Single Sign On in der Cloud

Authentifizierung mit Identity Federation

Eine wesentliche Neuerung in der Authentifizierung von Cloud-Diensten ist die Tatsache, dass die Benutzer nicht mehr nur in Active Directory oder anderen Verzeichnisdiensten angelegt sind, sondern in einem Authentifizierungsdienst, der ebenfalls in der Cloud läuft.

Solche Dienste arbeiten zur Authentifizierung meistens mit zertifikatsbasierten Token. Zu ihnen zählt Windows Azure Access Control Service (ACS), ein Teil der Windows Azure AppFabric. Der Dienst lässt sich separat mit anderen Diensten buchen und lizenzieren. ACS unterstützt verschiedene Authentifizierungsformen, zum Beispiel auch die Anbindung an Windows Live, Google, Yahoo, OpenID oder Facebook. Ebenfalls unterstützt sind die neuen Active Directory Federation Services (ADFS) 2.0. ADFS 2.0 bauen auf ADFS 1.1 auf, die als Serverrolle in Windows Server 2008 und Windows Server 2008 R2 zur Verfügung stehen.

Einfach ausgedrückt basiert die Authentifizierung in ADFS und Access Control Service auf Zertifikaten, welche die angebundenen Computer, Server, Anwender und Anwendungen gegeneinander authentifizieren. Windows Azure Access Control Service (ACS) ist aber kein eigenständiger Authentifizierungsanbieter, sondern verbindet lediglich verschiedene Anbieter miteinander und kann deren Tokens auswerten. Darüber hinaus kann der Dienst Anwendern von Unternehmen, die Windows Azure nutzen, standardisierte Tokens ausstellen.

Unterstützte Protokolle von Access Control Service sind OAuth WRAP, WS-Trust, und WS-Federation. ACS ist somit eine Art Proxy oder Brückenkopf für die verschiedenen Authentifizierungsanbieter der Anwender und kann Tokens ausstellen, mit denen sich Anwender wiederum an den Cloud-Anwendungen des Unternehmens anmelden.

Authentifizieren müssen sich die Anwender an einem Authentifizierungsdienst, der Access Control Service unterstützt und durch Entwickler und Administratoren an ACS angebunden ist. Wie das geht, sehen Sie im erwähnten Webcast.

Die Aufgabe von Access Control Service besteht vor allem darin, die Cloud-Anwendungen von Authentifizierungsanfragen mehrerer Anbieter zu entlasten, doch dazu später mehr. Ein weiterer Vorteil von Windows Azure Access Control Service ist die Möglichkeit, mehrere Authentifizierungen gleichzeitig durchzuführen, auch mit x.509-Zertifikaten.