Dzielenie się danymi z partnerami to nie przejaw filantropii, lecz sposób na biznes. Możliwość kontroli tego, kto i w jakim zakresie ma wgląd w firmowe dane, to w gospodarce opartej na informacji - dosłownie - być albo nie być. Niestety, przynajmniej na razie, aby być, trzeba się też bać.

Duże koncerny tworzące sieci z partnerami, dostawcami i największymi klientami udostępniają swoje dane coraz szerszej grupie ludzi. Chęć działania szybciej i taniej rodzi potrzebę automatyzacji i samoobsługi, co jeszcze poszerza ten krąg. Zapanowanie nad dostępem do informacji staje się wyzwaniem samym w sobie i nie trzeba być prorokiem, aby przewidzieć, że systemy kontrolujące tożsamość użytkowników i strzegące dostępu do danych będą wkrótce nieodłącznym elementem każdej sieci.

Na razie jednak firma chcąca bezpiecznie współdzielić swoje dane z partnerami zewnętrznymi będzie mieć twardy orzech do zgryzienia, wybierając między wysokim poziomem bezpieczeństwa a funkcjonalnością rozwiązania. Ten dylemat pozostanie aktualny jeszcze długo. Rynek rozwiązań pozwalających kompleksowo zarządzać dostępem do informacji jest jeszcze na wczesnym etapie rozwoju - większość dostępnych rozwiązań ma charakter wycinkowy, co rodzi potrzebę integracji. Co gorsza, branża nie wypracowała dotychczas jednego, spójnego standardu w tej dziedzinie.

Technologie umożliwiające bezpieczne uwierzytelnianie i kontrolę dostępu do danych są wprawdzie projektowane od wielu lat, a ich rozwojem zajęli się niemal wszyscy liczący się dostawcy oprogramowania. Nadal jednak żaden z nich nie może jednoznacznie stwierdzić, że dysponuje pełną gamą rozwiązań do zarządzania tożsamością w heterogenicznych środowiskach współczesnych korporacji. "Każdy ma jakieś klocki, jednak nie jest z nich w stanie zbudować jednolitego w pełni przezroczystego dla użytkownika środowiska" - mówi Piotr Kaszyca, szef polskiego oddziału RSA Security. Oczywiście, wszyscy dostawcy deklarują możliwość realizacji projektów o podobnej skali, jednak, jak mówi o tym przedstawiciel jednej z firm: "zawsze jest to operacja na otwartym organizmie klienta". Ponadto bez pełnej gwarancji powodzenia.

Systemy takie jak Microsoft.Net Passport, Sun-ONE Identity Server, IBM Tivoli Access Manager, Novell nSecure czy BMC Control SA realizują dużą część zadań związanych z ID management. Każdy z nich ma jednak słabe punkty. Jednym z nich jest chociażby implementacja technologii SSO (Single Sign-On) zakładająca możliwość automatycznego uwierzytelniania się wobec wszystkich udostępnionych użytkownikowi aplikacji za pomocą jednokrotnego logowania. "To swoisty Święty Graal systemów do zarządzania tożsamością. Niemal wszyscy dążą do stworzenia takiego mechanizmu, jednak na razie nikomu nie udało się opracować w pełni bezpiecznych systemów SSO" - twierdzi Paweł Pilarczyk, menedżer produktu w CompFort Meridian, firmie będącej autoryzowanym partnerem RSA Security i BMC.

Samoloty i samochody

Ze względu na problemy związane ze złożonością rozwiązań do zarządzania tożsamością rozwój technologii rozwija się pod egidą dwóch grup. W ramach pierwszej z nich - Liberty Alliance - współpracuje ze sobą ponad 160 firm - dostawców i użytkowników technologii. Jej członkowie, wśród których znajduje się m.in. General Motors, tworzą i testują specyfikację opracowywaną przez grupę w swoich rzeczywistych środowiskach.

W ramach jednego z pierwszych projektów dotyczących zarządzania tożsamością zrealizowanego przez członków Liberty Alliance w intranecie firmy General Motors wdrożono rozwiązanie umożliwiające dotarcie do wielu wewnętrznych systemów za pomocą pojedynczego identyfikatora, np. do aplikacji kadrowych, systemów dotyczących opieki zdrowotnej i aplikacji obsługującej plan emerytalny. Obecnie trwają prace nad rozszerzeniem tego projektu na sieć ponad 10 tys. dostawców. W innym projekcie realizowanym w ramach tego porozumienia grupa dużych amerykańskich banków wraz z firmą konsultingową Niteo Partners pracuje nad stworzeniem wspólnej sieci bezpiecznej wymiany danych opartej na mechanizmach zarządzania tożsamością.

Największą sensację wzbudził jednak projekt zaprezentowany w lipcu br. przez Boeinga. Dzięki stworzonemu przez firmę systemowi typu SSO uprawnieni pracownicy linii mogą za pomocą identyfikatorów wydanych przez własną firmę dostać się portalu MyBoeingFleet, w którym producent samolotów umożliwia mechanikom zatrudnionym u partnerów dostęp online do elektronicznych instrukcji i schematów technicznych. Wszystko odbywa się bez konieczności oddzielnej synchronizacji identyfikatorów i haseł uwierzytelniających dla pracowników zatrudnionych u partnera.

Jednym z zadań Liberty Alliance jest opracowanie specyfikacji, która pozwalałaby na tworzenie powszechnie używanego systemu uwierzytelniania w Internecie opartego na języku/protokole SAML (Security Assertion Markup Language), służącym do zautomatyzowanej, bezpiecznej wymiany danych o tożsamości użytkownika pomiędzy aplikacjami.

Druga grupa, utworzona pod auspicjami IBM i Microsoftu, skupia się na wypracowaniu standardów identyfikacji w usługach Web (Web Services). W kwietniu ub.r. obie firmy ogłosiły inicjatywę WS-Security, której celem jest stworzenie standardów dla bezpiecznych usług Web. Wraz z 15 innymi partnerami IBM i Microsoft utworzyły organizację OASIS (Organization for the Advancement of Structured Information Standards), która w ich imieniu zajmuje się rozwojem i publikacją standardów. Od tego czasu opublikowano wiele dokumentów opisujących m.in. sposób uwierzytelniania się użytkowników wobec usług Web, usług Web między sobą i bezpiecznego przekazywania raz zaprezentowanych danych identyfikacyjnych w schemacie SSO. Powstały też rozszerzenia tych standardów do specyficznych zastosowań, np. telefonów komórkowych i urządzeń typu PDA.