掌握联邦身份

伙伴关系向电子商务网络的发展是互联网商务发展过程中最重要的趋势之一。一些最成功的全球企业已经在自己的IT系统与客户、供应商和合作伙伴的IT系统之间实现了高度的协调。

在企业对消费者的环境中,最终用户与同时提供多个合作伙伴的产品或服务的一家公司进行通信,对共享资源的访问必须是安全的和结构化的,以满足业务关系中每个合作伙伴的需求,同时也满足最终用户的需求。

在越来越多地使用Web服务的应用程序对应用程序或企业对企业环境中,必须安全、无缝地实现对企业数据和应用程序的远程或合作伙伴访问。

身份联合是身份在自治域或多个企业之间的安全传播。它的前提是使用安全对象或“令牌”来表示实体。实体可以是企业、用户或系统,例如程序或硬件设备。

有效的身份联合对用户和企业都有好处。它通过单点登录为最终用户提供无缝、跨域的互联网体验,并允许公司向不受企业直接管理的更大类别的用户提供资源。

有几个标准涉及身份联合的各个方面,如单点登录、信任和属性共享。其中一些标准结合起来为身份联合框架提供了基础,但新兴规范之间仍然存在重叠和竞争,这可能使采购决策具有挑战性。

联合会要求

几乎不可能依靠一个通用的身份信息控制点。换句话说,没有一个安全管理员有责任对所有用户进行身份验证并管理他们的帐户。在某些情况下,公司的应用程序有多个标识存储库,从而创建了分散在活动筒仓中的公司基础设施。此外,当公司之间进行业务往来时,他们需要以可信的方式交换各自用户的信息。

身份联合可以是相对于单个公司的——该公司的用户基于他们的身份信息安全地访问该公司的资源。或者,身份联合可以跨越多个公司,一个由联合体组成的网络,在一起做生意的多个公司之间必须建立信任。

参与身份联合的公司建立信任关系,允许其用户访问业务伙伴托管的资源。在这种情况下,公司会向其用户发放可由依赖方处理的安全票据。

身份联合为验证来自企业合作伙伴网络的各个组织的用户或服务提供了基础。通过这种方式,用户或服务可以无缝地访问那些受信任的合作伙伴提供的资源。

身份联合的要求如下:

基本概念

将用户和/或服务联合到受信任关系中始于基本过程,这些过程旨在标识用户或服务(身份验证)并向经过身份验证的用户或服务授予访问权限(授权)。此外,成功和不成功的身份验证和授权活动必须以系统管理员或安全专家易于分析或审核的方式进行记录。

联邦标准

没有一个行业标准可以满足所有联合会的要求。如前所述,联合涉及身份描述(即安全令牌)、交换安全令牌的协议、隐私保护和建立信任。

身份联盟和信任所涉及的主要标准和行业举措包括:

结论

随着身份和访问管理成为跨异构环境和体系结构的用户和应用程序管理的集成点,新兴的标准和行业计划将在身份和访问管理市场的发展中发挥重要作用,包括企业间的身份联合。

如今,SAML、自由联盟和WS-Security为全球公司成功部署的Web应用程序和Web服务提供了身份联合解决方案。

在接下来的几年里,目前由微软、IBM和其他公司起草的各种Web服务规范将为面向服务架构中复杂、大规模的身份联合部署提供产品。