Novell Access Manager 3: Mechanismen und Komponenten

Die Identity-Federation-Mechanismen

Wie weiter oben schon erwähnt, werden als spezielle Variante für die Authentifizierung auch die Identity-Federation-Mechanismen unterstützt. In diesem Fall erfolgt die Authentifizierung durch den Identity-Server, die Autorisierung aber durch ein externes System, das als sogenannter Service Provider arbeitet. Der Austausch der Informationen erfolgt auf Basis der weiter oben genannten Standards.

Wichtig sind dabei zwei Punkte:

• Mithilfe der Identity Federation können Informationen auch zwischen Systemen unterschiedlicher Hersteller ausgetauscht werden, soweit diese die entsprechenden Standards unterstützen. Der derzeit am besten geeignete Mechanismus ist SAML 2.0. In einem Interoperabilitätstest, den die Analysten von Kuppinger Cole + Partner im Herbst 2006 durchgeführt haben, hat sich dieses Verfahren als das am besten geeignete gezeigt.

• Novell arbeitet für die Kommunikation zwischen allen funktionalen Komponenten des NAM 3 ebenfalls mit Federation-Standards. Der Identity-Server fungiert damit also immer als Identity Provider im Federation-Modell, während die anderen Module als Service-Provider arbeiten und der Authentifizierung des NAM 3 vertrauen. Diese modulare Struktur erleichtert die Anpassung und Erweiterung des NAM 3 und das Zusammenspiel mit Komponenten von Drittanbietern.

Basierend auf der Authentifizierung erfolgt die Autorisierung. Dabei steuert der Access Manager mithilfe von Richtlinien, wer in welcher Form auf Anwendungen zugreifen darf – oder eben nicht. Der richtlinienbasierende Ansatz ist nicht überraschend. Für die Steuerung der Berechtigungen werden die beim Identity-Server definierten Rollen verwendet.