SSOCircle

Was ist eigentlich gemeint mit den Begriff “Föderation” im Identity Management ?

Föderation oder Benutzerkonto-Verknüpfung bezeichnet die lose Koppelung unterschiedlicher lokaler Nutzerkonten (Identitäten und Attribute) über Sicherheits- und Richtlinienzonen hinweg zur Unterstützung von Geschäftsfällen über unterschiedliche Domänen hinweg.

Web Single Sign On zwischen unterschiedlichen Domänen und Businesspartner ist ein Beispiel für Föderation. Ein Benutzer hat ein Nutzerkonto bei beiden Firmen. Einigen sich die Firmen über die Art und Weise wie diese eine Person bezeichnet wird,  so ist es möglich, dass der User von der einen Firma ohne erneute Eingabe von Benutzername/Passwort identifiziert werden kann, sofern er sich bereits bei der anderen Firma  authentifiziert hat.

Eines der Vorteile der Föderation  in diesem Falle ist, dass sich die Unternehmen nicht auf eine einzelne zentrale Benutzerdatenbank einigen müssen. Die Benutzer verknüpfen (manuell) ihre beiden lokalen Konten und können jederzeit diese Verknüpfung wieder lösen. Die Benutzer haben i.A. Kontrolle darüber welche der persönlichen Daten ausgetauscht werden.

Ein anderer Vorteil dieser losen Verknüpfung ist die anonyme Föderation. Hierbei kommen die beteiligten Unternehmen darüber überein wie der eine Nutzer über anonyme Namensbezeichner referenziert wird. Somit weiss das eine Unternehmen nicht wie  der Nutzernamen  bei dem anderen Unternehmen lautet. Beide kennen nur die anonyme Referenz.

Aus Betriebssicht entsteht kein Single-Point-Of-Failure. Da keine zentrale Authentifizierungsstelle existiert, ist keiner der beiden Partner von der Verfügbarkeit des anderen abhängig. Jedes einzelne Partnerunternehmen kann seine Benutzer lokal gegen die eigene Datenbank auhentifizieren. Ein sehr wichtiger Punkt gegenüber Architekturen, die auf einen einzelnen zentralen Authentifizierungsdienst basieren.

Kommen wir zurück zu dem Punkt  bei der die Information, dass ein Nutzer sich an einem Unternehmen erfolgreich angemeldet hat, zu dem Partnerunternehmen transferiert werden muss. Diese wichtige und kritische Aussage des einen Unternehmen muss von dem Partner  richtig und eindeutig verstanden und verifiziert werden. Hierzu ist ein Rahmenwerk notwendig, das definiert wie diese “Beteuerungen” konstruiert, ausgetauscht und interpretiert werden. SAML 2.0 besteht aus einer Reihe von Spezifikationen und XML Schemata, die für diesen Zweck eingesetzt werden. SSOCircle und IDPee sowie die Beispiele auf dieser Webseite sind jedoch nicht auf SAML begrenzt. Wir fokusieren auch auf starke Authentifizierung und unterstützen weitere Protokolle wie OpenID.

*deu*