Federated Network Identity Management

Das von über 150 Firmen und Organisationen getragene Konzept der Federated Identities zeichnet sich durch einen modularen Aufbau aus.

Artikel erschienen in Swiss IT Magazine 2004/17

     

Das Konzept der Federated Identities ist bestechend, lässt sich aber nicht ohne allgemein anerkannte und verbreitete Standards realisieren. Der umfassendste Ansatz zur Standardisierung föderativer Netzwerkidentitäten ist die Liberty Alliance, die 2001 unter der Ägide von Sun ins Leben gerufen wurde. Mittlerweile gehören der Vereinigung mehr als 150 Unternehmen und Organisationen vom Softwarehersteller bis zur Staatsregierung an.
Auch eine steigende Zahl von Produkten darf sich mit dem Siegel «Liberty Interoperable» schmücken. Bis dato handelt es sich dabei meist um spezielle Identity-Management-Produkte wie den Sun-eigenen Java System Identity Server, den Federated Identity Manager von IBM Tivoli, den Identity Provider von Novell, die ID-Management-Produkte von Trustgenix sowie diverse Produkte für den Mobilfunk, darunter der WAP-Gateway von Nokia. In die Basisausstattung jeder Identity-Management-Lösung, die ganz gewöhnlichen Directory-Server, hat es die Liberty-Konformität noch nicht geschafft.
Die Liberty-Alliance-Architektur gliedert sich in vier Module (vgl. Grafik):


• Das Identity Federation Framework ID-FF umfasst Basisfunktionen wie Single-Sign-On und Session-Management, die für födera0tive Netzwerkidentitäten benötigt werden und kann in heterogenen Umgebungen selbständig oder in Zusammenarbeit mit anderen ID-Management-Systemen zum Einsatz kommen. Zu den Besonderheiten des Liberty-Ansatzes gehört die Anonymität: Ein Dienst kann bei einem anderen Dienst gewisse Attribute von Benutzern anfordern, ohne die genaue Identität des Users zu kennen – zum Beispiel die Postleitzahl, um dem Benuzer die passende Wetterinformation zu liefern.


• Das Identity Web Services Framework ID-WSF, ein erst kürzlich in Phase 2 des Liberty-Projekts hinzugekommenes Modul, ermöglicht auf Basis des ID-FF die automatisierte Nutzung der föderativ gehandhabten Identitäten durch Web Services. ID-WSF steht in Konkurrenz zur WS-Federation-Spezifikation, die von einer Herstellergruppe rund um Microsoft aufgestellt wurde und bereits einige Popularität geniesst. Böse Zungen behaupten, die WS-Federation habe das Rad zweimal erfunden, indem bereits von der Liberty Alliance geleistete Entwicklungsarbeit auf eine andere Weise nochmals erledigt worden sei.


• Die Identity Services Interfaces Specifications ID-SIS dienen den Entwicklern erweiterter Dienste als Schnittstelle zur Liberty-Basis. Als Beispiele für solche interoperablen Zusatzdienste nennt ein Liberty-Whitepaper Kontakt- und Terminmanagement, Geo-Location-Dienste und Präsenzanzeige.


• Als Grundlage für die gesamte Liberty-Architektur dient das «vierte Modul»: Statt zusätzliche Standards zu erfinden, setzt Liberty auf bestehende Industrienormen im Web-Services-Bereich, darunter SOAP, WSDL und diverse XML-Spezifikationen. Im Bedarfsfall werden bestehende Standards passend erweitert und zur erneuten Verabschiedung an das ursprüngliche Normgremium zurückgegeben.





Die modulare Architektur der Liberty Alliance


Föderativ-Identitäten à la Microsoft

.Net Passport, das auch vom Hersteller selbst nur noch als SSO-Lösung für Consumer-orientierte E-Commerce-Websites vermarktet wird, arbeitet nicht nach dem föderativen Modell und eignet sich kaum als unternehmensintern oder im Extranet genutzte Single-Sign-On-Lösung. Stattdessen hat Microsoft 2002 einen föderativen ID-Management-Plan namens TrustBridge in Aussicht gestellt, von dem man allerdings seither wenig hörte – auch das entsprechende Whitepaper wurde inzwischen von der Website entfernt. Nach wie vor aktuell sind dagegen die diensteorientierten Spezifikationen WS-Federation und WS-Security.






An der diesjährigen MS-Entwicklerkonferenz TechEd Ende Mai erfuhren die Teilnehmer mehr oder weniger direkt neue Details zu den Redmonder Identity-Management-Plänen. Unter anderem war zu hören, dass die Federated-Services- und Active-Directory-Teams zusammengefasst wurden. Im Zentrum der künftigen Entwicklung stehen die Active Directory Federation Services ADFS, die in Release 2 des Windows-2003-Serversystems Eingang finden werden, das in der zweiten Hälfte 2005 auf den Markt kommen soll.
Neben ADFS entwickelt Microsoft einen Logon-Dienst, der auf browserbasierten Clients als Benutzerschnittstelle und Proxy für verschiedene Web-Services-Protokolle fungiert. Dazu kommen neue Single-Sign-On-Features in Version 6 des Microsoft-Webservers IIS sowie ein Service Pack für den Identity Integration Server MIIS 2003, das noch dieses Jahr erscheinen soll und unter anderem erweitertes Passwort-Management inklusive Passwortsynchronisation bringt. Im nächsten Jahr kommt dann MIIS 3.5 mit Self-Service- und Reporting-Erweiterungen.

(ubi)


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Welche Farbe hatte Rotkäppchens Kappe?
GOLD SPONSOREN
SPONSOREN & PARTNER