Suchen

Identitäts- und Zugriffs-Management Schritt für Schritt - Teil 4

Identity Federation: SAML-Federation-Techniken für externe Nutzer

Seite: 2/3

Firmen zum Thema

Identity Federation setzt Planung voraus

Die Einrichtung einer Identity Federation setzt einige Überlegungen zur Technik und Organisation voraus. Dazu zählt zum einen ein gemeinsames Verständnis zum Umgang mit Identitäten, Rollen und Benutzerkonten. Zum anderen muss Einvernehmen darüber bestehen zu den Authentifizierungs- und Berechtigungsattributen.

Im Groben verwaltet ein Identity-Provider (Identitätsanbieter, IdP) als vertrauenswürdige Komponente Authentifizierungsattribute und stellt Berechtigungen bereit. Konsument dieser Identitätsinformationen ist die angeforderte Ressource einer Domäne (Service-Provider, SP) im Verbund, die den Nachweis zu Rollen und Gruppenzugehörigkeit akzeptiert als „Schlüssel“ zur Nutzung der gewünschten Systeme bzw. Ressourcen. Und natürlich muss der Austausch auf standardisierten Pfaden erfolgen.

Bildergalerie

In diesem Kontext ist weiterhin der wichtigste Standard die SAMLSecurity Assertion Markup Language (SAML), wenngleich im Rahmen der WS Security-Anstrengungen auch im Rahmen von Web Service-Szenarien Federation-Techniken spezifiziert werden. Das Gute ist, dass beide Standards miteinander „können“ und SAML als Berechtigungs-„Token“ der WS Security genutzt werden darf.

Security Assertion Markup Language (SAML) als Schlüssel-Standard

SAML wurde vor rund neun Jahren auf Initiative einer Abteilung von CA Technologies im Verbund mit anderen Unternehmen bei OASIS (Organization for the Advancement of Structured Information Standards) „geboren“. Hinter der Spezifikation verbirgt sich ein offenes Rahmenwerk auf Anwendungsebene zur Freigabe von Sicherheitsinformationen unter Verwendung von XML-Dokumenten. Die grundlegenden „Bausteine“ hier Assertions, Protokolle, Bindings und Profile. In den Assertions werden Informationen zu Authentifizierung und Autorisierung –quasi die Zugangsschlüssel – verwaltet.

Das Protokoll definiert, wie SAML-Assertions angefordert und ausgetauscht werden. Bindings regeln den Nachrichtenverkehr über Standard-Transportprotokolle. In Profilen wiederum wird das Zusammenspiel dieser Komponenten festgelegt. Hierzu zählen in der aktuellen Version 2.0 eine Reihe diverser Client-Zugänge (Web Browser oder andere Systeme).

Des Weiteren ermöglicht die Verwaltung so genannter Name Identifier die anonymisierte Kopplung bestehender Nutzer- oder Gruppenkonten, damit der anfordernde SP keine Rückschlüsse auf Zugangschlüssel beim Identitätsanbieter oder anderen Service-Providern ziehen kann. Das Logout-Profil dient in übergreifenden Nutzersitzungen für ein sicheres Abmelden bei allen beteiligten Anwendungen (Service Providern). In der Version 2.0 wird zudem eine WAYF (Where Are You From)-Funktion definiert. Damit kann sich ein Nutzer direkt beim Service-Provider anmelden, der den zugeordneten Identity Provider identifiziert. Zuvor musste die Anmeldung ausschließlich beim IdP erfolgen.

Inhalt

  • Seite 1: SAML-Federation-Techniken für externe Nutzer
  • Seite 2: Identity Federation setzt Planung voraus
  • Seite 3: SAML als universaler Web Single Sign On

(ID:2046795)