Federation-Technologien im Detail
Microsoft hat sich bei der Umsetzung von Federation für den Standard WS-Federation entschieden. Dieser Standard ist neben den Spezifikationen der Liberty Alliance einer der beiden relevanten Ansätze für die Realisierung von Federation-Lösungen. Liberty wiederum setzt auf die erweiterte SAML 2.0-Spezifikation. Die ersten SAML-Spezifikationen sind die Basis für viele der frühen Federation-Lösungen, die verschiedene Hersteller angeboten haben oder noch anbieten.
Die Grundidee
WS-Federation ist ein Web Service-Standard, wie der erste Teil der Bezeichnung bereits deutlich macht. Er gehört zu einer ganzen Reihe weiterer Standards, mit denen sichere Web Services unterstützt werden sollen. Durch die wachsende Bedeutung der Identity Federation hat er aber eine etwas hervorgehobene Stellung.
Die Grundidee ist, dass mit einer Token-basierenden Authentifizierung und „föderierten“ Vertrauensstellungen zwischen verschiedenen Authentifizierungsbereichen (Realms) gearbeitet wird. Der Begriff der Föderation bezeichnet einen Zusammenschluss und ist etwas redundant. Letztlich geht es darum, dass man verschiedene Authentifizierungsbereiche, also beispielsweise das Unternehmen A und das Unternehmen B oder den Verzeichnisdienst A und diesen nutzende Anwendungen und den Verzeichnisdienst B mit entsprechenden Anwendungen hat, die sich gegenseitig vertrauen. Das Konzept findet sich in ähnlicher Form bei Forest Trusts innerhalb des Active Directory – nur dort eben in einer proprietären Implementierung, die nicht für die plattformübergreifende Nutzung von Web Services geeignet ist.
Die Herausforderungen für die Umsetzung der Federation erstrecken sich auf mehrere Bereiche:
-
Die Definition eines Tokens, das zwischen verschiedenen Authentifizierungsbereichen ausgetauscht werden kann und dem beide/alle Seiten vertrauen.
-
Die Sicherung des Austausches dieser Informationen.
-
Die Festlegung darüber, wer wem vertraut, also die Konfiguration der Vertrauensstellungen.
-
Die Umsetzung der Informationen aus dem Token auf spezifische Zugriffsinformationen bei den Zielsystemen.
Entsprechend setzt sich der Standard WS-Federation wieder aus verschiedenen anderen Standards zusammen. Zu erwähnen sind hier insbesondere:
-
WS-Security: Bei diesem Standard geht es zunächst um die Sicherheit von SOAP-basierenden Nachrichten (SOAP: Simple Object Access Protocol). Damit wird erreicht, dass Informationen sicher und unverändert übertragen werden können. Darauf basierend gibt es allgemeine Mechanismen für die Zuordnung von Sicherheits-Tokens zu Nachrichten und die Beschreibung dafür, wie binäre Sicherheits-Tokens, insbesondere X.509-Zertifikate und Kerberos-Tickets, codiert und in sicherer Weise übertragen werden können. Bezogen auf WS-Federation bedeutet das, dass damit eben die sichere Übertragung der erforderlichen Tokens zwischen den Teilnehmern der Federation-Beziehung erreicht wird.
-
WS-Trust: Übernimmt die Definition und Verwaltung der Vertrauensstellung zwischen zwei Authentifizierungsbereichen und Mechanismen für die Anforderung und Bereitstellung von Sicherheits-Tokens. Der Standard setzt auf WS-Security auf.
-
WS-Policy: Dieser Standard wird nicht zu den Sicherheits-, sondern zu den Metadaten-Spezifikationen gezählt. Hier geht es also darum, Anforderungen an Dienste, Präferenzen und Fähigkeiten zu beschreiben. Letztlich wird damit definiert, was verschiedene Systeme in einer Kommunikationsbeziehung können. An die Richtlinien können beispielsweise WSDL- und UDDIInformationen angefügt werden. Sie werden aber im Zusammenhang mit WS-Federation auch für spezifische Beschreibungen verwendet.
Dazu kommen noch weitere Protokolle. So dient etwa die WS-SecurityPolicy als Beschreibung dafür, wie die Zuordnung von mit WS-Policy definierten Richtlinien unter anderem zu den Standards WS-Security und WS-Trust erfolgt.