Identity Federation – neue Herausforderungen, neue Lösungen Der SAML-Standard hat seine Grenzen
Nichts ist stetiger als der Wandel – das gilt auch für das immer noch relativ junge Thema der Identity Federation. Seit den Anfängen mit der Liberty Alliance und der Etablierung insbesondere von SAML 2.0 als Standard hat sich viel getan. Klar ist aber auch, dass sich noch viel mehr tun wird.
Anbieter zum Thema

Mein Kollege Craig Burton hat vor einigen Wochen auf einer Konferenz die provokante Aussage „SAML is dead“ gemacht und damit für viel Aufsehen gesorgt. Diese Aussage ist natürlich nur die verkürzte Fassung einer differenzierten Analyse. Im Kern lässt sich festhalten aussagt, dass SAML alleine nicht mehr ausreicht, um die Anforderungen im Bereich Federation zu lösen.
SAML wird wichtig bleiben, aber andere Standards werden immer wichtiger werden. Diese Aussage kam für manche überraschend, weil SAML 2.0 sich eigentlich erst so langsam als der gemeinsame Nenner für Federation etabliert. Hinzu kommt, dass OAuth 2.0 als eines der Protokolle, das als eine der möglichen Alternativen gehandelt wird, in die Diskussion geraten ist.
Immerhin hatte eine der führenden Personen hinter dem neuen Protokoll kurz vor dessen Veröffentlichung erklärt, das Ergebnis nicht mittragen zu können. Allerdings mag das auch seinen Grund darin haben, dass sich OAuth 2.0 an komplexeren Anforderungen von Unternehmen orientiert, nicht mehr nur an wenigen reduzierten Anwendungsfällen.
Was SAML nicht leisten kann
Klar ist: Die Anforderungen an Federation verändern sich. SAML ist primär auf gerichtete, strukturierte Beziehungen zwischen einem Identity Provider (IdP) und einem oder mehreren Service Providern (SPs) oder mehreren SPs und einem IdP ausgerichtet. Es wird in der Praxis häufig nur für bidirektionale Beziehungen genutzt.
Komplexere Herausforderungen zeigen aber Grenzen auf. Man stelle sich ein Szenario vor, in denen mehrere Unternehmen Dokumente über einen SP austauschen möchten und jeweils ihre eigenen Benutzer authentifizieren und damit als IdP agieren. Wenn jedes Unternehmen die Zugriffssteuerung für eigens bereitgestellte Dokumente übernehmen soll, gleichzeitig aber möglichst wenige Informationen zwischen dieser Firma, den anderen IdPs und dem SP synchronisiert werden sollen, kann der SP nicht über die Autorisierung entscheiden.
(ID:36368570)