Ambicjonalne rozdwojenie

Menedżerowie myślący o wdrożeniu rozwiązań do zarządzania tożsamością stoją przed nie lada dylematem. "Jeśli posiadamy rozwiniętą infrastrukturę, warto pomyśleć o udostępnieniu niektórych danych zewnętrznym kontrahentom. Do tego świetnie nadaje się .Net Passport. Jeśli jednak od początku wspólnie z partnerami rozwijamy rozwiązania, lepszym wyjściem wydaje się wykorzystanie standardów opracowywanych przez Liberty Alliance. Albo wykorzystanie obu tych metod jednocześnie" - mówi Dan Blum, analityk ds. rozwiązań z zakresu zarządzania tożsamością w Burton Group.

Pikanterii całej sprawie dodaje fakt, że oba standardy są w sumie zbliżone. "IBM i Microsoft nie przystąpiły do Liberty Alliance głównie ze względu na fakt, iż cała inicjatywa powstała jako kontrpropozycja m.in. Sun Microsystems do ich własnego pomysłu. Jednak ta retoryka ze strony Liberty Alliance ucichła, gdy tylko jej przedstawiciele zorientowali się, że klienci nie chcą wojny pomiędzy standardami" - wyjaśnia Dan Blum.

To podobieństwo jest na tyle duże, że na początku br. Liberty Alliance opublikowała specjalny dokument Identity Systems and Liberty Specification version 1.1, poświęcony opisowi różnic pomiędzy specyfikacją Liberty Alliance i osiągnięć .Net Passport. Podkreślono w nim, że celem Liberty Alliance jest wypracowanie specyfikacji dla protokołów, które mogą być zaimplementowane w różnych organizacjach, także tych korzystających z rozwiązań opartych na .Net Passport.

Przykładowo, usługa Web może występować jako dostawca usług identyfikacyjnych w definiowanym na kanwie standardów Liberty Alliance tzw. kręgu zaufania (circle of trust), tworząc oparte na SAML zabezpieczenia dla innych usług Web. Równocześnie jednak może funkcjonować jako pośrednik w uwierzytelnianiu wykonywanemu faktycznie przez mechanizmy Passport. Tworzenie pomostów pomiędzy obiema specyfikacjami jest więc możliwe. Możliwy jest także jeszcze inny scenariusz: ta sama usługa Web może, w zależności od kontekstu, występować zarówno jako członek kręgu zaufania Liberty, jak i członek Passport. W tym układzie użycie jednego bądź drugiego systemu uwierzytelniania zależy wyłącznie od tego, jak twórcy usług wyższego rzędu zdefiniują kręgi zaufania i powiązane z nimi procedury weryfikacji tożsamości.

W ramach opracowywania standardów Liberty Alliance wprowadza następujące specyfikacje: ID-FF (Identity Federation Framework) 1.2, ID-WSF (Identity Web Services Framework) oraz ID-SIS (Identity Service Interface Specifications). ID-FF umożliwia opracowywanie rozwiązań typu SSO oraz wymianę danych pomiędzy systemami i użytkownikami z wykorzystaniem zdefiniowanych w specyfikacji protokołów. Umożliwia również dostęp do niektórych zasobów przy zachowaniu pełnej poufności na temat tożsamości użytkownika. ID-WSF oferuje standaryzację narzędzi identyfikacyjnych wykorzystywanych przy dostępie do usług Web oraz używanych do budowy komponentów pozwalających na współdzielenie informacji o statusie użytkownika. W ramach organizacji OASIS IBM i Microsoft pracują oczywiście nad własnymi rozwiązaniami w tej dziedzinie. "Gdy obie te specyfikacje ujrzą światło dzienne, obie grupy zaczną zapewne zastanawiać się, jak doprowadzić do ich kompatybilności. Stałe różnicowanie i ujednolicanie nie jest najlepszym sposobem na stworzenie standardów bezpieczeństwa" - komentuje Dan Blum.

Niespieszna standaryzacja

Na razie OASIS i Liberty Alliance rozwijają swoje standardy niezależnie. Czasem przypomina to wręcz przerzucanie między sobą pomysłów przez wielką ścianę odgradzającą oba nurty. Dopóki końca batalii standaryzacyjnej nie widać, dopóty każdy z dostawców próbuje budować ofertę w dziedzinie bezpiecznego uwierzytelniania we własnym zakresie. Przykładowo, IBM intensywnie rozwija funkcje związane z zarządzaniem tożsamością w ramach pakietu Tivoli, Microsoft zaś rozszerza możliwości Windows w tym zakresie (np. rozbudowane reguły związane z rolami w Windows Server 2003). RSA rozwija mechanizmy i narzędzia pozwalające na synchronizację haseł i chce umożliwić ich integrację z narzędziami innych dostawców. Novell, dołączając do wyścigu, ogłosił w kwietniu br. dodanie mechanizmów identyfikacyjnych do Novell eDirectory oraz rozszerzenia SAML do systemu Novell iChain. Entrust zintegrował swoją technologię Waveset w Entrust Secure Identity Solution, oprogramowaniu do zarządzania zdalnym dostępem do aplikacji opartym na Internecie.

Na rynek wchodzą też nowi gracze, jak Oblix, Thor Technologies czy Business Layers. W najnowszej edycji pakietu IdentityMinder tej ostatniej firmy wprowadzono mechanizmy umożliwiające łatwe udostępnianie oraz zmianę zasad dostępu do aplikacji nowym użytkownikom. Moduł do identyfikacji i kontroli dostępu zawiera synchronizację haseł, zarządzanie polityką dostępu na podstawie ról pełnionych w organizacji. System współpracuje z serwerem aplikacyjnym BEA WebLogic, a wkrótce również ma wspierać produkty IBM i JBoss.

Wszyscy ci dostawcy wykorzystują standardy ustanowione przez Liberty Alliance. Pozwala to sądzić, że z czasem zbliżą to do nich także Microsoft i IBM, tego bowiem oczekują klienci. Korporacje są konserwatywne nie bez powodu - nieraz przekonały się, że bez otwartych, powszechnie akceptowanych standardów inwestowanie w technologie kończy się fiaskiem. Będą bacznie przyglądać się, czy dostawcy nie chcą przypadkiem zmusić ich do niepotrzebnych zakupów. Rozwiązania, które zdobędą serca korporacyjnych decydentów, będą usuwać problemy, dla których zostały stworzone, a jednocześnie będą łatwo integrować się z systemami uwierzytelniającymi użytkowanymi do tej pory. Innej drogi nie ma.