In een vorige post over OpenID vertelde ik over de potentie vanOpenID om hét single sign-on protocol voor internet applicaties te gaanworden. Onlangs las ik in een artikel dat voor het jaar 2008 deverwachting was dat SaaS en Enterprise 2.0 nu definitief gaandoorbreken. Dit zou betekenen dat vanaf dit jaar organisaties steedsvaker geconfronteerd zullen gaan worden om het gebruik van diensten dieaangeboden worden volgens het SaaS en Enterprise 2.0 model in te passenin het organisatiebeleid. Dit levert een leuk identity managementvraagstuk op.
Stel dat een organisatie een SaaS applicatie selecteert om eenbepaald bedrijfsproces te automatiseren. Medewerkers van dezeorganisatie zullen rechten moeten hebben om de SaaS applicatie tekunnen gebruiken. Dit kan door een medewerker inloggegevens voor deSaaS applicatie te geven (userid/wachtwoord bijvoorbeeld). Dit heeftechter wel tot gevolg dat als diezelfde medewerker de organisatieverlaat, het intrekken van zijn interne account (enterprise identity)niet meer voldoende is. Immers een SaaS applicatie weet niets van eenenterprise identity, die kent alleen een web identity.
Zou het niet veel fijner zijn als een enterprise identityautomatisch omgezet wordt in een web identity voor situaties waargebruik gemaakt wordt van Enterprise 2.0 en SaaS applicaties? OpenIDi.c.m. cardspace kan een oplossing zijn voor dit vraagstuk.
In een organisatie kan een gebruiker inloggen met zijn account endaarna gebruik maken van intranet, business applicaties en services, etc. Indien een gebruiker daarnaast gebruik wil maken van bijvoorbeeldeen SaaS applicatie die op het internet wordt gehost, dan zal zijnWindows account door de directory server omgezet worden naar een OpenIDaccount. Vervolgens geschiedt de authenticatie bij de SaaS applicatieop basis van het OpenID account.
Bovenstaand scenario schetst een oplossingsrichting om single sign-on over organisatiegrenzen heen mogelijk te maken.