Freigeben über

Interoperabilität von Verbundidentitätsverwaltung

  • Artikel

 

Microsoft Corporation

Mai 2004

Zusammenfassung: Da Unternehmen interne Systeme auf externe Benutzer ausdehnen, ist es wichtig sicherzustellen, dass die Systeme mit den Anwendungen anderer Organisationen zusammenarbeiten können. Führende Anbieter von Identity Management-Lösungen demonstrierten ihre Lösungen, die diese Anforderung erfüllen, in einem kürzlich durchgeführten Interoperability Workshop. (7 gedruckte Seiten)

Hinweis In diesem Dokument werden die Ergebnisse dieses Workshops beschrieben, in dem Implementierungen eines Interoperabilitätsszenarios unter Verwendung des WS-Federation passiven Anfordererprofils basierend auf dem Webdienstsicherheitssatz getestet wurden.

Inhalte

Verbundidentitätsverwaltung
Web Services Protocol Workshops
interoperabilität des passiven Anfordererprofils WS-Federation
Workshopergebnisse und Diskussion
Ähnliche Themen

Verbundidentitätsverwaltung

Um den Herausforderungen aktueller Branchentrends wie wachstum im Business-to-Business-Handel, erhöhter Mobilität und der Notwendigkeit dauerhafter Konnektivität gerecht zu werden, erweitern Organisationen interne Systeme auf externe Benutzer, die Konnektivität für Kunden, Partner, Lieferanten und mobile Mitarbeiter bieten. Die Bereitstellung einer effizienten und nahtlosen Konnektivität erfordert den Aufbau von "vertrauensbasierten" Beziehungen, die es Organisationen ermöglichen, die Identitätsinformationen eines Benutzers sicher zu teilen. Vertrauensstellungen ermöglichen es, Identitäts- und Richtlinieninformationen unabhängig von plattform-, anwendungs- oder sicherheitsmodell zwischen Organisationen zu fließen. Vertrauensbeziehungen müssen schnell und effizient aufgebaut werden, um die Produktivität zu maximieren und die heute häufig stattfindenden manuellen Prozesse zu beseitigen. Der Verband beschreibt die technologie- und geschäftstechnischen Vereinbarungen, die für diese Vernetzung erforderlich sind.

Verbundsysteme müssen über Organisationsgrenzen hinweg zusammenarbeiten und Prozesse verbinden, die verschiedene Technologien, Identitätsspeicher, Sicherheitsansätze und Programmiermodelle verwenden. Innerhalb eines Verbundsystems werden Identitäten und die zugehörigen Anmeldeinformationen weiterhin separat gespeichert, verwaltet und verwaltet. Jedes einzelne Mitglied des Verbunds verwaltet weiterhin seine eigenen Identitäten, ist aber in der Lage, Identitäten und Anmeldeinformationen von Quellen anderer Mitglieder sicher zu teilen und zu akzeptieren.

Innerhalb eines Verbundsystems benötigt ein organization eine standardisierte und sichere Methode, um nicht nur die Dienste auszudrücken, die es vertrauenswürdigen Partnern und Kunden zur Verfügung stellt, sondern auch die Richtlinien, mit denen er sein Geschäft ausführt, z. B. welche anderen Organisationen und Benutzer er vertraut, welche Arten von Anmeldeinformationen und Anforderungen er akzeptiert, und seine Datenschutzrichtlinien.

Als Reaktion auf diese Anforderung arbeitet Microsoft mit Branchenführern zusammen, um eine Reihe von Spezifikationen für verteilte Anwendungsarchitekturen zu entwickeln, die häufig als Webdienste bezeichnet werden. Die Webdienstarchitektur basiert auf Branchenstandards wie SOAP, XML, WSDL und UDDI und bietet eine Grundlage für die Bereitstellung vollständiger, interoperabler Geschäftslösungen für das erweiterte Unternehmen, einschließlich der Fähigkeit zur Verwaltung von Verbundidentitäten und -sicherheit. Das Webdienstmodell basiert auf der Idee, dass Unternehmenssysteme in verschiedenen Sprachen mit unterschiedlichen Programmiermodellen geschrieben werden, die auf vielen verschiedenen Gerätetypen ausgeführt werden und auf die zugegriffen wird. Webdienste sind ein plattform- und sprachunabhängiges Mittel, um verteilte Systeme zu erstellen, die sich einfach und effizient über das Internet miteinander verbinden und miteinander interagieren können. Weitere Informationen zu Webdiensten und Webdienstspezifikationen finden Sie im MSDN Web Services Developer Center.

Interoperabilität

Der Erfolg der Webdienstarchitektur und der damit ermöglichten Anwendungen hängt von der Fähigkeit dieser Anwendungen ab, über ein vertrauenswürdiges Netzwerk von Unternehmen, Partnern und Diensten hinweg zu interagieren, unabhängig von der Plattform, Programmiersprache oder Anwendung, mit der sie interagieren. Zu diesem Zweck möchten Unternehmen, die Webdienste implementieren, dass ihre Anwendungen den Webdienststandards entsprechen, um die Interoperabilität sicherzustellen. Webdienststandards – einschließlich SOAP, XML, WSDL und UDDI – ermöglichen Entwicklern erfolgreich das Erstellen von Webdienstlösungen, die über mehrere Plattformen, Programmiersprachen und Anwendungen hinweg interoperabel sind. Eine der Standard Möglichkeiten, um zu bestätigen, dass diese Interoperabilität vorhanden ist und dass die Webdienstspezifikationen diese Geschäftsziele erfüllen, ist die Verwendung von Protokollinterop-Workshops.

Web Services Protocol Workshops

Web Services Protocol Workshops sind eine Möglichkeit, die Webdienstcommunity (einschließlich Endbenutzerunternehmen, ISVs und andere Anbieter) in den Prozess der Validierung und Verfeinerung der WS-*-Spezifikationen einzubeziehen. Es gibt zwei Arten von Workshops: Feedback und Interoperabilität. Feedback-Workshops ermöglichen es dem Autor jedes Webdienstprotokolls, Hintergrundinformationen zum Entwurf zu teilen und Feedback von den Teilnehmern zur Praktischkeit der Implementierung zu erhalten. Die Interoperabilitätsworkshops werden aus den gleichen Gründen durchgeführt und ermöglichen es Unternehmen, die Interoperabilität ihrer Implementierung mit anderen Workshop-Teilnehmern zu testen.

Nachdem alle Feedback- und Implementierungsergebnisse aus den Workshops gesammelt wurden, aktualisieren und verfeinern die Autoren die Spezifikation für die Einreichung an eine standardsorientierte organization.

WS-Federation Workshop zur Interoperabilität des passiven Anfordererprofils

Am 29. und 30. März 2004 veranstalteten die Autoren der Spezifikation WS-Federation Passive Requester Profile einen zweitägigen Interoperability Workshop auf dem Microsoft-Campus in Redmond, Washington.

Der zweitägige Workshop war ein offenes Forum für Unternehmen, die Implementierungen basierend auf der am 8. Juli 2003 veröffentlichten WS-Federation Spezifikation und dem WS-Federation Passive Requester Profile, ebenfalls veröffentlicht am 8. Juli 2003, haben. Vor der Veranstaltung wurde ein Szenariodokument bereitgestellt, und die Teilnehmer wurden eingeladen, ihre Implementierungen des Szenarios mit Implementierungen von anderen Unternehmen zu testen. Zu den Teilnehmern des Workshops gehörten IBM Corporation, Microsoft Corporation, Netegrity Inc., Oblix Inc., OpenNetwork Corporation, Ping Identity Corporation und RSA Security Inc. Weitere Informationen zu diesem und anderen Web Services Protocol Workshops finden Sie auf MSDN.

WS-Federation Spezifikation

Die WS-Federation-Spezifikation ist Teil des Web Services Security-Spezifikationssatzes. Es definiert ein Modell und eine Reihe von Nachrichten für die Vermittlung von Vertrauensstellungen und den Verbund von Identitäts- und Authentifizierungsinformationen in verschiedenen Vertrauensbereichen.

Die WS-Federation-Spezifikation identifiziert zwei Quellen für Identitäts- und Authentifizierungsanforderungen in vertrauenden Bereichen: aktive Anforderer, z. B. SOAP-fähige Anwendungen, und passive Anforderer, die als HTTP-Browser definiert sind, die allgemein unterstütztes HTTP (z. B. HTTP 1.1) unterstützen.

WS-Federation passives Anfordererprofil

Das WS-Federation Passives Anfordererprofil ist eine Implementierung von WS-Federation und schlägt ein Standardprotokoll für die Anwendung des Verbundframeworks durch passive Anforderer (z. B. Webbrowser) vor. Innerhalb dieses Protokolls wird erwartet, dass Webdienst-Anforderer die neuen Sicherheitsmechanismen verstehen und mit Webdienstanbietern interagieren können.

interoperabilität des passiven Anfordererprofils WS-Federation

WS-Federation Passiver Anforderer-Interoperabilitätsprofil

Das WS-Federation Passives Anforderer-Interoperabilitätsprofil stellt eine weitere Einschränkung für das Passive Requestor-Profil mit dem Ziel, mehr Interoperabilitätsgarantien bereitzustellen. Das Profil definiert einen Standard für das Anfordern, Austauschen und Ausstellen von Sicherheitstoken im Kontext eines passiven Anforderers, der SAML (Security Assertion Markup Language) als Tokentyp verwendet.

Das WS-Federation Passive Requestor-Interoperabilitätsprofil wurde erstellt und an die Teilnehmer vor dem Workshop als Leitfaden für die Erstellung interoperabler Implementierungen des WS-Federation passiven Anfordererprofils verteilt. Um das empfohlene Protokoll zu testen, haben Anbieter an der Erstellung eines Implementierungsszenarios zusammengearbeitet. Dieses Szenario spiegelt die allgemeine Notwendigkeit wider, dass Organisationen Dienste, z. B. Vorteile, an Dritte auslagern müssen, aber über eine interne Website (den passiven Anforderer in diesem Szenario) zugriff auf den Dienst bereitstellen.

Interop-Szenario

Im Szenario für den Interoperabilitätsworkshop lagert ein Unternehmen, Mein Arbeitgeber (ME), die Verwaltung der Mitarbeiterleistungen an einen Drittanbieter, Benefits Company (BC), aus. Mein Arbeitgeber und mein Leistungsunternehmen haben Vertrauen und Richtlinien für einen Unternehmensverbund eingerichtet. Im Rahmen der Koordination des Unternehmensverbunds mit dem Unternehmen "Benefits Company" erklärt sich Mein Arbeitgeber damit einverstanden, bestimmte benutzerspezifische Attribute zusammen mit der Ressourcenanforderung an Benefits Company zu senden. Die Leistungsverwaltungsanwendung bei Benefits Company erfordert, dass diese Attribute vorhanden sind, bevor die spezifische Ressource angezeigt wird, die der Mitarbeiter bei "Mein Arbeitgeber" angefordert hat.

Das Ziel dieses Szenarios war drei:

  • Veranschaulichen sie einen Business-to-Business-Verbund zwischen einem organization und einem Drittanbieter, indem ich die Verwaltung von Mitarbeiterleistungen auslagern kann.
  • Testen Sie die Interoperabilität zwischen verschiedenen Anbieterlösungen, die mit den standards erstellt wurden, die im WS-Federation Passive Requestor Profile beschrieben sind.
  • Nutzen Sie den Nutzen eines Unternehmensverbunds durch:
    • Es entfällt die Notwendigkeit für BC, Identitäten und Kennwörter für die Mitarbeiter von ME zu verwalten, um die Vorteile zu verwalten.
    • Bereitstellen vertrauenswürdiger Web-Single Sign-On (SSO) für die ME-Mitarbeiter für die BC-Domäne.

Exemplarische Vorgehensweise für das Szenario

Ein ME-Mitarbeiter ist am Arbeitsplatz und greift auf eine interne Leistungsportalseite zu. Wenn sich der Mitarbeiter noch nicht bei seiner Domäne bei ME angemeldet hat, muss er dies tun, bevor er Zugriff auf die Seite des Leistungsportals erhält. Auf der Seite des Vorteilsportals werden Informationen angezeigt, die für den einzelnen Benutzer oder für ME selbst relevant sind, und enthält Links zum Verwalten der Vorteile des Benutzers.

Der Mitarbeiter klickt auf den Link zur Leistungsverwaltung und wird mit den Anmeldeinformationen, die zuvor für die Authentifizierung bei der Portalseite für ME-Vorteile bereitgestellt wurden, beim Leistungsunternehmen authentifiziert.

Der Mitarbeiter erhält von der Leistungsverwaltungsanwendung eine angepasste "Willkommensseite", die personalisierte Informationen über die Auswahl der Leistungen des Mitarbeiters bereitstellt.

Hier würde eine tatsächliche Anwendungsimplementierung es einem Mitarbeiter ermöglichen, seine Gesundheitsplanoptionen zu aktualisieren und auf einen Link zu klicken, um seinen Gesundheitsplan zu verwalten. Dem Mitarbeiter werden die verschiedenen verfügbaren Gesundheitsplanoptionen und die Kosten der einzelnen Pläne angezeigt. Der Mitarbeiter wählt einen neuen Gesundheitsplan aus und wird der neue Betrag angezeigt, der von jedem Gehaltsscheck abgezogen werden soll. Der Mitarbeiter wird aufgefordert, diese Transaktion zu bestätigen.

Der Mitarbeiter bestätigt seine Auswahl und kehrt zur benutzerdefinierten "Willkommensseite" zurück, auf der nun die aktualisierten Gesundheitsplaninformationen angezeigt werden.

Wenn der Mitarbeiter erneut auf den Link zu ihrem Gesundheitsplan klickt, werden ihnen die Details des ausgewählten Gesundheitsplans angezeigt und haben die Möglichkeit, seine Auswahl vor Dem Ende des Registrierungszeitraums zu ändern.

Nach Abschluss der Transaktion klickt der Mitarbeiter auf einen Abmeldelink auf der BC-Website und wird zurück zu einem internen Portal bei ME weitergeleitet, das die Bestätigung anzeigt, dass der Mitarbeiter von der Benefit Company-Anwendung abgemeldet wurde.

Workshopergebnisse und Diskussion

Der WS-Federation Passive Requestor Profile Interoperability Workshop zeigte ein hohes Maß an Interoperabilität zwischen allen Implementierungen aller beteiligten Anbieter, und dies wurde viel schneller als erwartet und mit weniger Problemen erreicht. Dies ist ein deutliches Zeichen für die wachsende Reife dieser Implementierungen.

Kunden, die heute Webdienste implementieren, möchten wissen, dass ihre Anwendungen den bestehenden Standards entsprechen und mit anderen Produkten, die Webdienste unterstützen, interoperabilitätsfähig sind. Implementierungen des beim Workshop getesteten Interoperabilitätsszenarios zeigten die Interoperabilität zwischen allen Anbieterlösungen.

Die Bereitstellung eines umfassenden, konsistenten und erweiterbaren Modells für Webdienste und Verbundidentitätsverwaltung erfordert koordinierte Anstrengungen von Plattformanbietern, Anwendungsentwicklern, Netzwerk- und Infrastrukturanbietern und Kunden. Ereignisse wie der kürzlich WS-Federation Passive Requestor Profile Interoperability Workshop fördern eine breite Beteiligung der Branche an der Weiterentwicklung von Webdienststandards und stellen sicher, dass Kunden, Entwickler und Anbieter über bewährte Protokolle für die Erstellung von Webdiensten verfügen, die konsistent, zuverlässig und über Plattformen, Anwendungen und Programmiersprachen hinweg interoperabel sind.

Die Interoperabilität ist und bleibt ein wachsender Faktor bei kundeninternen Entscheidungen in Bezug auf Webdienstimplementierungen. Um die Interoperabilität bei der Implementierung von Webdiensten zu unterstützen, empfiehlt Microsoft Folgendes:

  • Befolgen Sie die etablierten Implementierungsprotokolle für Webdienste. Webdienstspezifikationen und zusätzliche Unterstützung für die Entwicklung und Implementierung von Webdiensten finden Sie im MSDN Web Services Developer Center.
  • Nehmen Sie an den bevorstehenden Workshops zum Feedback und zur Interoperabilität von Webdiensten teil. Klicken Sie hier, um weitere Workshop-Informationen zu erhalten.
  • Machen Sie sich mit den WS-I-Interoperabilitätsrichtlinien vertraut. Weitere Informationen zu den Richtlinien und anderen WS-I-Entwicklerressourcen finden Sie unter http://www.ws-i.org/.
  • Verwenden Sie WS-I-Testtools, um sicherzustellen, dass Ihre Webdienstanwendung den WS-I-Interoperabilitätsrichtlinien entspricht.

Der Web Services Security-Spezifikationssatz bietet eine vollständige Lösung für Federated Identity Management, die eine sichere und effiziente Kommunikation und Zusammenarbeit zwischen Organisationen und externen Benutzern ermöglicht. Die Erstellung interoperabler Lösungen, die auf WS-Sicherheitsstandards basieren, wird die Einführung von Federated Identity Management weiter beschleunigen und es Kunden ermöglichen, Webdienstlösungen mit geringeren Implementierungskosten und Risiken zu implementieren.

Weitere Informationen finden Sie in den folgenden Ressourcen:

© 2004 Microsoft Corporation. Alle Rechte vorbehalten.

Dies ist ein vorläufiges Dokument, das im Laufe der Zeit erheblich geändert werden kann. Die in diesem Dokument enthaltenen Informationen stellen die Sicht der Microsoft Corporation der hier diskutierten Themen zum Zeitpunkt der Veröffentlichung dar. Da Microsoft auf sich ändernde Marktbedingungen reagieren muss, sollte dies nicht als Verpflichtung von Microsoft interpretiert werden, und Microsoft kann die Richtigkeit von Informationen, die nach dem Datum der Veröffentlichung vorgelegt werden, nicht garantieren.

Die Präsentation, Verteilung oder sonstige Verbreitung der in diesem Dokument enthaltenen Informationen ist weder ausdrücklich noch implizit eine Lizenz für geistiges Eigentum, das im Besitz von Microsoft und\oder anderen Dritten steht oder von diesen kontrolliert wird. Microsoft und andere Dritte können Patente, Patentanmeldungen, Marken, Urheberrechte oder andere rechte geistiges Eigentum besitzen, die den Gegenstand dieses Dokuments betreffen. Durch die Bereitstellung dieses Dokuments erhalten Sie keine Lizenz für Patente, Marken, Urheberrechte oder andere geistiges Eigentum von Microsoft oder anderen Dritten. Die in den Beispielen genannten Unternehmen, Organisationen, Produkte, Domänennamen, E-Mail-Adressen, Logos, Personen, Orte und Ereignisse sind frei erfunden. Jede Ähnlichkeit mit tatsächlichen Firmen, Organisationen, Produkten, Domänen, Personen, Orten, Ereignissen, E-Mail-Adressen und Logos ist rein zufällig.

Dieses Dokument und die hierin enthaltenen Informationen werden in der vorliegenden Fassung bereitgestellt, und microsoft stellt das Dokument wie beanstandet und MIT ALLEN FEHLERN bereit und lehnt hiermit alle anderen Garantien und Bedingungen ab, entweder ausdrücklich, konkludiert oder gesetzlich, einschließlich, aber nicht beschränkt auf jegliche (falls vorhanden) konkludente Gewährleistungen, Pflichten oder Bedingungen der Handelsüblichkeit, der Eignung für einen bestimmten Zweck, der Richtigkeit oder Vollständigkeit der Antworten, der Ergebnisse, des arbeitsmännlichen Aufwands, des Fehlens von Viren und des Mangels an Fahrlässigkeit, alles in Bezug auf das Dokument. ES GIBT AUCH KEINE GEWÄHRLEISTUNG ODER BEDINGUNG DES TITELS, STILLER GENUSS, STILLER BESITZ, KORRESPONDENZ MIT BESCHREIBUNG ODER NICHTVERLETZUNG VON GEISTIGEN EIGENTUMSRECHTEN IN BEZUG AUF DAS DOKUMENT.

IN KEINEM FALL HAFTET MICROSOFT GEGENÜBER EINER ANDEREN PARTEI FÜR DIE KOSTEN DER BESCHAFFUNG VON ERSATZGÜTERN ODER -DIENSTLEISTUNGEN, ENTGANGENEN GEWINNEN, NUTZUNGSVERLUST, DATENVERLUST ODER ZUFÄLLIGEN, UNMITTELBAREN, INDIREKTEN ODER BESONDEREN SCHÄDEN, SEI ES AUFGRUND EINES VERTRAGS, EINER UNERLAUBTEN HANDLUNG, EINER GARANTIE ODER AUF ANDERE WEISE, DIE IN IRGENDEINER WEISE AUS DIESEM ODER EINER ANDEREN VEREINBARUNG IM ZUSAMMENHANG MIT DIESEM DOKUMENT ENTSTEHEN, GIBT AN, OB DIESE PARTEI ÜBER DIE MÖGLICHKEIT SOLCHER SCHÄDEN IM VORAUS BENACHRICHTIGT WURDE ODER NICHT.

Microsoft und Microsoft Web Services sind entweder eingetragene Marken oder Marken der Microsoft Corporation in den USA und/oder anderen Ländern.

Die in diesem Dokument erwähnten Namen von Unternehmen und Produkten können Marken der jeweiligen Eigentümer sein.