Single-Sign-on im Internet

Liberty stellt Spezifikation vor

19.07.2002
MÜNCHEN (fn) - Das von Sun gegründete Industriekonsortium Liberty Alliance Project hat nun endlich eine technische Spezifikation vorgestellt, mit der sich unterschiedliche Online-Anmeldesysteme verknüpfen lassen. Auf dieser Grundlage können Internet-Anwender mit einer einzigen digitalen Identität unterschiedliche Websites oder Online-Dienste nutzen, ohne sich jedesmal erneut einloggen zu müssen.

Hat der Surfer beispielsweise einen Account bei einer Fluggesellschaft, ist er in Lage, ohne nochmalige Anmeldeprozedur auch die Angebote von Geschäftspartnern der Airline zu nutzen, wenn er dies wünscht. Dies erleichtert dem einzelnen Anwender zwar das Leben, doch aus reiner Nächstenliebe agiert die Liberty Alliance natürlich nicht: Die Mitglieder, zu denen Industriekonzerne, Banken, IT-Hersteller und Telekommunikationsfirmen gehören, versprechen sich von diesem Verfahren unter anderem bessere Vermarktungsmöglichkeiten für Produkte über das Internet. Auf dieser Grundlage können sie zum Beispiel Mitgliedern von Loyality-Programmen Waren und Dienstleistungen von Kooperationspartnern anbieten, etwa im Rahmen von Vielfliegerprogrammen. Nicht ohne Grund ist der Chairman des Liberty Alliance Management Board gleichzeitig CIO bei United Airlines.

Zu den technischen Grundlagen der Spezifikation zählt die "Security Assertion Markup Language" (SAML). Diese von der Organization for the Advancement of Structured Information Standards (Oasis) entwickelte Auszeichnungssprache dient dazu, Anmeldedaten zwischen IT-Umgebungen auszutauschen. SAML wurde um Funktionen erweitert, die den Austausch von Authentifizierungsdaten zwischen einzelnen Instanzen ermöglichen ("Identity Federation"). In der ersten Version fehlen allerdings Mechanismen zum Austausch von Benutzerattributen. Die jetzige Spezifikation sieht zunächst nur anonyme Authentifizierungsbestätigungen vor, die zwischen Websites übermittelt werden.

Nach Ansicht der Liberty Alliance taugt das System für Business-to-Business-Umgebungen. Als weiteres Segment nennt die Organisation Single-Sign-on-Systeme in Firmennetzen, die ein vereinfachtes Login der Mitarbeiter in die IT-Umgebung eines Unternehmens erlauben, beispielsweise über Portale.

Microsoft verfolgt mit "Passport" ein eigenes Single-Sign-on-Konzept für das Web. Dabei handelt es sich jedoch um eine Reihe von Softwareprodukten beziehungsweise Dienstleistungen, während die Liberty Alliance einen Interoperabilitätsstandard für unterschiedliche Sign-on-Verfahren kreiert hat. Zumindest verkündete Microsoft, ebenfalls SAML zu unterstützen, womit prinzipiell die technische Grundlage geschaffen wäre, Liberty-fähige Login-Systeme und auf Passport basierende Services miteinander zu verknüpfen.

Abb: Login aus Anwendersicht

In der ersten Version der Spezifikation der Liberty Alliance können Web-Nutzer ihre Benutzerkonten (Accounts) lediglich miteinander vernetzen, um das Login zu automatisieren. Dies setzt die Kooperation der Site-Betreiber voraus, die ihre Einwahlverfahren mit dem Liberty-Verfahren verknüpfen müssen. Quelle: Liberty Alliance