Beveiliging staat of valt met goed identiteitsbeheer — van gebruikers, van applicaties. Microsoft heeft hier wel degelijk wat bij te dragen.
Microsoft heeft de strijd om de alleenheerschappij in de identity management-markt opgegeven en gaat weer gewoon zijn klanten bedienen. Dat zegt Don Schmidt, senior program manager van Microsofts Access Management Team. De hoofdrol in dit nieuwe spel is weggelegd voor de CardSpace-technologie voor het beheer van identiteitstokens.
De afgelopen jaren voerden Microsoft en Sun een verbeten strijd om de markt voor identity management. De eerste deed dat met .NET Passport, de tweede samen met anderen in de Liberty Alliance.
"Iedereen ontwikkelde allerlei verschillende technieken", zegt Schmidt, "en iedereen wilde zijn eigen oplossingen verkopen. Inmiddels weten we dat we deze markt niet kunnen voor onszelf kunnen veroveren. Ook IBM, BMC, CA en Oracle leveren producten voor deze markt. Interoperabiliteit is inherent aan federated identity management (fim)."
Microsoft biedt op dit moment twee fim-technologieën. Deze zijn gebaseerd op webservices-protocollen als WS-Federation, WS-Trust en SAML (Security Assertion Markup Language).
De eerste fim-technologie is adfs, kort voor Active Directory Federation Services, en werd een jaar geleden met Windows Server 2003 R2 geïntroduceerd. De tweede is CardSpace, voorheen bekend onder de codenaam InfoCard. Deze technologie voorziet in een portefeuille van tokens. Zodra een website om een elektronisch toegangsbewijs vraagt, krijgt de gebruiker een popup te zien waarin hij een token voor de betreffende site kan selecteren.
"CardSpace is onafhankelijk van de tokens", legt Schmidt uit. "Er staat geen informatie van waarde op de kaart. Die bevat alleen metadata, een link naar een identity provider. De card selector moet je daarom vergelijken met een matchmaker: het zoekt de juiste tokens bij een bepaalde service."
Hiermee komt een veel gemakkelijker gebruik van tokens en rechten een stuk dichterbij. Zo zouden andere partijen mee kunnen liften op tokens die bijvoorbeeld zijn uitgegeven door overheden, banken of telecom-aanbieders. Maar ook complexer schema's om autorisaties aan anderen door te geven worden nu mogelijk.
CardSpace wordt opgenomen in het Vista besturingssysteem dat begin volgend jaar gereed moet zijn. "CardSpace komt er allereerst voor de browsers. Daarmee krijgen pc's allemaal een zelf-uitgegeven veiligheidstoken. Daarnaast praten we nu met overheden, financiële instituten, onderwijsinstellingen en grote websites over hoe zij authenticatie-tokens voor hun diensten kunnen uitgeven en gebruiken."
"Later zullen ook bedrijven kaarten uit gaan geven en zullen er allerlei producten voor aanbieders van identiteitstokens op de markt komen." Maar daarmee zijn we alweer aanbeland bij de introductie van Longhorn Server ergens in de loop van volgend jaar.
Hoewel Microsoft met CardSpace toch een centrale rol in de fim-wereld naar zich toehaalt, wil Schmidt benadrukken dat het zeker niet de bedoeling is om een nieuwe Passport op te zetten. "Dat werkte toen niet, en zou nu nog steeds niet werken. We waren toen naïef. Aanvaringen met de pers en overheden hebben ons volwassener gemaakt. We weten nu dat we ook rekening moeten houden met de sociale, menselijke en juridische aspecten van onze producten."
