ما هي الهوية الموحدة (الفيدرالية)

تسمح الهوية الموحدة للمستخدمين المخولين بالوصول إلى تطبيقات ومجالات متعددة باستخدام مجموعة واحدة من بيانات الاعتماد. يربط هوية المستخدم عبر أنظمة إدارة الهوية المتعددة حتى يتمكن من الوصول إلى التطبيقات المختلفة بأمان وفعالية.
عندما تنفذ المؤسسات حلول الهوية الموحدة ، يمكن لمستخدميها الوصول إلى تطبيقات الويب ومواقع الويب الشريكة و Active Directory والتطبيقات الأخرى دون تسجيل الدخول بشكل منفصل في كل مرة.

كيف تعمل الهوية الموحدة؟

مقدمو الخدمات ومقدمو الهوية في نظام موحد

الهوية الموحدة - المعروفة أيضًا باسم إدارة الهوية الموحدة (FIM) - تعمل على أساس علاقات الثقة المتبادلة بين مزود الخدمة (SP) مثل بائع التطبيق وطرف خارجي أو موفر الهوية (IdP).
ينشئ IdP بيانات اعتماد المستخدم ويديرها ويوافق SP و IdP على عملية المصادقة. يمكن لمقدمي الخدمة المتعددين المشاركة في اتفاقية هوية موحدة مع IdP واحد. لدى IdP اتفاقيات ثقة متبادلة مع كل هذه المنظمات.

كيف تعمل الهوية الموحدة

عندما يحاول المستخدم الوصول إلى تطبيق أو مجال ، لا يتعين عليه تقديم بيانات اعتماد تسجيل الدخول الخاصة به في كل مرة. بدلاً من ذلك ، يتم تخزين بيانات الاعتماد هذه بالفعل في قاعدة بيانات موفر الهوية.
يؤكد IdP الهوية الرقمية للمستخدم في قاعدة البيانات الخاصة به ، ويصادق عليها ويرسل معلومات هوية المستخدم إلى SP. كل هذا يسمح للمستخدم بالوصول إلى تطبيقات وأنظمة وبوابات ومواقع متعددة وما إلى ذلك دون تسجيل الدخول مرارًا وتكرارًا.

باختصار ، إليك كيفية عمل الهوية الفيدرالية:

 يحاول المستخدم تسجيل الدخول إلى مجال أو تطبيق أو بوابة إلكترونية تستخدم الهوية الموحدة.
 يطلب التطبيق مصادقة موحدة من خادم مصادقة المستخدم.
 يتحقق خادم المصادقة من وصول المستخدم وأذوناته.
 يؤكد الخادم هوية المستخدم للتطبيق.
 يصل المستخدم إلى التطبيق.

التقنيات المستخدمة في الهوية الموحدة

تعمل الهوية الموحدة باستخدام عدة بروتوكولات قياسية. وتشمل هذه:

 لغة ترميز تأكيد الأمان (SAML). يعمل بروتوكول SAML على تبسيط إدارة كلمات المرور ومصادقة المستخدم في نظام موحد. يستخدم لغة التوصيف الموسعة (XML) لتوحيد الاتصالات بين أنظمة متعددة.

 يُمكِّن SAML موفري الهوية من إرسال معلومات تسجيل دخول المستخدمين إلى مقدمي الخدمة بشكل آمن. يقوم تفويض SAML بمصادقة المستخدم وإخبار مقدم الخدمة بما يمنحه حق الوصول ، مما يسمح للمستخدمين بالوصول إلى نطاقات متعددة باستخدام مجموعة واحدة من بيانات الاعتماد.

 افتح المصادقة (OAuth). يسمح بروتوكول مصادقة OAuth لخدمات الجهات الخارجية مثل مواقع الويب والتطبيقات بتبادل معلومات المستخدم دون حاجة المستخدم إلى التخلي عن كلمة المرور الخاصة به لهذه الخدمات. تثق هذه الخدمات المختلفة ببعضها البعض ، مما يسمح لها بمشاركة المعلومات مع حماية المستخدم أيضًا. على سبيل المثال ، يمكن للمستخدم السماح لـ onelogin.com بالوصول إلى ملفه الشخصي على Facebook دون الحاجة إلى مشاركة كلمة مرور Facebook الخاصة به.

 لن يقوم OAuth بمشاركة كلمة مرور Facebook الخاصة بالمستخدم مع OneLogin. بدلاً من ذلك ، يستخدم رموز التفويض لإثبات هوية المستخدم لـ OneLogin. يسمح هذا النظام للمستخدمين بالاتصال بأمان بخدمات الجهات الخارجية والموافقة على تفاعل تطبيق واحد مع آخر نيابة عن المستخدم.

 OpenID Connect (OIDC). يضيف بروتوكول مصادقة OIDC طبقة هوية أعلى بروتوكول OAuth 2.0. يسمح لتطبيقات الطرف الثالث بالتحقق من هوية المستخدم ومنح المستخدم تسجيل دخول واحد لتطبيقات متعددة.

 تدفق تسجيل الدخول الأساسي لـ OIDC و SAML هو نفسه. ومع ذلك ، فإن SAML هو بروتوكول مصادقة وتفويض قائم بذاته ، بينما يضيف OIDC طبقة مصادقة أعلى بروتوكول التفويض. يكتسب OIDC أيضًا شعبية على SAML ، لأنه يعمل مع تطبيقات الهاتف المحمول الاستهلاكية والأصلية ، مثل تطبيقات الألعاب والإنتاجية.

أمثلة على الهوية الموحدة

أحد الأمثلة على الهوية الموحدة هو عندما يقوم المستخدم بتسجيل الدخول إلى موقع ويب تابع لجهة خارجية باستخدام بيانات اعتماد تسجيل الدخول إلى Gmail. باستخدام FIM ، لا يتعين عليهم إنشاء بيانات اعتماد جديدة للوصول إلى العديد من مواقع الويب التي لديها اتفاقية موحدة مع Google ، مثل:

 موقع YouTube
 فيتبيت
 ويز
 بيكاسا
 مدَّوِن

وبالمثل ، يمكن للمستخدم استخدام بيانات اعتماد Facebook الخاصة به لتسجيل الدخول إلى العديد من مواقع الويب الموحدة مع Facebook ، مثل:

 انستغرام
 نيتفليكس
 ديزني +

هل الهوية الموحدة آمنة؟

FIM هو نظام آمن لترخيص المستخدم والمصادقة وإدارة الهوية الرقمية. عندما يحاول المستخدم الوصول إلى أحد التطبيقات ، فإنه لا يقدم بيانات اعتماده إلى مقدم الخدمة. وبدلاً من ذلك ، "يثق" مقدم الخدمة بموفر الهوية للتحقق من صحة بيانات الاعتماد وتفويض المستخدم. وبالتالي ، لا يقدم المستخدم بيانات اعتماده مطلقًا إلى أي شخص باستثناء موفر الهوية الذي يخزن بيانات اعتماده ويحافظ عليها بشكل آمن.
الهوية الموحدة مقابل تسجيل الدخول الموحد

يتيح FIM و Single Sign-on (SSO) للمؤسسات تقليل المخاطر المتعلقة بكلمة المرور وتأمين بياناتها وتحسين تجارب المستخدم. يتطلب كلا النوعين من الحلول مجموعة واحدة من بيانات الاعتماد لمنح المستخدم حق الوصول إلى تطبيقات متعددة. لكن على الرغم من هذا التشابه ، تعمل هذه الأنظمة بشكل مختلف.

باستخدام SSO ، يمكن للمستخدمين الوصول إلى تطبيقات متعددة داخل نفس المؤسسة أو المجال باستخدام مجموعة واحدة من بيانات الاعتماد. الهوية الموحدة تذهب إلى أبعد من ذلك. إنه يمكّن المستخدمين من الوصول إلى التطبيقات أو الأنظمة الأساسية عبر مجالات مؤسسية متعددة تشكل جزءًا من التكوين الموحد. وبالتالي ، يدعم FIM SSO ويوسع أيضًا SSO إلى نطاقات متعددة. أيضًا ، SSO هي إحدى وظائف FIM ، لكن تنفيذها لا يسمح بالضرورة لـ FIM.

فوائد الهوية الموحدة

توفر بنية إدارة الهوية الموحدة مثل OneLogin مزايا عديدة تفوق أنظمة المصادقة التقليدية.

 تعزيز الأمن. في الأنظمة غير الفيدرالية ، يتعين على المستخدم تسجيل الدخول إلى الأنظمة الفردية باستخدام مجموعة من بيانات الاعتماد. يؤدي كل تسجيل دخول من هذا القبيل إلى إنشاء نقطة ضعف ، مما يزيد من خطر محاولات القرصنة من قبل المستخدمين غير المصرح لهم. الهوية الموحدة ، من ناحية أخرى ، تصادق بشكل آمن المستخدم لمنح الوصول إلى التطبيقات في العديد من المجالات. ومن خلال تقليل عدد عمليات تسجيل الدخول إلى تسجيل دخول واحد ، يقلل النظام من مخاطر القرصنة.
 تجربة مستخدم محسنة. يتعين على المستخدمين تقديم بيانات الاعتماد الخاصة بهم مرة واحدة فقط للوصول إلى تطبيقات متعددة عبر المجالات المتحدة. هذا يزيد من راحة المستخدم وكفاءته ، ويحسن تجارب المستخدم.
 توفير نقطة واحدة. تتيح الهوية الموحدة توفير نقطة واحدة ، مما يسهل توفير الوصول للمستخدمين خارج محيط المؤسسة التقليدي.
 تأمين تقاسم الموارد. يمكن للمؤسسات الموحدة مشاركة المعلومات والموارد بشكل فعال دون المخاطرة ببيانات اعتماد المستخدم أو الأمان. إدارة أسهل للبيانات. تقوم المؤسسات بتخزين بيانات المستخدم مع IdP ، مما يبسط عمليات إدارة البيانات الخاصة بهم.
 توفير في التكاليف. لا يتعين على المؤسسات إدارة هويات متعددة للمستخدمين أو إنشاء حلول SSO خاصة بها ، وبالتالي تقليل تكاليفها.

خاتمة

من المتوقع أن يتذكر الشخص العادي 100 كلمة مرور على الأقل. لتقليل التحميل الزائد لكلمة المرور ، يعيد معظم الأشخاص استخدام نفس كلمة المرور سهلة التذكر لحسابات متعددة. لكن هذا يخلق مخاطر أمنية كبيرة للمؤسسة. يؤدي إنشاء كلمات مرور معقدة فريدة لكل حساب إلى تعزيز أمان المؤسسة. ومع ذلك ، فهو أقل ملاءمة وأكثر مملة للمستخدمين.

يوفر FIM حلاً لكلا التحديين. باستخدام الهوية الموحدة ، يمكن للموظفين الوصول إلى حسابات متعددة عبر مجالات مختلفة باستخدام مجموعة مشتركة من بيانات الاعتماد. هذا يحسن تجربة المستخدم. أيضًا ، نظرًا لأن النظام يعتمد على الثقة بين المؤسسات الفيدرالية ، فإنه يقلل أيضًا من مخاطر الأمان.