Architektura zarządzania tożsamością i dostępem w przedsiębiorstwach coraz częściej musi uwzględniać użytkowników mobilnych, często podłączających się do sieci technikami bezprzewodowymi. Podstawowym problemem jest tu poszerzenie dostępu mobilnego - zarówno w obszarze lokalnym, jak i rozległym - bez narażania bezpieczeństwa sieci i aplikacji.

W środowiskach aplikacji mobilnych zmienia się model rejestrowania tożsamości i używania jej na poszczególnych poziomach. Technologie bezprzewodowe często inicjują powstawanie nowych tożsamości, kojarzą je z użytkownikami i/lub urządzeniami, łączą te tożsamości z nowymi atrybutami użytkownika i urządzenia, uwierzytelniają te tożsamości i używają ich do sterowania opartego na regułach oraz personalizacji usług, zależnej od lokalizacji.

Mobilność jest wrodzoną cechą urządzeń podręcznych. Sieci mobilne obejmują usługi danych WWAN (Wireless Wide-Area Network), takie jak GPRS oraz środowiska WLAN, implementujące głównie protokół 802.11b. Coraz szerzej jest dostępna możliwość inicjowania sesji w środowisku przetwarzania sieciowego z dowolnego miejsca i przenoszenia tej sesji (roaming) bez jej przerywania.

Technologia bezprzewodowa wymaga nowego podejścia do uzyskiwania przez użytkownika jego tożsamości, kont i pozwoleń w sieci korporacyjnej.

Środowisko usług mobilnych obejmuje adresy poczty elektronicznej SMS użytkownika, identyfikator urządzenia komórkowego, numer identyfikacyjny IMSI (International Mobile Subscriber Identification) telefonu komórkowego GSM, adresy MAC (Medium Access Control) kart sieciowych 802.11, identyfikator urządzenia Bluetooth czy identyfikator częstotliwości RFID (Radio Frequency ID). Zakres identyfikatorów związanych z mobilnością rośnie wraz z pojawianiem się i wdrażaniem nowych urządzeń bezprzewodowych.

Użytkownicy mobilni, przemieszczając się, często przekraczają granice pomiędzy prywatnymi a publicznymi sieciami bezprzewodowymi oraz między infrastrukturami tożsamości związanymi z różnymi obszarami sieciowymi. Środowisko tożsamości musi więc zapewniać większą mobilność użytkownikom w obszarze zarówno sieci lokalnych, jak i rozległych oraz obsługi mobilności zarówno wewnątrz, jak i na zewnątrz przedsiębiorstwa.

Zarządzanie tożsamością i dostępem w środowisku mobilnym

Infrastruktura obejmująca tożsamość mobilną musi zapewnić przede wszystkim bezpieczeństwo obejmujące uwierzytelnianie, autoryzację, poufność, a także SSO oraz mechanizmy VPN dla różnorodnych aplikacji mobilnych. Inne ważne elementy infrastruktury to roaming, zapewniający dostęp do usług w prywatnych WLAN, publicznych WLAN, WWAN i płynne przenoszenie połączeń pomiędzy tymi środowiskami, oraz personalizacja, zapewniająca rearanżację interfejsu użytkownika stosownie do jego potrzeb i możliwości urządzeń.

Tożsamość mobilna i potrzeba zarządzania dostępem wprowadzają nowe elementy do sieci i infrastruktury aplikacyjnej. Wsparcie użytkowników mobilnych powinno być uwzględnione zarówno w usługach katalogowych, jak i produktach zarządzania dostępem, infrastrukturach kluczy publicznych i innych komponentach zarządzania tożsamością. Infrastruktura aplikacji z dostępem mobilnym opiera się na komponentach zarządzania tożsamością i dostępem w mobilnych klientach, warstwach pośredniczących oraz rozszerzeniach w istniejących środowiskach aplikacji i tożsamości.

Mobilne urządzenia klienckie mogą się przemieszczać wraz z użytkownikiem. Mają zazwyczaj unikatowy identyfikator i często są ściśle powiązane z tożsamością używającego ich użytkownika. Powiązanie to może mieć formę stałego powiązania urządzenia z identyfikatorem użytkownika lub powiązania czasowego - na czas podróży lub trwania sesji. W pierwszym przypadku identyfikator użytkownika może być przechowywany w urządzeniu wraz z informacją o jego tożsamości. Gdy identyfikator użytkownika jest powiązany z urządzeniem tylko na czas podróży lub sesji, użytkownik może być każdorazowo wzywany do wprowadzenia tożsamości i innych atrybutów oraz referencji, które generalnie nie są w tym przypadku pamiętane w urządzeniu. Użytkownik może także posługiwać się kartą chipową wkładaną do urządzenia, zawierającą wszystkie niezbędne informacje o tożsamości użytkownika. Karta taka personalizuje urządzenie na czas sesji komunikacyjnej.

Mobilne urządzenia klienckie często muszą uzyskiwać dostęp do różnych interfejsów bezprzewodowych, usług czy sieci. Różne technologie dostępu bezprzewodowego są często zawiązane ze szczególnymi zakresami roamingu: obszar personalny (techniki typu Bluetooth), obszar lokalny (interfejs 802.11) i obszar rozległy (GPRS). Z tego powodu urządzenia mobilne są często wyposażane w interfejsy sieciowe do różnych środowisk bezprzewodowych. Zróżnicowanie wyposażenia związanego z zarządzaniem tożsamością i dostępem urządzeń mobilnych zależy od typu roamingu, w jaki jest wyposażone urządzenie. Może to być roaming pojedynczy (np. pomiędzy WLAN 802.11b), roaming podwójny (np. pomiędzy WLAN 802.11b a WWAN GPRS), roaming wielokrotny, obejmujący Bluetooth, 802.11b i GPRS.

Mobilna warstwa pośrednicząca obsługuje niezależny od lokalizacji dostęp do aplikacji, usług i innych zasobów zaplecza przetwarzania danych. Funkcje dostępu mobilnego zagnieżdża się w aplikacjach, takich jak systemy relacyjnych baz danych, systemy ERP czy środowiska pracy grupowej.

Mobilna warstwa pośrednicząca jest odpowiedzialna za zarządzanie tożsamością mobilną, zarządzanie dostępem oraz ochroną: uwierzytelnianie użytkownika, urządzenia i zawartości; zarządzanie uprawnieniami, szyfrowanie sesji, zapewnienie integralności treści i bezpieczny roaming użytkownika.

Niemniej istotne są funkcje prezentacji zawartości mobilnej: konwersja, dostosowanie i personalizacja zawartości w formatach odpowiednich dla urządzeń mobilnych, a także jej dostarczanie: dystrybucja wiadomości, stron, dokumentów, kodów aplikacji itp.

Z kolei zarządzanie urządzeniami mobilnymi to m.in.:

1. wyposażanie (provisioning) klienckich urządzeń mobilnych, aplikacji i kont dla autoryzowanych użytkowników;
2. utrzymywanie rekordów zawierających dane o autoryzowanych użytkownikach mobilnych, klienckich urządzeniach mobilnych i konfiguracjach tych urządzeń;
3. definiowanie i wymuszanie standardów konfiguracyjnych i reguł użytkowania klienckich urządzeń mobilnych;
4. dystrybucja, instalowanie i konfigurowanie aplikacji na urządzeniach mobilnych; składowanie i odtwarzanie danych i oprogramowania na urządzeniach mobilnych;
5. monitorowanie, diagnostyka i lokalizowanie problemów urządzeń mobilnych.

Informacja o tożsamości, zawarta w katalogach, bazach danych i innych repozytoriach, służy do obsługi różnorodnych mechanizmów mobilnej warstwy pośredniczącej, w tym uwierzytelniania, autoryzacji, szyfrowania, roamingu, personalizacji i zarządzania urządzeniami klienckimi. Wszystkie te mechanizmy mogą być obsługiwane przez komponenty wdrażane w sieci przedsiębiorstwa oraz w sieciach zewnętrznych dostawców usług bezprzewodowych.

Generalnie użytkownicy mobilni rejestrują swoją tożsamość, uzyskują referencje i aktywują konta w każdej sieci WLAN (prywatnej lub publicznej) i/lub środowisku operatora WWAN, przez które mogą wykonywać roaming. Liczba oddzielnych kont mobilnych, które użytkownik musi zarejestrować, zależy od sieciowego systemu operacyjnego i poziomu integracji systemu rejestracji między różnymi środowiskami zarządzania tożsamością i dostępem bezprzewodowym.

Infrastruktura mobilnej warstwy pośredniczącej może być wdrażana w jednej z trzech konfiguracji:

1. całkowicie w ramach przedsiębiorstwa, gdy jest wprowadzany roaming pojedynczy pomiędzy prywatnymi WLAN;
2. częściowo wewnątrz przedsiębiorstwa i częściowo poprzez jednego lub kilku dostawców usług bezprzewodowych, gdy przedsiębiorstwo zarządza własnymi WLAN-ami i subskrybuje usługi transportowe WLAN;
3. całkowicie przez zewnętrznego dostawcę usług bezprzewodowych, gdy mobilność w całości jest obsługiwana przez roaming pojedynczy w ramach usług operatora WWAN.

Generalnie użytkownicy mobilni rejestrują swoją tożsamość, uzyskują referencje i aktywują konta w każdej sieci WLAN (prywatnej lub publicznej) i/lub środowisku operatora WWAN, przez które mogą wykonywać roaming. Liczba oddzielnych kont mobilnych, które użytkownik musi zarejestrować (założyć), zależy od sieciowego systemu operacyjnego i poziomu integracji systemu rejestracji pomiędzy różnymi środowiskami zarządzania tożsamością i dostępem bezprzewodowym.

Zobacz także

• Biometryka
• Dostęp do zasobów: identyfikacja, uwierzytelnianie i autoryzacja
• Metody ścisłego uwierzytelniania
• Podpisy cyfrowe i certyfikaty
• Podpis elektroniczny w praktyce
• Szyfrowanie i podpisy cyfrowe XML
• TSP (Time Stamp Protocol)
• Zarządzanie hasłami
• Zarządzanie tożsamością