Udostępnij za pośrednictwem

Współdziałanie federacyjnego zarządzania tożsamościami

  • Artykuł

 

Microsoft Corporation

Maj 2004 r.

Krótki opis: Ponieważ przedsiębiorstwa rozszerzają systemy wewnętrzne na użytkowników zewnętrznych, ważne jest, aby zapewnić współdziałanie systemów z aplikacjami innych organizacji. Wiodący dostawcy rozwiązań do zarządzania tożsamościami zademonstrowali swoje rozwiązania, które spełniają tę potrzebę w ostatnich warsztatach dotyczących współdziałania. (7 stron drukowanych)

Uwaga W tym dokumencie opisano wyniki tego warsztatu, w którym przetestowano implementacje scenariusza współdziałania przy użyciu profilu WS-Federation pasywnego żądania opartego na zestawie zabezpieczeń usług sieci Web.

Zawartość

Federacyjne zarządzanie tożsamościami
Warsztaty protokołu usług internetowych
współdziałanie profilu pasywnego żądającego WS-Federation
Wyniki warsztatów i dyskusja
Linki powiązane

Federacyjne zarządzanie tożsamościami

Aby sprostać wyzwaniu obecnych trendów branżowych, takich jak wzrost handlu między firmami, zwiększona mobilność i potrzeba trwałej łączności, organizacje rozszerzają systemy wewnętrzne na użytkowników zewnętrznych zapewniających łączność z klientami, partnerami, dostawcami i pracownikami mobilnymi. Zapewnienie wydajnej i bezproblemowej łączności wymaga tworzenia relacji opartych na zaufaniu, które umożliwiają organizacjom bezpieczne udostępnianie informacji o tożsamości użytkownika. Relacje zaufania umożliwiają przepływ informacji o tożsamości i zasadach między organizacjami niezależnie od platformy, aplikacji lub modelu zabezpieczeń. Relacje zaufania muszą być tworzone szybko i wydajnie, aby zmaksymalizować produktywność i wyeliminować procesy ręczne, które często odbywają się dzisiaj. Federacja opisuje technologię i ustalenia biznesowe niezbędne do tego połączenia.

Systemy federacyjne muszą współdziałać między granicami organizacji i łączyć procesy wykorzystujące różne technologie, magazyn tożsamości, podejścia do zabezpieczeń i modele programowania. W systemie federacyjnym tożsamości i skojarzone z nimi poświadczenia są nadal przechowywane, należące do użytkownika i zarządzane oddzielnie. Każdy członek federacji nadal zarządza własnymi tożsamościami, ale jest w stanie bezpiecznie udostępniać i akceptować tożsamości i poświadczenia z innych źródeł członków.

W ramach systemu federacyjnego organizacja potrzebuje ustandaryzowanego i bezpiecznego sposobu wyrażania nie tylko usług udostępnianych zaufanym partnerom i klientom, ale także zasad, za pomocą których prowadzi działalność, takich jak inne organizacje i użytkownicy, którym ufa, jakie typy poświadczeń i żądań akceptuje, oraz zasady ochrony prywatności.

W odpowiedzi na tę potrzebę firma Microsoft współpracuje z liderami branży w celu opracowania zestawu specyfikacji dla architektury aplikacji rozproszonych powszechnie nazywanych usługami sieci Web. Architektura usług sieci Web jest oparta na standardach branżowych, takich jak SOAP, XML, WSDL i UDDI, a także zapewnia podstawę do dostarczania kompletnych, wzajemnie operacyjnych rozwiązań biznesowych dla rozszerzonego przedsiębiorstwa, w tym możliwości zarządzania tożsamościami federacyjnymi i zabezpieczeniami. Model usług internetowych jest oparty na założeniu, że systemy przedsiębiorstwa są napisane w różnych językach, z różnymi modelami programowania, które działają i są dostępne z wielu różnych typów urządzeń. Usługi internetowe to niezależne od platformy i języka metody tworzenia systemów rozproszonych, które mogą łatwo i wydajnie łączyć się ze sobą i współdziałać ze sobą. Więcej informacji na temat usług sieci Web i specyfikacji usług sieci Web można znaleźć w Centrum deweloperów usług sieci Web MSDN.

Współdziałanie

Powodzenie architektury usług internetowych i aplikacji, które umożliwia, zależy od możliwości współdziałania tych aplikacji w zaufanej sieci firm, partnerów i usług niezależnie od platformy, języka programowania lub aplikacji, z którą współdziałają. W tym celu przedsiębiorstwa wdrażające usługi sieci Web chcą, aby aplikacje były zgodne ze standardami usług sieci Web w celu zapewnienia współdziałania. Standardy usług sieci Web — w tym SOAP, XML, WSDL i UDDI — umożliwiają deweloperom tworzenie rozwiązań usług internetowych, które są współdziałające na wielu platformach, językach programowania i aplikacjach. Jednym z głównych sposobów potwierdzenia tego współdziałania istnieje i że specyfikacje usług internetowych są dostarczane na te cele biznesowe, to warsztaty międzyoperacji protokołów.

Warsztaty protokołu usług internetowych

Warsztaty protokołu usług internetowych to sposób zaangażowania społeczności usług internetowych (w tym firm użytkowników końcowych, niezależnych dostawców oprogramowania i innych dostawców) w procesie weryfikacji i udoskonalania specyfikacji WS-*. Istnieją dwa typy warsztatów: opinie i współdziałanie. Warsztaty z opiniami umożliwiają autorowi każdego protokołu usług internetowych udostępnianie podstawowych informacji na temat projektu i odbieranie opinii uczestników na temat praktycznej implementacji. Warsztaty współdziałania odbywają się z tych samych powodów i umożliwiają firmom testowanie współdziałania ich implementacji z innymi uczestnikami warsztatów.

Po zebraniu wszystkich wyników opinii i implementacji z warsztatów autorzy aktualizują i uściśliją specyfikację przesyłania do organizacji dotyczącej standardów.

warsztaty współdziałania profilu pasywnego żądającego WS-Federation

29 marca i 30 marca 2004 r. autorzy specyfikacji profilu WS-Federation Passive Requester zorganizował dwudniowy warsztat współdziałania na kampusie firmy Microsoft w Redmond w Stanie Waszyngton.

Dwudniowe warsztaty były otwartym forum dla firm, które mają implementacje oparte na specyfikacji WS-Federation opublikowanej 8 lipca 2003 r. i profilu WS-Federation Passive Requester, opublikowane również 8 lipca 2003 r. Dokument scenariusza został dostarczony przed zaproszeniem uczestników wydarzenia do przetestowania ich implementacji scenariusza z implementacjami innych firm. Uczestnicy warsztatów obejmowały IBM Corporation, Microsoft Corporation, Netegrity Inc., Oblix Inc., OpenNetwork Corporation, Ping Identity Corporation i RSA Security Inc. Więcej informacji na temat tego i innych warsztatów protokołu usług internetowych można znaleźć w witrynie MSDN.

specyfikacja WS-Federation

Specyfikacja WS-Federation jest częścią zestawu specyfikacji zabezpieczeń usług sieci Web. Definiuje ona model i zestaw komunikatów do obsługi zaufania brokera oraz federację informacji o tożsamości i uwierzytelnianiu w różnych obszarach zaufania.

Specyfikacja WS-Federation identyfikuje dwa źródła żądań tożsamości i uwierzytelniania między obszarami zaufania: aktywnych żądań, takich jak aplikacje z obsługą protokołu SOAP, i pasywne żądania zdefiniowane jako przeglądarki HTTP obsługujące szeroko obsługiwane protokoły HTTP (np. HTTP 1.1).

profil WS-Federation pasywnego osoby żądającej

Profil pasywnego żądania WS-Federation jest implementacją WS-Federation i proponuje standardowy protokół dotyczący sposobu stosowania pasywnych żądań (takich jak przeglądarki internetowe). W ramach tego protokołu oczekuje się, że dostawcy usług sieci Web rozumieją nowe mechanizmy zabezpieczeń i mogą korzystać z dostawców usług sieci Web.

współdziałanie profilu pasywnego żądającego WS-Federation

WS-Federation pasywny profil współdziałania osoby żądającej

Profil współdziałania pasywnego żądania WS-Federation jest kolejnym ograniczeniem profilu pasywnego żądającego w celu zapewnienia większej liczby gwarancji współdziałania. Profil definiuje standard żądania, wymiany i wystawiania tokenów zabezpieczających w kontekście pasywnego obiektu żądającego przy użyciu języka SAML (Security Assertion Markup Language) jako typu tokenu.

Profil współdziałania WS-Federation Pasywny żądającego został utworzony i dystrybuowany do uczestników przed warsztatami jako przewodnik po tworzeniu wdrożeń międzyoperacyjnych profilu WS-Federation pasywnego żądania. Aby przetestować zalecany protokół, dostawcy pracowali nad tworzeniem scenariusza implementacji. Ten scenariusz odzwierciedla powszechną potrzebę, aby organizacje udostępniały usługi zewnętrzne, takie jak korzyści, ale zapewniają markowy dostęp do usługi za pośrednictwem wewnętrznej witryny sieci Web (pasywnego osoby żądającej w tym scenariuszu).

Scenariusz międzyoperacowy

W scenariuszu warsztatów inoperacyjności firma My Pracodawca (ME) przesłała zarządzanie świadczeniami pracowników osobom trzecim, Benefit Company (BC). Moja firma pracodawca i korzyści ustanowiła zaufanie i zasady dla federacji biznesowej. W ramach koordynacji federacji biznesowej z Benefit Company moja pracodawca zgadza się wysłać określone atrybuty specyficzne dla użytkownika, wraz z żądaniem zasobu do Benefits Company. Aplikacja do zarządzania korzyściami w firmie Benefits Company wymaga, aby te atrybuty istniały przed wyświetleniem określonego zasobu, którego zażądał pracownik w witrynie Mój pracodawca.

Celem tego scenariusza było trzykrotne:

  • Zilustruj federację biznesową między organizacją a dostawcą usług innej firmy, umożliwiając me outsourcing zarządzania świadczeniami pracowników.
  • Przetestuj współdziałanie między różnymi rozwiązaniami dostawcy utworzonymi przy użyciu standardów opisanych w profilu WS-Federation pasywnego żądania.
  • Zdaj sobie sprawę z korzyści federacji biznesowej przez:
    • Wyeliminowanie konieczności zarządzania tożsamościami i hasłami pracowników me w celu administrowania korzyściami.
    • Zapewnianie zaufanych Logowanie jednokrotne sieci Web (SSO) dla pracowników ME do domeny BC.

Przewodnik po scenariuszu

Pracownik ME jest w pracy i uzyskuje dostęp do wewnętrznej strony portalu korzyści. Jeśli pracownik nie zalogował się jeszcze do swojej domeny w me, musi to zrobić przed uzyskaniem dostępu do strony portalu korzyści. Na stronie portalu korzyści są wyświetlane informacje istotne dla poszczególnych użytkowników lub mnie i linki do zarządzania korzyściami użytkownika.

Pracownik klika link do zarządzania korzyściami i jest uwierzytelniany w firmie Benefit Przy użyciu poświadczeń podanych wcześniej do uwierzytelniania na stronie portalu korzyści ME.

Pracownik jest prezentowany z dostosowaną "stroną powitalną" przez aplikację do zarządzania korzyściami, która udostępnia spersonalizowane informacje o opcjach korzyści pracownika.

W tym miejscu rzeczywista implementacja aplikacji korzyści umożliwiłaby pracownikowi zaktualizowanie opcji planu kondycji i kliknięcie linku do zarządzania planem kondycji. Pracownik jest wyświetlany w różnych dostępnych opcjach planu kondycji i o ile każdy plan kosztuje. Pracownik wybiera nowy plan zdrowia i pokazuje nową kwotę, która ma zostać odliczana od każdego wynagrodzenia. Pracownik zostanie poproszony o potwierdzenie tej transakcji.

Pracownik potwierdza wybór i powraca do dostosowanej strony powitalnej, która teraz wyświetla zaktualizowane informacje o planie kondycji.

Jeśli pracownik ponownie kliknie link do planu zdrowotnego, zostaną wyświetlone szczegóły wybranego planu zdrowotnego i mają możliwość zmodyfikowania wyboru przed końcem okresu rejestracji.

Po zakończeniu transakcji pracownik kliknie link wylogowania w witrynie BC i zostanie przeniesiony z powrotem do portalu wewnętrznego w ME, który wyświetla potwierdzenie, że pracownik został wylogowany z aplikacji Benefit Company.

Wyniki warsztatów i dyskusja

Warsztaty współdziałania profilu WS-Federation Pasywnego Profilu żądającego wykazały wysoki poziom współdziałania między wszystkimi implementacjami wszystkich dostawców uczestniczących w projekcie, a to zostało osiągnięte znacznie szybciej niż oczekiwano i z mniejszą liczbą problemów — co jest wyraźnym znakiem rosnącej dojrzałości tych implementacji.

Klienci wdrażający obecnie usługi sieci Web chcą wiedzieć, że ich aplikacje spełniają istniejące standardy i są w stanie współdziałania z innymi produktami obsługującymi usługi internetowe. Implementacje scenariusza współdziałania przetestowane na warsztatach wykazały współdziałanie między wszystkimi rozwiązaniami dostawcy.

Zapewnienie kompleksowego, spójnego i rozszerzalnego modelu usług internetowych i federacyjnego zarządzania tożsamościami wymaga skoordynowanych wysiłków dostawców platformy, deweloperów aplikacji, dostawców sieci i infrastruktury oraz klientów. Wydarzenia takie jak ostatnie WS-Federation Pasywne warsztaty współdziałania profilu żądań promują szeroki udział w branży w ewolucji standardów usług internetowych i zapewniają klientom, deweloperom i dostawcom sprawdzone protokoły tworzenia usług internetowych, które są spójne, niezawodne i współdziałające między platformami, aplikacjami i językami programowania.

Współdziałanie jest i nadal będzie coraz większym czynnikiem w decyzjach klientów dotyczących implementacji usług internetowych. Aby zapewnić współdziałanie w implementacji usług sieci Web, firma Microsoft zaleca:

  • Postępuj zgodnie z ustalonymi protokołami implementacji usług sieci Web. Specyfikacje usług sieci Web i dodatkowa obsługa programowania i implementacji usług sieci Web można znaleźć w Centrum deweloperów usług sieci Web MSDN.
  • Weź udział w nadchodzących warsztatach dotyczących usług internetowych i współdziałania. Kliknij, aby uzyskać więcej informacji o warsztatach.
  • Zapoznaj się z wytycznymi dotyczącymi współdziałania WS-I. Więcej informacji na temat wytycznych i innych zasobów dla deweloperów WS-I można znaleźć na stronie http://www.ws-i.org/.
  • Skorzystaj z narzędzi do testowania WS-I, aby potwierdzić, że aplikacja usług sieci Web jest zgodna z wytycznymi dotyczącymi współdziałania WS-I.

Zestaw specyfikacji zabezpieczeń usług sieci Web udostępnia kompletne rozwiązanie do federacyjnego zarządzania tożsamościami, które umożliwia bezpieczną i wydajną komunikację i współpracę między organizacjami a użytkownikami zewnętrznymi. Tworzenie rozwiązań międzyoperacyjnych opartych na standardach zabezpieczeń WS dodatkowo przyspieszy wdrażanie federacyjnego zarządzania tożsamościami i umożliwi klientom implementowanie rozwiązań usług internetowych z obniżonym kosztem implementacji i ryzykiem.

Aby uzyskać więcej informacji, zobacz następujące zasoby:

© 2004 Microsoft Corporation. All rights reserved.

Jest to wstępny dokument i może zostać znacznie zmieniony wraz z upływem czasu. The information contained in this document represents the current view of Microsoft Corporation on the issues discussed as of the date of publication. Ponieważ firma Microsoft musi reagować na zmieniające się warunki rynkowe, nie należy interpretować zobowiązania ze strony firmy Microsoft, a firma Microsoft nie może zagwarantować dokładności wszelkich informacji przedstawionych po dacie publikacji.

Prezentacja, rozpowszechnianie lub inne rozpowszechnianie informacji zawartych w niniejszym dokumencie nie jest licencją, wyraźnie lub dorozumianie, do żadnej własności intelektualnej będącej własnością lub kontrolowanej przez firmę Microsoft i/lub jakiejkolwiek innej strony trzeciej. Firma Microsoft i/lub inne podmioty trzecie mogą mieć patenty, wnioski patentowe, znaki towarowe, prawa autorskie lub inne prawa własności intelektualnej obejmujące przedmiot niniejszego dokumentu. Wyposażenie tego dokumentu nie daje użytkownikowi żadnej licencji na patenty, znaki towarowe, prawa autorskie lub inną własność intelektualną firmy Microsoft. Przykładowe firmy, organizacje, produkty, nazwy domen, adresy e-mail, logo, osoby, miejsca i wydarzenia przedstawione w niniejszym dokumencie są fikcyjne. Żadne skojarzenie z żadną rzeczywistą firmą, organizacją, produktem, nazwą domeny, adresem e-mail, logo, osobą, miejscami lub wydarzeniami jest zamierzone lub nie powinny być wnioskowane.

Niniejszy dokument i informacje zawarte w niniejszym dokumencie są dostarczane na zasadzie "AS IS" i w maksymalnym zakresie dozwolonym przez obowiązujące prawo, Firma Microsoft dostarcza dokument AS IS AND WITH ALL FAULTS, i niniejszym wyłącza wszystkie inne gwarancje i postanowienia, zarówno wyraźne, dorozumiane, jak i ustawowe, w tym, ale nie tylko, wszelkie (jeśli w ogóle) dorozumiane gwarancje, obowiązków lub warunków handlowych, przydatności do określonego celu, dokładności lub kompletności odpowiedzi, wyników, pracy lub wysiłku, braku wirusów i braku zaniedbania, wszystkie w odniesieniu do dokumentu. NIE MA RÓWNIEŻ GWARANCJI ANI WARUNKU TYTUŁU, CICHEGO PRZYJEMNOŚCI, CICHEGO POSIADANIA, KORESPONDENCJI Z OPISEM LUB NARUSZENIEM WSZELKICH PRAW WŁASNOŚCI INTELEKTUALNEJ W ODNIESIENIU DO DOKUMENTU.

W ŻADNYM WYPADKU FIRMA MICROSOFT NIE BĘDZIE PONOSIĆ ODPOWIEDZIALNOŚCI ZA KOSZT POZYSKIWANIA TOWARÓW ZASTĘPCZYCH LUB USŁUG, UTRACONYCH ZYSKÓW, UTRATY UŻYTKOWANIA, UTRATY DANYCH LUB WSZELKICH PRZYPADKOWYCH, WYNIKOWYCH, BEZPOŚREDNICH, POŚREDNICH LUB SPECJALNYCH SZKÓD, NIEZALEŻNIE OD TEGO, CZY JEST TO UMOWA, CZYN NIEDOZWOLONY, GWARANCJA LUB W INNY SPOSÓB, WYNIKAJĄCE Z NINIEJSZEJ LUB JAKIEJKOLWIEK INNEJ UMOWY ZWIĄZANEJ Z TYM DOKUMENTEM, NIEZALEŻNIE OD TEGO, CZY TAKA STRONA Z GÓRY POWIADOMIŁA O MOŻLIWOŚCI WYSTĄPIENIA TAKICH SZKÓD.

Microsoft i Microsoft Web Services są zastrzeżonymi znakami towarowymi lub znakami towarowymi firmy Microsoft Corporation w Stany Zjednoczone i/lub w innych krajach.

The names of actual companies and products mentioned herein may be the trademarks of their respective owners.