Identity Federation Standards für Cloud Services

Unternehmen mit 10000 und mehr Mitarbeitern stehen in der Regel vor der Herausforderung, den Zugriff auf eine Vielzahl von Anwendungen und Ressourcen – über organisatorische und geografische Grenzen hinweg – zu verwalten. Typischerweise sind dabei diverse Verzeichnisse (Directories) im Einsatz, die die Vergabe von Berechtigungen (Provisioning) unterstützen. Cloud Services tragen nun weiter zur Erhöhung der Komplexität dieser Aufgabe bei. Dabei stellen sich einige Fragen. Wie kann die Benutzerverwaltung in der Wolke automatisiert werden? Kann die im eigenen Unternehmen bevorzugte Authentisierungsmethode beim Zugriff auf Cloud-Anwendungen gewählt werden? Wie lässt sich ein nutzerfreundlicher Zugriff auf Systeme in der Wolke bewerkstelligen, insbesondere durch Single Sign-On (SSO)?

Glücklicherweise gibt es Standards, die dieses Unterfangen erleichtern. Aber was sind die Zielsetzungen und Einsatzgebiete der einzelnen Standards, und wie verbreitet sind sie? Hier folgt ein kurzer Überblick zu den wichtigsten Identity Federation Standards:

  • SAML 1.0/2.0 (Security Assertion Markup Language): XML-basierter Standard für den Austausch von Authentisierungs- und Autorisierungsdaten zwischen Sicherheits-Domains, insbesondere zwischen einem IdP (Identity Provider) und einem SP (Service Provider, Bereitsteller von Ressourcen/Anwendungen). SAML ist ein Standard des OASIS Security Services Technical Committee. Der Schwerpunkt liegt auf Web SSO und Identity Federation zwischen Unternehmen. SAML ist sehr flexibel und vielseitig. Die aktuelle Version 2.0 ist weiter verbreitet als alle anderen Standards.
  • WS Federation 1.1: Ursprünglich entwickelt von Anbietern wie IBM und Microsoft und mittlerweile auch ein OASIS-Standard. WS-Federation definiert Mechanismen, die es unterschiedlichen Entitäten erlauben, Informationen über Identitäten, Attribute und Authentisierung untereinander auszutauschen bzw. zu vermitteln. Die Zielrichtung ist ähnlich wie bei SAML. WS-Federation erlaubt noch etwas mehr Feinanpassung und Individualisierung, hat aber leider auch den Ruf der Komplexität. Außerdem ist dieser Standard weitaus weniger im Einsatz als SAML.
  • OpenID stellt den einzelnen Nutzer statt das Unternehmen in den Vordergrund. Sobald sich ein Nutzer bei einem OpenID-Provider registriert und angemeldet hat, kann er alle Dienste nutzen, die OpenID als IdP und die Attribute des Nutzers akzeptieren. OpenID zielt primär auf Web-SSO-Funktionalitäten. OpenID basiert auf einem recht einfachen Modell, das interessant für Unternehmen ist, die übers Web Dienste für Konsumenten anbieten. OpenID ist derzeit noch nicht sonderlich verbreitet.
  • Oauth Core 1.0 hat eine ähnliche Ausrichtung wie OpenID, konzentriert sich aber etwas starker auf Entwickler-Communities, die etwa für Web-2.0-Anbieter wie Twitter oder Google tätig sind. OAuth bietet den Entwicklern eine standardisierte Anwendungsprogrammierung-Schnittstelle (API), über die diese ihre Dienste anbieten können, ohne ihre Passwörter oder andere Authentisierungsmerkmale preisgeben zu müssen. Derzeit geringer Einsatz- und Reifegrad.
  • SPML 2.0 (Service Provisioning Markup Language) ist ein XML-basiertes Rahmenwerk und wird von OASIS weiterentwickelt. Der Einsatzbereich liegt mehr im Bereich der Föderation der Berechtigungsvergabe und –bereitstellung (Provisioning). Mit SPML können verschiedene Unternehmen Informationen über die Provisionierung von Nutzern, Ressourcen und Services austauschen. Um Web SSO zu erreichen, kann wiederum SAML für die Übergabe von Autorisierungsdaten zum Einsatz kommen.
  • XACML 2.0 (3.0 in Arbeit): XACML steht für “eXtensible Access Control Markup Language” und ermöglicht den Einsatz von frei wählbaren Attributen in Policies, rollenbasierter Zugriffssteuerung, Sicherheits-„Labels“, zeit- und datumsbasierten Policies, indexierbaren Policies, „Deny“-Policies und in dynamischen Policies – dies alles, ohne dass an den einbezogenen Anwendungen selbst Änderungen vorgenommen werden müssen. XACML löst das Problem der vielen proprietären bzw. anwendungsspezifischen Policy-Sprachen bei der Zugriffssteuerung. Es kann auch als SAML-2.0-Profil  zur Anwendung kommen und die SAML-Funktionalität erweitern.
  • Identity Web Services Framework (ID-WSF) ist eine Plattform, um identitätsbasierte Web Services abzusichern. ID-WSF nutzt SAML „Assertions“ (Erklärungen) als Format für Security Tokens. Letztere dienen dazu, die mit verschiedenen Web Services in Verbindung stehenden Authentisierungs- und Autorisierungsinformationen untereinander zu kommunizieren. ID-WSF ist ein recht reifer Standard, aber außerhalb der Telekommunikations- und Service Provider Branche nicht so sehr verbreitet. Nach der Übernahme sämtlicher Aktivitäten der ehemaligen Liberty Alliance durch die Kantara Initiative müssen die Auswirkungen auf die Weiterentwicklung von ID-WSF noch abgewartet werden.

Im Umfeld der “Identity Federation” kristallisieren sich SAML 2.0 und WS-Federation als zwei Haupt-Opponenten heraus. Für die Mehrheit der Unternehmen wird SAML 2.0 aufgrund dessen Verbreitungsgrades und der Funktionalität eine vernünftige und sichere Wahl sein. SAML lässt sich zudem durch SPML und SACML ergänzen bzw. erweitern. Allerdings muss auch genau auf die vorhandene Infrastruktur im eigenen Unternehmen und die künftigen Cloud-Dienste geschaut werden. Wenn dort SAML nur unzureichend unterstützt wird, können andere Standards wie WS-Federation eine bessere Alternative sein.