AAA - uwierzytelnianie, autoryzacja i kontrola dostępu (cz. 2)
- Józef Muszyński,
- 07.12.2012, godz. 09:50
Tożsamość sfederowana
Obecnie przy różnorodności form komunikacji SP i jego tożsamości często funkcjonują w więcej niż jednej domenie bezpieczeństwa. Aby SP był akceptowany w innych domenach bezpieczeństwa (foreign security domain), to domeny te muszą zaufać, że co najmniej system uwierzytelniania wyjściowej domeny działa prawidłowo.
• WS-Security
• XML Signature
• XML Encryption
• XML Key Management (XKMS)
• WS-SecurityPolicy
• WS-Trust
• WS-Federation
• Web Services Security Kerberos Binding
• Web Single Sign-On Interoperability Profile
"Tożsamość sfederowana" to pojęcie określające użycie pojedynczej tożsamości we wzajemnie zaufanych domenach bezpieczeństwa, uznających przenośność wyników procesu kontroli dostępu. Organizacja A uważa dostawcę tożsamości i system kontroli dostępu organizacji B za wiarygodne, i umożliwia użytkownikom z organizacji B dostęp do zasobów i usług organizacji A.
Federacja pozwala większej liczbie uczestników na łatwiejsze udostępnianie tożsamości i zasobów, zamiast tworzenia własnych systemów. Wiele sieciowych systemów ma swoje systemy federacji, ale też zatwierdzane są otwarte standardy (WS-Federation, WS-Trust itp.) do wspierania federacji na dużej liczbie platform. Federacja jest szeroko używana w komunikacji B2B i we wciąż rozwijającym się internecie jej znaczenie rośnie.
Otwarte standardy sfederowanej tożsamości w większości są budowane wokół: HTML, XML, SOAP, SAML i Web services. XML jest podstawowym językiem i formatem używanym do tworzenia i komunikowania informacji związanej z bezpieczeństwem.
Web services to instancje oprogramowania udostępniające zawartość i usługi w standaryzowanej architekturze integrowania rozproszonych aplikacji. Kilkanaście otwartych standardów Web services uwzględnia podstawowe potrzeby związane z bezpieczeństwem.
Tożsamość cyfrowa potrzebuje zunifikowanego metasystemu, który pomoże oddzielić aplikacje od wewnętrznych mechanizmów specyficznych implementacji tożsamości cyfrowych i pozwoli na ich swobodne łączenie. Taki metasystem ma umożliwić rozwój standaryzowanych technologii, działających w ramach metasystemu, bez konieczności ich wcześniejszego uzgadniania na forum ogólnoświatowym.
Kim Cameron, jeden ze znanych światowych ekspertów ds. tożsamości i kontroli dostępu, stworzył listę podstawowych założeń i pożądanych cech tożsamości cyfrowej pod nazwą Laws of Identity. Nie wszyscy podejmują się implementowania wszystkich tych praw w swoich wersjach metasystemu tożsamości (niektóre kraje są przeciwne anonimowości czy całkowitej prywatności w jakiejkolwiek postaci), ale na blogu Camerona (http://www.identityblog.com) można znaleźć informacje o wymyślnych typach tożsamości i federacji. Innym dobrym źródłem są też materiały Trusted Computing Group.