Beveiliging staat of valt met goed identiteitsbeheer. Microsoft heeft hier ondanks zijn slechte reputatie op beveiligingsvlak wel degelijk wat bij te dragen, al laat het bedrijf het Liberty Alliance initiatief wederom links liggen.
Microsoft heeft de strijd om de alleenheerschappij in de identity management-markt opgegeven en gaat weer gewoon zijn klanten bedienen. Dat zegt Don Schmidt, senior program manager van Microsofts Access Management Team. De hoofdrol in dit nieuwe spel is weggelegd voor de CardSpace-technologie voor het beheer van identiteitstokens.
De afgelopen jaren voerden Microsoft en Sun een verbeten strijd om de markt voor identity management. Eerstgenoemde bedrijf deed dat met .Net Passport, het tweede samen met anderen in de Liberty Alliance.
“Iedereen ontwikkelde allerlei verschillende technieken”, zegt Schmidt, “en iedereen wilde zijn eigen oplossingen verkopen. Inmiddels weten we dat we deze markt niet voor onszelf kunnen veroveren. Ook IBM, BMC, CA en Oracle leveren producten voor deze markt. Interoperabiliteit is inherent aan federated identity management (fim).”
Microsoft biedt op dit moment twee fim-technieken. Deze zijn gebaseerd op webservices-protocollen als WS-Federation, WS-Trust en saml (Security Assertion Markup Language).
De eerste fim-technologie is adfs, kort voor Active Directory Federation Services, en werd een jaar geleden met Windows Server 2003 R2 geïntroduceerd. De tweede is CardSpace, voorheen bekend onder de codenaam InfoCard. Deze technologie voorziet in een portefeuille van tokens. Zodra een website om een elektronisch toegangsbewijs vraagt, krijgt de gebruiker een popup te zien waarin hij een token voor de betreffende site kan selecteren.
Matchmaker
“CardSpace is onafhankelijk van de tokens”, legt Schmidt uit. “Er staat geen informatie van waarde op de kaart. Die bevat alleen metadata, een link naar een identity provider. De card selector moet je daarom vergelijken met een matchmaker: het zoekt de juiste tokens bij een bepaalde service.”
Hiermee komt een gemakkelijker gebruik van tokens en rechten een stuk dichterbij. Zo zouden andere partijen mee kunnen liften op tokens die bijvoorbeeld zijn uitgegeven door overheden, banken of telecom-aanbieders. Maar ook complexere schema’s om autorisaties aan anderen door te geven worden nu mogelijk.
CardSpace wordt opgenomen in Windows Vista dat begin volgend jaar gereed moet zijn. “CardSpace komt er allereerst voor de browsers. Daarmee krijgen pc’s allemaal een zelfuitgegeven veiligheidstoken. Daarnaast praten we nu met overheden, financiële instituten, onderwijsinstellingen en grote websites over hoe zij authenticatietokens voor hun diensten kunnen uitgeven en gebruiken.”
“Later zullen ook bedrijven kaarten uitgeven en zullen er allerlei producten voor aanbieders van identiteitstokens op de markt komen.” Maar daarmee zijn we alweer aanbeland bij de introductie van Longhorn Server ergens in de loop van volgend jaar.
Hoewel Microsoft met CardSpace toch een centrale rol in de fim-wereld naar zich toehaalt, wil Schmidt benadrukken dat het zeker niet de bedoeling is om een nieuw Passport op te zetten. “Dat werkte toen niet, en zou nu nog steeds niet werken. We waren toen naïef. Aanvaringen met de pers en overheden hebben ons volwassener gemaakt. We weten nu dat we ook rekening moeten houden met de sociale, menselijke en juridische aspecten van onze producten.”
Volgende stap
De Liberty Alliance was het antwoord van Sun op de Passport-portal van Microsoft. Deze laatste moest gaan fungeren als centrale identificatiedienst. Gebruikers konden zich daar gratis aanmelden voor een account, waarmee ze zich later bij de deelnemende websites konden identificeren. Het initiatief ging echter ten onder aan ernstige problemen met de beveiliging, de privacy en het business model. Inmiddels fungeert Passport alleen nog als toegang voor de MSN-diensten. Sun zoekt het met de Liberty Alliance veel meer in het opzetten van een breed raamwerk voor federated identity management. Het gaat dan niet alleen om het ontwikkelen van open en platformonafhankelijke technische standaarden, maar vooral ook om de inbedding in de zakelijke, politieke en juridische omgeving. Onder de meer dan 150 leden treffen we bijvoorbeeld HP, IBM, Intel, Oracle, Sun, NEC, Nokia en Vodafone.
De laatste anderhalf jaar is de Liberty Alliance naast de technische specificaties dan ook vooral bezig geweest met de adoptie door leveranciers. “De komende tijd zullen we ook de web services aan de man moeten brengen.” Aan het woord is Robin Wilton, corporate architect Federated Identity bij Sun. Volgens hem is dat verhaal veel moeilijker te verkopen. “Het belang van fim als concept is gemakkelijk uit te leggen aan bijvoorbeeld banken en telco’s. Bij web services gaat het echter om de keuze voor een concrete implementatie. De beste plaatsen daarvoor zijn gedistribueerde architecturen waar meerdere partijen bij betrokken zijn.” Als voorbeelden noemt Wilton supply chains en de gezondheidszorg. “Met name die laatste is interessant. Je ziet dat de publieke sector steeds meer afhankelijk is van commerciële partijen. Juist bij het overschrijden van de grens tussen publiek en commercieel spelen ingewikkelde problemen. We werken daar aan in de werkgroep over e-government.”
De samenwerking en de interoperabiliteit waar Don Schmidt van Microsoft over spreekt, zegt Wilton niet te herkennen. Hij classificeert dat als marketingpraat. Interoperabiliteit is volgens hem vooral te danken aan de productleveranciers die beide fim-stacks ondersteunen.
