Sdílet prostřednictvím

Interoperabilita federované správy identit

  • Článek

 

Microsoft Corporation

Květen 2004

Shrnutí: Vzhledem k tomu, že podniky rozšiřují interní systémy na externí uživatele, je důležité zajistit, aby systémy mohly spolupracovat s aplikacemi jiných organizací. Přední poskytovatelé řešení pro správu identit ukázali svá řešení, která tuto potřebu splňují, na nedávném workshopu o interoperabilitě. (7 tištěných stránek)

Poznámka Tento dokument popisuje výsledky workshopu, ve kterém byly testovány implementace scénáře interoperability pomocí WS-Federation pasivního profilu žadatele na základě sady standardů zabezpečení webových služeb.

Obsah

Správa federovaných identit
Workshopy protokolu webových služeb
WS-Federation interoperabilita pasivního profilu žadatele
Výsledky workshopu a diskuze
Související odkazy

Správa federovaných identit

Aby organizace vyhověly výzvám současných trendů v oboru, jako je růst obchodu mezi podniky, zvýšená mobilita a potřeba trvalého připojení, rozšiřují interní systémy na externí uživatele, které poskytují připojení zákazníkům, partnerům, dodavatelům a mobilním zaměstnancům. Zajištění efektivního a bezproblémového připojení vyžaduje vytvoření vztahů založených na důvěryhodnosti, které organizacím umožní bezpečně sdílet informace o identitě uživatele. Vztahy důvěryhodnosti umožňují tok informací o identitě a zásadách mezi organizacemi nezávisle na platformě, aplikaci nebo modelu zabezpečení. Vztahy důvěryhodnosti je třeba rychle a efektivně vytvořit, aby se maximalizovala produktivita a eliminovaly se ruční procesy, které se dnes často provádí. Federace popisuje technologie a obchodní uspořádání nezbytné pro toto propojení.

Federované systémy musí spolupracovat napříč hranicemi organizace a propojit procesy s využitím různých technologií, úložiště identit, přístupů zabezpečení a programovacích modelů. V rámci federovaného systému jsou identity a jejich přidružené přihlašovací údaje stále uloženy, vlastněny a spravovány samostatně. Každý jednotlivý člen federace i nadále spravuje své vlastní identity, ale je schopen bezpečně sdílet a přijímat identity a přihlašovací údaje ze zdrojů jiných členů.

V rámci federovaného systému potřebuje organizace standardizovaný a zabezpečený způsob vyjádření nejen služeb, které zpřístupňuje důvěryhodným partnerům a zákazníkům, ale také zásad, pomocí kterých řídí svou firmu, například které jiné organizace a uživatelé důvěřuje, jaké typy přihlašovacích údajů a požadavků přijímá, a zásady ochrany osobních údajů.

Společnost Microsoft v reakci na tuto potřebu spolupracuje s předními obory na vývoji sady specifikací pro architekturu distribuovaných aplikací, které se běžně označují jako webové služby. Architektura webových služeb je založena na oborových standardech, jako jsou SOAP, XML, WSDL a UDDI, a poskytuje základ pro poskytování kompletních interoperabilních obchodních řešení pro rozšířený podnik, včetně možnosti správy federovaných identit a zabezpečení. Model webových služeb vychází z myšlenky, že podnikové systémy jsou napsané v různých jazycích s různými programovacími modely, které běží na různých typech zařízení a k nimž se přistupuje z mnoha různých typů zařízení. Webové služby jsou platformou a jazykem nezávislým prostředkem vytváření distribuovaných systémů, které se můžou snadno a efektivně vzájemně propojit a interagovat přes internet. Další informace o webových službách a specifikacích webových služeb najdete na webu MSDN Web Services Developer Center.

Vzájemná funkční spolupráce

Úspěch architektury webových služeb a aplikací, které umožňuje, závisí na schopnosti těchto aplikací spolupracovat napříč důvěryhodnou sítí firem, partnerů a služeb bez ohledu na platformu, programovací jazyk nebo aplikaci, se kterou interagují. Za tímto účelem podniky implementují webové služby, aby jejich aplikace splňovaly standardy webových služeb, aby byla zajištěna interoperabilita. Standardy webových služeb – včetně SOAP, XML, WSDL a UDDI – úspěšně umožňují vývojářům vytvářet řešení webových služeb, která jsou interoperabilní napříč různými platformami, programovacími jazyky a aplikacemi. Jedním z hlavních způsobů, jak ověřit, že tato interoperabilita existuje a že specifikace webových služeb tyto obchodní cíle zajišťují, je prostřednictvím protokolů interop workshopů.

Workshopy protokolu webových služeb

Workshopy protokolu webových služeb představují způsob, jak zapojit komunitu webových služeb (včetně společností koncových uživatelů, výrobců softwaru a dalších dodavatelů) do procesu ověřování a upřesňování specifikací WS-*. Existují dva typy workshopů: Zpětná vazba a Interoperabilita. Workshopy zpětné vazby umožňují autorovi každého protokolu webových služeb sdílet základní informace o návrhu a přijímat zpětnou vazbu od účastníků ohledně praktičnosti implementace. Workshopy o interoperabilitě se konají ze stejných důvodů a navíc umožňují společnostem testovat interoperabilitu jejich implementace s ostatními účastníky workshopu.

Jakmile se z workshopů nashromáždí veškerá zpětná vazba a výsledky implementace, autoři aktualizují a upřesní specifikaci pro odeslání do organizace pro nastavení standardů.

WS-Federation workshop o interoperabilitě profilu pasivního žadatele

29. a 30. března 2004 uspořádali autoři specifikace WS-Federation Passive Requester Profile dvoudenní workshop o interoperabilitě v kampusu Microsoftu v Redmondu ve Státě Washington.

Dvoudenní workshop byl otevřeným fórem pro společnosti, které mají implementace založené na specifikaci WS-Federation zveřejněné 8. července 2003 a WS-Federation pasivní profil žadatele, který byl také publikován 8. července 2003. Před událostí byl poskytnut dokument o scénáři a účastníci byli pozváni, aby otestovali své implementace scénáře s implementacemi od jiných společností. Mezi účastníky workshopu patří IBM Corporation, Microsoft Corporation, Netegrity Inc., Oblix Inc., OpenNetwork Corporation, Ping Identity Corporation a RSA Security Inc. Další informace o tomto a dalších workshopech k protokolu webových služeb najdete na webu MSDN.

specifikace WS-Federation

Specifikace WS-Federation je součástí sady specifikací zabezpečení webových služeb. Definuje model a sadu zpráv pro zprostředkování důvěryhodnosti a federaci identit a ověřovacích informací v různých sférách důvěryhodnosti.

Specifikace WS-Federation identifikuje dva zdroje žádostí o identitu a ověřování napříč důvěryhodnými sférami: aktivní žadatele, jako jsou aplikace s podporou protokolu SOAP, a pasivní žadatele definované jako prohlížeče HTTP schopné široce podporovaného protokolu HTTP (např. HTTP 1.1).

WS-Federation pasivní profil žadatele

Profil WS-Federation pasivního žadatele je implementací WS-Federation a navrhuje standardní protokol pro způsob, jakým pasivní žadatele (například webové prohlížeče) používají architekturu federace. V rámci tohoto protokolu se od žadatele o webové služby očekává, že budou rozumět novým mechanismům zabezpečení a budou schopni komunikovat s poskytovateli webových služeb.

WS-Federation interoperabilita pasivního profilu žadatele

WS-Federation profil interoperability pasivního žadatele

Profil interoperability pasivního žadatele WS-Federation je dalším omezením profilu pasivního žadatele za účelem poskytnutí více záruk interoperability. Profil definuje standard pro vyžádání, výměnu a vydávání tokenů zabezpečení v kontextu pasivního žadatele, který jako typ tokenu používá SAML (Security Assertion Markup Language).

Profil interoperability WS-Federation pasivního žadatele byl vytvořen a distribuován účastníkům před workshopem jako průvodce pro vytváření interoperabilních implementací WS-Federation pasivního profilu žadatele. Při testování doporučeného protokolu spolupracovali dodavatelé na vytvoření scénáře implementace. Tento scénář odráží běžnou potřebu organizací outsourcovat služby, jako jsou výhody, třetím stranám, ale poskytovat přístup ke službě prostřednictvím interního webu (v tomto scénáři pasivní žadatel).

Scénář spolupráce

Ve scénáři workshopu o interoperabilitě společnost My Employer (ME) outsourcuje správu zaměstnaneckých výhod třetí straně, Benefits Company (BC). Můj zaměstnavatel a společnost benefitů má zavedenou důvěru a zásady pro obchodní federaci. V rámci koordinace podnikové federace se společností Benefits Company se můj zaměstnavatel zavazuje odesílat určité atributy specifické pro uživatele spolu s žádostí o prostředky společnosti Benefits Company. Aplikace pro správu výhod na webu Benefits Company vyžaduje, aby tyto atributy existovaly před zobrazením konkrétního prostředku, o který zaměstnanec v aplikaci Můj zaměstnavatel požádal.

Cíl tohoto scénáře byl trojnásobný:

  • Ilustrujte federaci mezi podniky mezi organizací a externím poskytovatelem služeb tím, že společnosti ME umožníte outsourcovat správu zaměstnaneckých výhod.
  • Otestujte interoperabilitu mezi řešeními různých dodavatelů vytvořená pomocí standardů uvedených v WS-Federation profilu pasivního žadatele.
  • Realizovat výhody podnikové federace:
    • Eliminuje potřebu správy identit a hesel pro zaměstnance ME, aby bylo možné spravovat výhody.
    • Poskytování důvěryhodných webových Jednotné přihlašování (SSO) pro zaměstnance ME k doméně BC.

Průvodce scénářem

Zaměstnanec ME je v práci a má přístup na stránku portálu interních výhod. Pokud se zaměstnanec ještě nepřihlásil ke své doméně v ME, musí to udělat, než získá přístup na stránku portálu výhod. Stránka portálu výhod zobrazuje informace týkající se konkrétního uživatele nebo samotného me a obsahuje odkazy na správu výhod uživatele.

Zaměstnanec klikne na odkaz pro správu výhod a ověří se u společnosti s výhodami pomocí přihlašovacích údajů, které jste předtím zadali pro ověření na stránce portálu výhod ME.

Zaměstnanci se v aplikaci pro správu výhod zobrazí přizpůsobená "úvodní stránka", která poskytuje přizpůsobené informace o zaměstnaneckých výhodách.

V této části by implementace aplikace se skutečnými výhodami umožnila zaměstnanci aktualizovat možnosti plánu stavu a kliknout na odkaz pro správu plánu stavu. Zaměstnanci se zobrazí různé dostupné možnosti plánu stavu a náklady na jednotlivé plány. Zaměstnanec vybere nový zdravotní plán a zobrazí se mu nová částka, která se má odečíst z každé výplaty. Zaměstnanec bude požádán o potvrzení této transakce.

Zaměstnanec potvrdí svůj výběr a vrátí se na přizpůsobenou úvodní stránku, která teď zobrazuje aktualizované informace o plánu stavu.

Pokud zaměstnanec znovu klikne na odkaz na svůj zdravotní plán, zobrazí se mu podrobnosti o zvoleném plánu stavu a bude mít možnost změnit svůj výběr před koncem období registrace.

Po dokončení transakce zaměstnanec klikne na odkaz pro odhlášení na webu BC a přenese se zpět na interní portál me, který zobrazí potvrzení, že zaměstnanec byl odhlášen z aplikace Benefit Company.

Výsledky workshopu a diskuze

Workshop o interoperabilitě profilu pasivního žadatele WS-Federation prokázal vysokou úroveň interoperability mezi všemi implementacemi od všech zúčastněných dodavatelů, což bylo dosaženo mnohem rychleji, než se čekalo, a s menším počtem problémů , což je jasný důkaz rostoucí vyspělosti těchto implementací.

Zákazníci implementující webové služby dnes chtějí vědět, že jejich aplikace vyhovují stávajícím standardům a že jsou schopné interoperability s jinými produkty podporujícími webové služby. Implementace scénáře interoperability testované na workshopu prokázaly interoperabilitu mezi všemi řešeními dodavatelů.

Poskytování komplexního, konzistentního a rozšiřitelného modelu pro webové služby a federovanou správu identit vyžaduje koordinované úsilí dodavatelů platforem, vývojářů aplikací, poskytovatelů sítí a infrastruktury a zákazníků. Události, jako je nedávný workshop WS-Federation pasivní profil žadatele, podporují široké zapojení odvětví do vývoje standardů webových služeb a zajišťují, že zákazníci, vývojáři a dodavatelé prokázali protokoly pro vytváření webových služeb, které jsou konzistentní, spolehlivé a interoperabilní napříč platformami, aplikacemi a programovacími jazyky.

Interoperabilita je a bude stále více faktorem při rozhodování zákazníků ohledně implementací webových služeb. V rámci podpory interoperability při implementaci webových služeb microsoft doporučuje:

  • Postupujte podle zavedených implementačních protokolů webových služeb. Specifikace webových služeb a další podporu pro vývoj a implementaci webových služeb najdete na webu MSDN Web Services Developer Center.
  • Zúčastněte se nadcházejících workshopů o zpětné vazbě a interoperabilitě webových služeb. Kliknutím získáte další informace o workshopu.
  • Seznamte se s pokyny pro interoperabilitu WS-I. Další informace o pokynech a dalších vývojářských materiálech WS-I najdete na adrese http://www.ws-i.org/.
  • Pomocí testovacích nástrojů WS-I ověřte, že vaše aplikace webových služeb vyhovuje pokynům pro interoperabilitu WS-I.

Sada specifikací Zabezpečení webových služeb poskytuje kompletní řešení pro správu federovaných identit, které umožňuje zabezpečenou a efektivní komunikaci a spolupráci mezi organizacemi a externími uživateli. Vytváření interoperabilních řešení založených na standardech WS Security dále urychlí přijetí federované správy identit a umožní zákazníkům implementovat řešení webových služeb s nižšími náklady na implementaci a nižšími riziky.

Další informace najdete v následujících zdrojích informací:

© 2004 Microsoft Corporation. All rights reserved.

Jedná se o předběžný dokument, který může být v průběhu času podstatně změněn. The information contained in this document represents the current view of Microsoft Corporation on the issues discussed as of the date of publication. Vzhledem k tomu, že společnost Microsoft musí reagovat na měnící se podmínky na trhu, neměla by být interpretována jako závazek ze strany microsoftu a nemůže zaručit přesnost jakýchkoli informací předložených po datu zveřejnění.

Prezentace, distribuce nebo jiné šíření informací obsažených v tomto dokumentu není licencí, ať už výslovně, ani implicitně, na duševní vlastnictví vlastněné nebo řízené společností Microsoft a\nebo jakoukoli jinou třetí stranou. Společnost Microsoft a\nebo jakákoli jiná třetí strana může mít patenty, patentové přihlášky, ochranné známky, autorská práva nebo jiná práva duševního vlastnictví týkající se předmětu tohoto dokumentu. Poskytnutím tohoto dokumentu vám nedáváte žádnou licenci k patentům, ochranným známkám, autorským právům nebo jinému duševnímu vlastnictví společnosti Microsoft nebo jiné třetí strany. Ukázkové společnosti, organizace, produkty, názvy domén, e-mailové adresy, loga, lidé, místa a události uvedené v tomto dokumentu jsou fiktivní. Není ani by se nemělo odvozovat žádné spojení se skutečnou společností, organizací, produktem, názvem domény, e-mailovou adresou, logem, osobou, místy nebo událostmi.

Tento dokument a zde obsažené informace jsou poskytovány na základě "TAK, JAK JSOU" a v maximálním rozsahu povoleném platnými zákony, společnost Microsoft poskytuje dokument TAK, JAK JE A SE VŠEMI CHYBAMI, a tímto se zříká všech ostatních záruk a podmínek, ať už výslovných, předpokládaných nebo zákonných, včetně (mimo jiné) předpokládaných záruk, povinností nebo podmínek obchodovatelnosti, vhodnosti pro určitý účel, přesnosti nebo úplnosti odpovědí, výsledků, pracovního úsilí, nedostatku virů a nedbalosti, to vše s ohledem na dokument. ROVNĚŽ NEEXISTUJE ŽÁDNÁ ZÁRUKA ANI PODMÍNKA VLASTNICTVÍ, TICHÉHO UŽÍVÁNÍ, TICHÉHO VLASTNICTVÍ, KORESPONDENCE K POPISU NEBO NEPORUŠENÍ PRÁV DUŠEVNÍHO VLASTNICTVÍ, POKUD JDE O DOKUMENT.

V ŽÁDNÉM PŘÍPADĚ NEBUDE SPOLEČNOST MICROSOFT ODPOVÍDAT ŽÁDNÉ JINÉ STRANĚ ZA NÁKLADY NA POŘÍZENÍ NÁHRADNÍHO ZBOŽÍ NEBO SLUŽEB, UŠLÝ ZISK, ZTRÁTU POUŽITÍ, ZTRÁTU DAT NEBO JAKÉKOLI NÁHODNÉ, NÁSLEDNÉ, PŘÍMÉ, NEPŘÍMÉ NEBO ZVLÁŠTNÍ ŠKODY, AŤ UŽ NA ZÁKLADĚ SMLOUVY, DELIKTU, ZÁRUKY NEBO JINAK, VYPLÝVAJÍCÍ JAKÝMKOLI ZPŮSOBEM Z TÉTO NEBO JAKÉKOLI JINÉ SMLOUVY TÝKAJÍCÍ SE TOHOTO DOKUMENTU, ZDA TATO STRANA PŘEDEM OZNAMOVALA MOŽNOST VZNIKU TAKOVÝCH ŠKOD.

Microsoft a Microsoft Web Services jsou registrované ochranné známky nebo ochranné známky společnosti Microsoft Corporation v USA a/nebo v jiných zemích.

The names of actual companies and products mentioned herein may be the trademarks of their respective owners.