Standardy elektronicznej aprowizacji

Wyposażanie elektroniczne (provisioning) jest procesem zarządzania przydziałem zasobów IT pracownikom, partnerom i kooperantom w ramach zarządzania tożsamością. Provisioning staje się usługą coraz powszechniej dostępną i wraz z jej dojrzewaniem pojawia się potrzeba otwartego standardu wspierającego integrację kont i usług infrastruktury zarządzania i tożsamości.

Wyposażanie elektroniczne (provisioning) jest procesem zarządzania przydziałem zasobów IT pracownikom, partnerom i kooperantom w ramach zarządzania tożsamością. Provisioning staje się usługą coraz powszechniej dostępną i wraz z jej dojrzewaniem pojawia się potrzeba otwartego standardu wspierającego integrację kont i usług infrastruktury zarządzania i tożsamości.

SPML (Service Provisioning Markup Language) jest opartym na XML schematem wymiany pomiędzy organizacjami informacji aprowizacyjnych o użytkownikach, zasobach i usługach. Schemat ten ma ustanawiać otwarty, standardowy protokół zapewniający integrację i współdziałanie zleceń usług wyposażania.

Projektowana przez komitet PTSC (Provisioning Technical Service Committee) przy OASIS (Organization for the Advancement of Structured Information Standard) wersja SMPL 1.0 jest przewidziana do ratyfikacji.

Sposób na niekompatybilność

Specyfikacja ta została zaprojektowana, by pomóc administratorom w rozwiązywaniu problemów niekompatybilności systemów logowania, które uniemożliwiają współdziałanie między istniejącymi systemami wyposażania. Systemy te pozwalają na automatyczne ustanawianie i usuwanie kont użytkowników w sieci korporacyjnej i aplikacjach.

PTSC interpretuje provisioning jako środek zapewniania zasobów IT, niezbędnych do wykonania predefiniowanej działalności biznesowej. Komitet wykracza poza początkowe wymagania, ograniczające się do zapewnienia zasobów, obejmując standaryzacją zarządzanie całym cyklem "życia" tych zasobów. Dotyczy to wyposażania w usługi cyfrowe, takie jak konta użytkownika i dostęp do uprawnień w systemach, sieciach i aplikacjach, a także niecyfrowe czy inaczej fizyczne zasoby, np. telefony komórkowe czy karty kredytowe.

Standardy elektronicznej aprowizacji

Jak to działa

Wyłącznym celem usług wyposażania w sieci jest wykonywanie i zarządzanie zleceniami aprowizacyjnymi. Strona zlecająca (klient) wysyła do usługi wyposażania zestaw zleceń w postaci sformatowanych dokumentów SPML (dokument XML spełniający standard SPML). Na podstawie wcześniej zdefiniowanego modelu wykonania usługa wyposażeniowa podejmuje operacje określone w dokumencie SPML i wykonuje akcje na predefiniowanym zestawie usług docelowych lub zasobów.

Ogólny model SPML to taki, w którym strona kliencka zleca wykonanie operacji protokołowych na serwerach. W tym modelu klient wydaje zlecenie SPML opisujące operację, jaka ma być wykonana w danym punkcie usługi. Punkt obsługi jest odpowiedzialny za wykonanie niezbędnych operacji implementujących zlecenie. Po zakończeniu operacji punkt usługowy wysyła do klienta odpowiedź SPML precyzującą rezultaty lub błędy.

SPML ma uprościć złożoność interfejsu klienta przez obsługę powszechnie wdrażanych aplikacji, które mogą wysyłać standaryzowane zlecenia usług wyposażania. Aby stało się to możliwe, SPML zapewnia prosty zestaw operacji podstawowych dla funkcji dołączania, modyfikowania, usuwania i przeszukiwania oraz otwarty model definiowania i wykrywania schematu usług (danych wymaganych do subskrypcji usługi).

W celu spełnienia tych wymagań SPML wersji 1.0 udostępnia model operacji rozszerzonych oraz synchroniczny i asynchroniczny model przetwarzania wsadowego zleceń/odpowiedzi. Pozwala to stronie zlecającej tworzyć zestaw wsadów akcji wyposażania i kontrolowania semantyki wykonawczej indywidualnych zleceń, a także wsadu jako całości.

SPML umożliwia współpracującym stronom bezpieczną wymianę zleceń wyposażeniowych i subskrypcji usług, używając protokołu opartego na otwartych standardach. Jest on łatwy do zrozumienia i wykonania oraz obsługiwany przez szeroki krąg dostawców.

Ze względu na to, że coraz więcej infrastruktur staje się zależnych od zarządzania tożsamością i wiele organizacji zaczyna budować i wdrażać web services, SPML będzie zapewne istotnym elementem opartego na standardach zarządzania tożsamością end-to-end.

Standard trochę przykrótki

Standard SPML w wersji 1.0 nie spełnia wszystkich wymagań. Z jednej strony ma on zapewnić integrację istniejącego oprogramowania wyposażania i zarządzania tożsamością już teraz, z drugiej, wysuwa się postulat jego rozszerzenia w kierunku obsługi web services.

IBM i Microsoft zarzucają wersji 1.0 brak mechanizmów wychodzących poza proste dodawanie i usuwanie użytkowników. W ich opinii specyfikacja nie jest dostatecznie elastyczna, aby integrować całą paletę standardów web services przez nich zaprojektowanych i obejmujących WS-Security i WS-Federation (oznaczanych skrótem WS-*). Obie firmy współpracują z OASIS nad usunięciem tych niedostatków.

Jednak pojawiają się i takie opinie, które zakładają, że wyposażanie w strukturach web services pojawi się dopiero za jakiś czas i w związku z tym nie ma powodu, aby zaniedbywać współdziałanie między tradycyjnymi systemami wyposażania systemów i aplikacji a SPML 1.0 jest dobrym krokiem w tym kierunku. Ze względu na to, że dzisiejsze, zróżnicowane systemy wyposażania nie mogą z sobą "rozmawiać", łączenie systemów wyposażania w ramach jednostek biznesowych lub na styku z partnerami biznesowymi jest bardzo utrudnione i staje się dokuczliwym problemem w dużych organizacjach.

Systemy wyposażania używają własnych technologii także do komunikacji z systemami docelowymi, w których zakładają lub usuwają konta, co wymusza używanie złączy dopasowujących z każdym docelowym systemem wyposażeniowym.

SPML 1.0 wymusza współdziałanie z obu stron i pozwala skupiać się na regułach biznesowych wyposażania kont użytkowników, a nie na technologii, w jakiej to jest wykonywane.

W ub.r. wiele firm, w tym BMC Software, Critical Path, OpenNetwork Technologies, PeopleSoft i Sun, przeprowadziło testy opartego na SPML współdziałania pomiędzy ich systemami wyposażania.

Realne staje się też powiązanie pomiędzy SPML i SAML (Security Assertion Markup Language) - standardem opartym na XML przeznaczonym do wymiany danych uwierzytelniających i autoryzujących użytkownika, ratyfikowanym w październiku 2002 r. przez OASIS.

Obie specyfikacje - SAML i SPML - zapewniają standardowy sposób tworzenia kont użytkowników i następnie ich zatwierdzenie jako składowych infrastruktury zarządzania tożsamością. Te dwie specyfikacje są spoiwem integrowania jednokrotnej rejestracji do aplikacji webowych i oprogramowania wyposażającego.

Ważna współpraca

Specjaliści z kręgów korporacyjnych uważają, że pierwszy krok integracyjny powinien być podjęty teraz, aby ułatwić wdrażanie systemów wyposażania, które są pożądane ze względu na korzyści, jakie wnoszą do systemu bezpieczeństwa usługi automatycznego usuwania na równi z usługami automatycznego tworzenia kont.

Jak będzie teraz wyglądać współpraca pomiędzy IBM, Microsoft i OASIS? Microsoft oświadczył, że nie będzie wspierał SPML 1.0, gdyż mechanizmy tam zawarte są zbyt ograniczone. W kwietniu ub.r. IBM starał się nakłonić PSTC do modyfikacji SPML pod kątem standardów WS-*. Po odmowie, firma zaniechała stosowania specyfikacji SPML w wersji 1.0, która opiera się na LDAP 2.0.

I chociaż IBM i OASIS twierdzą, że prowadzą prace zmierzające do uwzględnienia tych wymagań, to jednak IBM nie wyklucza stworzenia swojej specyfikacji związanej ze strukturą WS-*.

Czas pokaże, czy OASIS, IBM, Microsoft zdołają uczynić z SPML zunifikowane przedsięwzięcie spełniające wymagania stawiane przez dostawców.


TOP 200