OIM zasadniczo obejmuje trzy procesy:
- Proces identyfikowania i wydawania danych uwierzytelniających w celu odzwierciedlenia tożsamości podmiotu, znany jako identyfikacja
- Proces weryfikacji poświadczeń przedstawionych przez podmiot określony jako uwierzytelnienie
- Proces ustalania, jakie prawa i przywileje przysługują takiej osobie, po uwierzytelnieniu, nazywany autoryzacją
Szczegółowe spojrzenie na podstawy IdM przedstawia się następująco:
- Identyfikacja. Jest to akt, poprzez który podmiot się prezentuje, polega na uchwyceniu zbioru atrybutów podmiotu w celu zidentyfikowania i zdefiniowania tożsamości do poziomu wystarczającego do zamierzonego celu. Zwykle obejmuje zbieranie osobistych cech związanych z tematem. Atrybuty mogą być trwałe, tymczasowe, nabyte lub dziedziczone. Stałe atrybuty obejmują datę urodzenia i numer ubezpieczenia społecznego, a tymczasowe nazwisko obecnego pracodawcy. Stopnie edukacyjne należą do kategorii nabytych atrybutów, ale atrybuty takie jak DNA i hierarchia użytkowników są dziedziczone.
- Zakres i prawidłowość tożsamości. Identyfikacja jest zwykle mierzona w dwóch różnych wielkościach, a mianowicie w zakresie i dokładności.
- Zakres określa cel identyfikacji i uwzględnia odpowiednie atrybuty do identyfikacji. Określa rodzaj i ilość potrzebnych informacji o tożsamości. Na przykład niektóre witryny internetowe zbierają tylko podstawowe informacje, takie jak zwrot grzecznościowy, imię i nazwisko oraz identyfikator e-mail użytkownika, aby udzielić dostępu do treści, podczas gdy poufne
Witryny internetowe wymagają obszernych informacji o użytkowniku, takich jak wiek i adres, przed udzieleniem dostępu.
- Aspekt dokładności koncentruje się na precyzji atrybutów tożsamości. Wiąże się to z osobami trzecimi, które weryfikują cechy podmiotu i budują zaufanie. Certyfikaty cyfrowe oparte na infrastrukturze klucza publicznego (PKI) odgrywają istotną rolę w budowaniu zaufania między komunikującymi się stronami.
- Wydanie referencji. Identyfikacja pocztowa, tożsamość podmiotu jest zwykle zapisana w formacie elektronicznym, zwanym poświadczeniem tożsamości. Kody PIN, hasła i certyfikaty cyfrowe mają postać cyfrową identyfikacji, a dowody osobiste i tokeny sprzętowe zapewniają fizyczną identyfikację danego podmiotu.
- Uwierzytelnienie. Jest to proces budowania zaufania do deklarowanej tożsamości podmiotu. To kluczowy krok w tworzeniu tożsamości cyfrowej. Uwierzytelnienie może odbywać się za pomocą dowolnego z następujących czynników lub ich kombinacji:
- Co ma podmiot, na przykład tokeny sprzętowe
- Co wie temat, na przykład PIN, hasło
- Przedmiotem są na przykład informacje biometryczne
Aby powstrzymać napastników, powszechnie stosuje się uwierzytelnianie wieloskładnikowe. Uwierzytelnianie wieloskładnikowe wymaga przedstawienia dwóch lub więcej czynników wymienionych powyżej. Gdy pojawia się żądanie dostępu do danych wrażliwych, do weryfikacji stosuje się silne metody uwierzytelniania przy użyciu tokenów sprzętowych lub uwierzytelniania biometrycznego. Biometria to potężna technologia, która ma na celu jednoznaczną identyfikację osoby poprzez uchwycenie i analizę jej cech fizjologicznych i behawioralnych. Odciski palców, twarz, geometria dłoni i rozpoznawanie tęczówki określają cechy fizjologiczne, podczas gdy sygnatura, głos i dynamika naciśnięć klawiszy wykorzystują cechy behawioralne.
- Autoryzacja. Po pomyślnym uwierzytelnieniu użytkownika proces autoryzacji decyduje, jaki zestaw działań i czynności podmiot może wykonać. W ten sposób autoryzacja określa prawa lub przywileje związane z tożsamością podmiotu w celu ułatwienia transakcji lub podjęcia decyzji. To krytyczna obrona przed kradzieżą tożsamości.
- Poziomy zaufania. Identyfikacja i uwierzytelnianie są najważniejsze dla funkcjonowania każdej kontroli dostępu. Istnieją jednak możliwości, dzięki którym osoba atakująca może sfałszować tożsamość. Jednym ze sposobów jest to, że atakujący podszywa się pod tożsamość podmiotu. Alternatywnym sposobem jest ujawnienie informacji uwierzytelniających (np. Kodu PIN lub hasła), co umożliwia atakującemu pomyślne zakończenie procesu uwierzytelniania. Z powodu tego ryzyka strony ufające muszą wziąć pod uwagę stopień zaufania do tożsamości podmiotu. Różne rodzaje transakcji będą wymagały różnych poziomów pewności. Rząd federalny USA zdefiniował cztery poziomy gwarancji w następujący sposób:
- Mała lub żadna pewność
- Pewna pewność siebie
- Wysoka pewność
- Bardzo duże zaufanie
Jeśli ryzyko związane z transakcją jest wysokie, poziom pewności podczas uwierzytelniania również powinien być wysoki. Zapewnienie będzie oczywiście wysokie, gdy zainteresowane strony uzgodnią wspólny zestaw polityk i będą przestrzegać zasad.