Suchen

Identitäts- und Zugriffs-Management Schritt für Schritt - Teil 4

Identity Federation: SAML-Federation-Techniken für externe Nutzer

Seite: 3/3

Firmen zum Thema

SAML als universaler Web Single Sign On

SAML schlüpft heute häufig in die Rolle eines universalen Single Sign On (SSO) für Browser-basierenden Zugriff auf Anwendungen in fremden Sicherheitszonen. Dabei werden mit dem Post- und Artifact-Profil zwei unterschiedliche Zugangswege (siehe Kasten) geboten.

Der Hauptunterschied zwischen beiden Verfahren ist, dass im Post-Fall die Assertion vom IdP über den Browser an den Service-Provider weitergeleitet wird. Dagegen wird im Artifact-Profil „nur“ eine Referenz bzw. ein Zeiger auf das Artifact transportiert. Um im Bilde zu bleiben, erhält der Nutzer im erstgenannten Falle den Schlüssel, während im zweiten Profil „nur“ ein „Zettel“, mit der Bestätigung der Berechtigung, übermittelt wird.

Bildergalerie

Gemeinsam ist beiden Fällen, dass der Nutzer im Anschluss „fahren darf“ –also die angeforderte Ressource nutzen darf. Allerdings impliziert die jeweilige Profilwahl spezifische Anforderungen in der Infrastrukturgestaltung.

Im Falle des im Grunde einfacher klingenden Post-Szenarios werden über den Browser größere Datenmengen „gepostet“, da Nachrichten signiert werden müssen. Dabei muss der Browser darauf vorbereitet sein, Java-Skripte ausführen zu dürfen. Das Artifact-Profil verlangt hingegen eine eigene Verbindung zwischen der Prüfinstanz (IdP) und dem Service zu schalten. Dieser Kanal muss dann zumindest auf Transportebene (SSL) gesichert sein, da die Assertions unverschlüsselt ausgetauscht werden. Es steht zudem frei, die Assertions ebenfalls zu signieren, um einen zusätzlichen Schutz zu erlangen.

Allein die Wahl des SSO-Profils im Rahmen der SAML-Spezifikation bedingt eine unterschiedliche Gestaltung der Sicherheits-Infrastruktur. Das gilt für die oben erwähnten weiterreichenden Profile nicht minder. SAML selbst behandelt auch nur den abgegrenzten Bereich im gesamten Sicherheitskontext. Es werden Informationen zur Authentifizierung und Autorisierung sowie zur Identität unabhängig von der Anwendung transferiert. Wie diese Informationen zustande kommen, ist nicht vorgegeben.

Organisatorische Aspekte dürfen neben der Technik nicht vergessen werden

Ebenso wenig befasst sich der OASIS-Standard mit dem Provisioning/De-Provisioning von Nutzerkonten in den Anwendungen bzw. Services oder der tatsächlichen Autorisierung von Benutzern zu Beginn einer Sitzung. Das ist allerdings nicht zwingend ein Nachteil, da die für diese Aufgaben bekannten Techniken und Standards problemlos mit SAML kooperieren. Darüber hinaus hält eine Lösung wie CA Federation Manager eine Agenten-Komponente vor. Hiermit sind Geschäftspartner in der Lage, auch ohne eine vollständige SAML-Assertion den Zugangsschlüssel zu verarbeiten (siehe Kasten).

Neben der technischen Basis dürfen die organisatorischen und rechtlichen Aspekte nicht vernachlässigt werden. Denn eine Föderation impliziert, dass die Partner zumindest teilweise von den Sicherheitssystemen und Praktiken des jeweils anderen abhängig sind. Die Anforderungen und die Handhabung der Haftpflicht, die Maßnahmen im Falle einer tatsächlichen Sicherheitsverletzung bzw. die Kontrollmöglichkeiten oder die Handhabung von Problemfällen müssen vertraglich festgehalten werden.

Wer sich ein KFZ leiht, erwartet ja ebenfalls, dass technisch alles in Ordnung ist und der notwendige Versicherungsschutz vorhanden ist. Und der „Verleiher“ darf zu Recht davon ausgehen, dass er sein Fahrzeug wohl behalten zurückerhält und im Schadensfalle die Regelung eindeutig ist.

Inhalt

  • Seite 1: SAML-Federation-Techniken für externe Nutzer
  • Seite 2: Identity Federation setzt Planung voraus
  • Seite 3: SAML als universaler Web Single Sign On

(ID:2046795)