-Response (np. w przypadku zapomnienia hasła lub blokady konta z powodu wielu nieudanych logowań); autorejestracji (wypełniając formularz, użytkownik może poprosić o udzielenie dostępu do zasobów); administracji (umożliwia samodzielną zmianę pewnych atrybutów/informacji osobistych). No i jeszcze kwestia zarządzania kontami uprzywilejowanymi - jest to nic innego, jak możliwość określenia szczególnego rodzaju polityki wobec określonego rodzaju kont (o strategicznym znaczeniu), np. użytkownika root czy innych kont administracyjnych.

Infrastruktura tożsamości

Pod tą nazwą kryją się wszelkie elementy, w których znajdują się informacje o tożsamości, a więc przede wszystkim usługi katalogowe, czy wirtualne katalogi lub metakatalogi. O ile roli usług katalogowych i ich funkcjonalności raczej nie trzeba tłumaczyć (mogą to być np. usługi Active Directory), o tyle dosyć zagadkowo brzmią terminy: wirtualny katalog oraz metakatalog.

Wirtualne katalogi to takie serwisy, które potrafią w czasie rzeczywistym pozyskać informacje o tożsamości z różnych źródeł pod określonym kątem. Same przy tym nie muszą wcale przechowywać żadnych danych. Jest to zatem baza odnośników do różnych repozytoriów danych (LDAP, baz finansowych, książek adresowych itp.), niekoniecznie zawierających informacje identyfikujące, ale związane z tożsamością. Dzięki tej użytecznej technologii, kierując jedno tylko zapytanie do wirtualnego katalogu, możemy uzyskać błyskawiczny dostęp do różnych źródeł danych i otrzymać kompletną informację. Takie wirtualne katalogi są wykorzystywane przez usługi single sign-on (SSO) czy zarządzanie tożsamościami federacyjnymi. Koncepcją konkurencyjną wobec wirtualnych katalogów jest Identity Bus lansowany przez Microsoft. Na czym polega różnica? Najważniejsze to wiedza zawarta w usłudze (katalogu wirtualnym lub Identity Bus). Katalog wirtualny, zanim zacznie funkcjonować, musi mieć informacje, które z identyfikatorów odnoszą się do tego samego obiektu - użytkownika (Patrykk, p_kroli, PKRO odnoszą się do tego samego użytkownika). Identity Bus z drugiej strony wcale nie musi posiadać tych informacji. Otrzymuje zapytanie przeznaczone dla jednego ze źródeł danych i odpowiednio je opakowuje. Uzyskując na nie odpowiedź, nie rozpoznaje jej, ale traktuje jako kolejne zapytanie, które trzeba opakować w odpowiednie dane i protokół.

Istnieją jeszcze metakatalogi, a więc katalogi katalogów. Część analityków uważa jednak, że umierają one śmiercią naturalną.

Zarządzanie dostępem

Znajdziemy tutaj to, co może posłużyć do nadzorowania dostępu do usług i aplikacji. W grupie tej pojawią się także mechanizmy SSO (zwane czasem RSO - Reduced Sign-On) zintegrowane zarówno z infrastrukturą sieciową, jak i portalami webowymi. Bardzo bliskim krewnym SSO są również technologie federacyjne. Terminem, który coraz częściej używany jest w kontekście zarządzania dostępem, jest tzw. entitlements management. Chodzi tutaj o bardziej granularne zarządzanie uprawnieniami poprzez oddzielenie zasad polityki od aplikacji i przydzielanie dostępu w zależności od najrozmaitszych atrybutów, takich jak pora dnia, rodzaj transakcji, lokalizacja itp. Mechanizm ten ułatwia proces wprowadzania zmian w polityce, bez konieczności modyfikowania aplikacji. Nieoceniony w tym zakresie jest standard XACML (eXtensible Access Control Markup Language). Jest to nic innego, jak wystandaryzowany język polityk, zaimplementowany znowu w XML, a umożliwiający właśnie osiągnięcie tego celu.

Kolejnym elementem jest SSO, które wykracza poza aplikacje webowe i dotyczy wszelkich możliwych zasobów wymagających uwierzytelnienia. W jego ramach znaczenia nabiera koncepcja "Mobility awarness", a więc możliwości stosowania mechanizmów jednokrotnego logowania w urządzeniach mobilnych. Dąży się także do konwergencji pomiędzy systemami fizycznymi i logicznymi tak, aby z wykorzystaniem jednej karty inteligentnej możliwe było zarówno zalogowanie do zasobów, jak i uzyskanie dostępu do określonych budynków czy pomieszczeń.

Obco i groźnie brzmiącym terminem jest federacja czy też tożsamość federacyjna. Koncepcja ta odnosi się do standardów i technologii, które sprawiają, że tożsamości wraz z powiązanymi z nimi atrybutami (np. numer konta, rola w organizacji) czy uprawnieniami mogą "podróżować" pomiędzy wieloma różnymi organizacjami (domenami) i aplikacjami. Technologia ta jest szczególnie użyteczna w przypadku organizacji, które nawiązują ze sobą bardzo bliską współpracę (np. organy ścigania - policjant może uzyskać odpowiednie informacje z prokuratury w ramach swojej roli, a sędzia mieć wgląd w cały proces). W procesie federacji następuje także zamapowanie tożsamości, czyli przystosowanie informacji o niej i jej atrybutach obowiązujących w jednej z domen do wymogów drugiej domeny. Federacja tożsamości technologicznie oparta jest na wielu standardach. Podstawowym protokołem jest SAML (Security Assertion Markup Language), który opisuje wymianę informacji związanych z bezpieczeństwem pomiędzy domenami. SAML jest częścią większej układanki, w skład której wchodzi również m.in. standard WS-Federation. Dużą rolę w Identity Federation odgrywa Liberty Alliancehttp://www.projectliberty.org/liberty/strategic_initiatives/federation .

Audyt i raportowanie

Do tego worka wpadają wszystkie klocki, które umożliwiają uzyskanie informacji na temat zdarzeń i aktywności pochodzących z komponentów opisanych powyżej, a także powiązanych z nimi systemów i aplikacji.

Co kupić?

Dostępne na rynku rozwiązania IAM/IdM są niezwykle rozbudowane i oferują zróżnicowaną funkcjonalność. Mimo że producenci dwoją się i troją żeby zaoferować kompletne produkty, jak na razie nie udaje się tego celu osiągnąć.

Możemy więc przyjąć trzy koncepcje działania. Zwolennicy pierwszej uważają, że portfolio rozwiązań IdM powinno być budowane przy wykorzystaniu najlepszych elementów, niekoniecznie pochodzących od tego samego producenta (np. Sun czy Microsoft cenione za usługi katalogowe, IBM za provisioning, a CA za WAM). O ile na pierwszy rzut oka takie podejście ma sens, to pojawić się mogą zgrzyty - pewne elementy tej tożsamościowej układanki mogą do siebie nie pasować.

Zwolennicy drugiej koncepcji twierdzą z kolei, że lepiej wybrać jednego producenta i korzystać konsekwentnie z tego, co oferuje. Wszystko wówczas powinno ze sobą współgrać i być łatwo zarządzane. Niewątpliwym plusem pakietów jest raportowanie, które nabiera szczególnego znaczenia podczas weryfikacji zgodności ze standardami. Kłopot z takim podejściem polega na tym, że de facto jesteśmy skazani na pięciu czy sześciu dostawców, którzy zdominowali rynek, ale żaden z nich nie jest w stanie w 100% spełnić oczekiwań każdej organizacji i z pewnością nie wszystkie elementy tworzące pakiet będą równie wysokiej jakości. Problemem w przypadku rozwiązań "all-in-one" jest też to, że nie wszystkie oferują dwie wspomniane już technologie, tj. wirtualne katalogi i zarządzanie kontami uprzywilejowanymi.

Jest też i trzecia koncepcja - zwrócenie się z prośbą do integratora, który będzie w stanie z ograniczonej liczby rozwiązań złożyć jedno, prawidłowo funkcjonujące.