Standards und Schnittstellen
Technische Standards sind vor allem im Bereich des Identity Management von zentraler Bedeutung, da hier viele verschiedene, oft heterogene Systeme miteinander verbunden werden müssen. Es existieren verschiedene Bestrebungen und Forschungen, um einzelne Aufgaben oder ganze Bereiche des IdM zu standardisieren. Zudem bilden sich Konsortien oder Standardisierungsorganisationen, die mit vereinter Kraft versuchen, Standards zu generieren, zu publizieren und zu etablieren. Gerade im Hinblick auf die Verbindung verschiedener Akteure, seien es Anwendungen innerhalb eines IdMS oder verschiedene IdMS selbst, ist eine genormte Vorgehensweise unabdingbar.
Im Folgenden werden die Standardisierungsorganisationen im IdM-Umfeld skizziert. Es soll ein Überblick gegeben werden, an welchen Stellen welche Technologien weiter entwickelt werden. Außerdem werden die generierten technischen Standards vorgestellt, die bei der Realisierung eines IdMS eingesetzt werden können und sollten. Eine tabellarische Zusammenfassung erklärt die Standards und Schnittstellen kurz und prägnant und verlinkt zu ausführlicheren Beschreibungen.
Standardisierungsorganisationen
Das grundsätzliche Ziel von Standardisierungsorganisationen ist die Vereinheitlichung von Problemlösungen unterschiedlicher Art. Die Arbeit findet für gewöhnlich in einem öffentlichen Rahmen statt. Die bedeutendsten Standardisierungsorganisationen im Bereich von Identity Management sind im Folgenden aufgelistet:
Standards und Schnittstellen zur Realisierung eines IdMS
Ein IdMS ist ein hochkomplexes Konstrukt aus verschiedenen Technologien, die aus völlig unterschiedlichen Kontexten entstanden sind. Um eine Interoperabilität über Anbieter, Funktions- und schließlich Organisationsgrenzen hinweg zu erhalten, sind das Vorhandensein, die Weiterentwicklung und die Kenntnis der entscheidenden Standards ausschlaggebend.
Es folgt eine Auflistung der wichtigsten Standards und Schnittstellen zur Realisierung eines IdMS.
Generelle Protokolle und Standards
- Extensible Markup Language, XML
Auszeichnungssprache zur Darstellung hierarchisch strukturierter Daten
- Simple Object Access Protocol, SOAP
Ermöglicht den Austausch strukturierter Daten zwischen Computer-Systemen sowie Remote Procedure Calls
- Web Services Description Language, WSDL
- Beschreibungssprache für Netzwerkdienste (Web Services) und dient zum Nachrichtenaustausch Secure Socket Layer / Transport Layer Security SSL/TLS Authentifizierung von Kommunikationspartnern sowie vertrauliche Ende-zu-Ende-Datenübertragung
- Web Services Security, WSS
Implementiert Sicherheitsaspekte innerhalb einer Web-Service-Architektur
Repository Management
- X.500
Beschreibt den Aufbau eines Verzeichnisdienstes - Directory Access Protocol, DAP
Regelt den Zugriff auf X.500 Directory Services - Directory System Protocolm, DSP
Kommunikation zwischen verteilten Verzeichnisssen - Directory Operational Binding Management Protocol, DOP
Verbreitung von Informationen innerhalb eines verteilten Verzeichnis - Directory Information Shadowing Protocol, DISP
Verbreitung von Informationen innerhalb eines verteilten Verzeichnis - Lightweight Directory Access Protocol, LDAP
Stellt eine vereinfachte Kommunikation mit Directories bereit - LDAP Data Interchange Format, LDIF
Definiert ein Dateiformat zur Darstellung von Informationen aus einem LDAP-Verzeichnis - Directory Service Markup Language, DSML
Ein XML-Dialekt, um Abfragen oder Änderungen an einem Directory vorzunehmen - Active Directory Service Interface, ADSI
Eine COM-Komponente von Microsoft, die eine einheitliche Programmierschnittstelle auf unterschiedliche Verzeichnisdienste schafft
Life Cycle Management
- Service Provisioning Markup Language, SPML
Ein auf XML basierender Standard zur Provisionierung - Synchronization Markup Language, SyncML
Ein plattform-unabhängiger, auf XML basierender Standard zur Synchronisierung von Daten zwischen unterschiedlichen Endgeräten
Access Management
Authentisierung
- X.509
Regelt den Aufbau einer Public-Key-Infrastructure und insbesondere das Format von Zertifikate - OpenID
Dezentral organisiertes Single-Sign-On im Internet
Authentifizierung
- Online Certificate Status Protocol, OCSP
Fragt den Status eines Zertifikats bei einem Validierungsdienst ab - Server-based Certificate Validation Protocol, SCVP
Schafft die Möglichkeit für den Aufbau einer Zertifikatskette und deren Validierung - Simple Authentication and Security Layer, SASL
Ermöglicht das Anbieten von Authentifizierungs- und Sicherheitsdienste in verbindungsorientierten Protokollen - Kerberos
Verteilte Netzwerk-Authentifizierung zwischen Client- und Server-Applikationen mittels Secret-Key-Kryptographie - NT LAN Manager, NTLM
Proprietärer Standard von Microsoft zur Challenge-Response-Authentifizierung - Remote Authentication Dial-In User Service, RADIUS
Client-Server-Protokoll zur entfernten, zentralen Authentifizierung sowie Autorisierung und Accounting (Triple-A-System)
Autorisierung
- eXtensible Access Control Markup Language, XACML
Einheitliche Sprache zur allgemeinen Beschreibung von Zugriffsrichtlinien - Enterprise Privacy Authorization Language, EPAL
Formalisierte Sprache zur Durchsetzung und Sicherstellung des Schutz von personenbezogenen Daten innerhalb von Unternehmen sowie unternehmensübergreifend - OAuth
Ermöglicht eine einfache und sichere Authentifizierung und Autorisierung zwischen APIs
Federation
- Security Assertion Markup Language, SAML
Ermöglicht einen standardisierten Weg, um Sicherheitsinformationen für die Authentifizierung und Autorisierung zwischen Anwendungen und IdMS auszutauschen - Web Services Federation, WS-Federation
Teil eines Frameworks, das eine flexible Infrastruktur für föderierte Identitäten zur Verfügung stellt
Weltweit eindeutige Bezeichner
- Extensible Resource Identifier, XRI
Definition einer Syntax, um abstrakte und strukturierte Kennungen über verschiedene Applikationen und Domains zu verteilen - i-name
Abgewandelte Form des XRI, um abstrakte und strukturierte Kennungen (identifier) darzustellen