ГОСТ ISO/TS 22600-3—2013
Объявления на языке SAML могут использоваться для передачи заявителем информации безопасности
доверяющей стороне. Объявление может быть сделано от имени субъекта при его аутентификации либо а ответ на
запросдругогосубъекта,также составленный на языке SAML.Объявления могутбыть составлены из информациио
привилегии или роли, хранящейся на центральном сервере, либо из информации, содержащейся в подписанном
сертификате.
Необходимо принять во внимание:
- гибкость применения федеративной среды;
- необходимость получения дополнительной информации от заявителя;
- уровень надежности идоступности вычислительной сети;
- наличие службы обработки запросов на языке SAML;
- наличие поддержки обращения удостоверений внутри предприятия;
- совместимость с безопасностью веб-сервисов и запросов по протоколу SOAP;
- необходимость одновременного применения различных механизмов аутентификации (например, удосто
верения в инфраструктуре открытых ключей, протокол Kerberos, токены, биометрическая аутентификация и т.д.).
А.9.8 Механизмы чувствительности целевого объекта
Управление атрибутами целевогообъекта (например, списками контролядоступа иметкамичувствительнос
ти)традиционно выполняется в рамках конкретной системы, поэтому представление этой информации слабостан
дартизовано. Настоящее приложение не предъявляет требований к ее представлению, но содержит некоторые
предложения, основанные на применении некоторых синтаксисов описания данных (ASN.1 или XML).
А.9.9 Инкапсуляция подписанных данных
Атрибуты и другая чувствительная информация могут быть привязаны к дайджесту целевого объекта с
помощью конструкции SignedData. В частности, уместно использовать отделенные подписи (передаваемые
отдельно отобъекта).Чувствительная информация может переноситься в виде подписанных атрибутов, у которых
автором будет подписавший субъект.
К целевомуобъекту могут быть добавлены следующие типы авторизующей информации:
- информация контроля доступа, описанная в ISO/IEC 10181-3:
- требования равнозначной подписи (см. А.9.19);
- описательные сведения о документе (например, тип документа), приведенные в А. 11.3.
А.9.10 Использование языка XML
Применениерасширяемого языка разметки XML позволяет передавать информацию независимо отпрограм
мной и аппаратной платформы. Поэтому можно ожидать, что содержание многих передаваемых документов будет
представлено на языке XML. Структура содержания такогодокумента будетуказана в определении типа документа
DTD (document-type definition)или в XML-схеме.
Привилегии могутбытьпереданы вэлементахXML, у которых в качестве имени используется идентификатор
привилегии. В качестве альтернативы можно передавать идентификаторы привилегий в виде имен атрибутов эле
мента.
Язык XML позволяет группировать привилегии в форме полезных комплексов. Например, комплексу приви
легий. описанному на языке XML. может быть присвоен следующий универсальный идентификатор ресурса URI
(uniform resource Identifier):
*um appllcatlon_name:attrlbute:pnvllege_set_name"
В качестве альтернативного представления можно ассоциировать комплекс привилегий с уникальным про
странством имен, указанным в XML-схеме, например:
xmlns: privilege_set_name=*http:/Avvvw.astm.org/:privilege_sets/prtvilege_set_namer
Комплексы привилегий, представленные на языке XML. могут быть использованы контролером чтобы ассо
циировать заявителя с его сферой полномочий. Заявители могут быть заранее (до контроля) ассоциированы со
стандартной группой или ролью. В другом варианте контролер может ассоциировать заявителя с одним или
несколькими комплексами привилегий с помощью запроса к базе данных или к сервису, использующему каталог
LDAP. Контролер может также извлечь информацию о группе или роли заявителя из внешнего XML-документа с
помощью указания пути на языке XPath.
При использовании политики привилегий контролер может иметь дело непосредственно с XML-элементами
(например, сравнивая значения атрибутов, хранящиеся в сертификате авторизации, с элементами документа). В
качестве формата описания политики на языке XML, которое может использоваться при контроле привилегий,
можно предложить расширяемый язык разметки контроля доступа XACML (extensible Access Control Markup
Language). Правила сравнения детально обсуждаются в А.9.11—А.9.19. В общем случае однократные атрибуты
будут сравниваться с единственным (полным) элементом, а многократные атрибуты — с коллекцией элементов
моделируемой группы.
А.9.11 Базовый контроль доступа
Далее определяется атрибут информации контроля доступа, который может использоваться для указания
получателю (или доверенной третьей стороне), какие субъекты могут читать содержание целевого объекта.
39