Точный
Статус документа
Статус документа

ГОСТ ISO/IEC 24760-2-2021 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Основы управления идентичностью. Часть 2. Базовая архитектура и требования

Приложение B
(справочное)

Модель варианта использования


В данном приложении представлена более подробная модель с примерной декомпозицией элементов базовой архитектуры. Эта декомпозиция включает действующих субъектов, описанных в таблице B.1.

Таблица B.1 - Действующие субъекты, представленные на диаграмме варианта использования.

Действующий субъект

Подробности

Оператор системы управления идентификационными данными

Сущность, отвечающая за обеспечение соблюдения политик управления идентификационными данными, осуществление управления конфигурационными данными в масштабе системы, обеспечение повседневной операционной поддержки.

Примечание - В объединении идентичностей эта роль может называться "оператором объединения"

Поставщик утверждений по идентификационным данным

Обязанностью поставщика утверждений по идентификационным данным является подтверждение аутентификации и/или атрибутов. Он выполняет работу проверяющей стороны и может иметь доступ к реестру идентификационных данных. Полагающаяся сторона может делегировать задачи аутентификации и/или предоставления атрибутов поставщику утверждений по идентификационным данным.

Поставщик утверждений по идентификационным данным аутентифицирует заявителя и/или получает данные из реестра идентификационных данных для предъявления идентификационной информации. Таким образом, система управления идентификационными данными может предоставлять полагающейся стороне услуги аутентификации, услуги, связанные с атрибутами, или и те и другие

Орган идентификационных данных

Действующий субъект, который может делать доказуемые заявления о действительности и/или правильности одного или нескольких значений атрибутов в идентификационных данных.

Орган идентификационной информации обычно связан с доменом, например с исходным доменом, где атрибуты, по которым орган идентификационных данных может делать заявления, имеют особую значимость.

Действующий субъект объединяет орган идентификационной информации и поставщика связанных с мандатами услуг

Поставщик связанных с мандатами услуг

Доверенный действующий субъект, который выпускает мандаты и/или управляет ими. В этом контексте роль поставщика услуг, связанных с мандатами, ограничена выпуском мандатов для использования при аутентификации сущности


Цель описания вариантов использования состоит в том, чтобы представить договор между действующим субъектом и системой, идентифицируя доступные действующему субъекту взаимодействия. Действующий субъект инициирует взаимодействие с системой для достижения четко определенной цели, и каждый вариант использования описывает ответное поведение системы.

Вариант использования может также описываться с помощью текстовых блоков, циклограмм и иной формализованной системы обозначений, которая сделает возможным определение дальнейших подробностей взаимодействия с системой. Представленная в данном приложении модель варианта использования является высокоуровневым представлением, которое включает только диаграммы, дополненные в качестве примера коротким формализованным описанием варианта использования "аутентификации сущности".

Описание вариантов использования может детализироваться для показа дальнейших подробностей, обычно представленных на многих уровнях абстракции. Описание варианта использования на более низком уровне абстракции может вводить дополнительных действующих субъектов для подсистем, и такие действующие субъекты находятся в рамках системы.

Вариант использования, показанный на рисунке B.1, описывает два основных варианта использования в системе управления идентификационными данными:

- доступ к защищенному ресурсу;

- доставку сообщения, подлежащего аутентификации.

Модель варианта использования в таблице B.2 описывает внутренних действующих субъектов системы управления идентификационными данными из таблицы B.1, чтобы показать варианты использования с большей степенью детализации.

Таблица B.2 - Краткое определение вариантов использования для системы управления идентификационными данными

Вариант использования

Описание

Доступ к услуге

Субъект хочет получить доступ к ресурсу, доступному после аутентификации сущности

Аутентификация сущности

Деятельность, связанная с аутентификацией субъекта в онлайновой транзакции

Аутентификация сообщения

Деятельность, связанная с аутентификацией отправителя сообщения

Использование сообщения

Получение сообщения и аутентификация отправителя

Управление согласием

Предоставление, пересмотр и аннулирование согласия на использование идентификационной информации с целью аутентификации для доступа к ресурсу

Управление мандатами

Деятельность, связанная с созданием, аннулированием и восстановлением мандатов, часто включает управление аппаратными мандатами

Управление метаданными

Управление конфигурационными данными поставщиков утверждений по идентификационным данным и полагающихся сторон машиночитаемым, надежным и функционально совместимым образом. Включает технические параметры, такие как адресация и криптографические ключи

Управление жизненным циклом идентификационной информации субъекта

Внесение в реестр, обновление, архивирование и удаление идентификационной информации

Управление политиками

Определение политики и процедур для управления системой управления идентификационными данными и ее поддержки

Получение запрашиваемых атрибутов

Получение атрибутов для аутентифицированного субъекта, необходимых для санкционирования его запрашиваемого доступа к услуге

Предоставление услуги

Полагающаяся сторона предоставляет ресурсы, требующие санкционированного доступа

Услуга предоставления

Предоставление полагающейся стороне идентификационной информации о субъектах

Отправка аутентифицированного сообщения

Отправка документа, запроса веб-сервиса и чего-то подобного. Здесь нет прямого ответа в процессе или транзакции.

Примеры:

a) Компания представляет на рассмотрение подписанный документ с балансовым отчетом, который она обязана предоставлять банку для поддержки кредитного лимита. Технически метод использует пересылку файла из клиентского компьютера в удаленный компьютер как анонимный пользователь. Аналогичными деловыми вариантами использования являются граждане, обращающиеся с заявлением о какой-то государственной деятельности, используя форму с электронной подписью.

b) Отправитель доставляет асинхронное подписанное сообщение, например как определено в SOAP, сервису


UML обозначения варианта использования могут рассматриваться как графическое содержание совокупности вариантов использования. Его элементы включают:

- эллипс: конкретный вариант использования;

- фигурку: действующий субъект (в смысле роли, а не конкретного лица);

- линию между действующим субъектом и вариантом использования: взаимосвязь "использования";

- прямоугольник (пунктирный): границы системы;

- стрелку "включение": вариант использования включает поведение варианта использования, на который указывает стрелка, подобно тому, как программа вызывает подпрограмму;

- стрелку "расширение": вариант использования, на который указывает стрелка, определяет, как и когда будет включено поведение другого варианта использования;

- стрелку с треугольником: указатель от более конкретного элемента (действующий субъект, вариант использования) на более обобщенный;

- пунктирную линию с одной стрелкой: общая зависимость вариантов использования.