computerwoche.de

IT-Strategie

SOA braucht Identity-Management

02.05.2008
Von Bernhard Davignon

Single-Sign-on

Unter Single-Sign-on (SSO) versteht man eine besondere Form der Authentifizierung, die es dem Anwender erlaubt, auf Basis einer einzigen Anmeldung verschiedene Anwendungen und Systeme zu nutzen. Der Aufbau einer umfassenden Single-Sign-on-Lösung ist sehr aufwändig. In der Praxis wird daher nur ein Teil der Anwendungslandschaft in ein solches Verfahren integriert. Kern einer Single-Sign-on Lösung ist die zentrale Anmeldung des Benutzers an einem Authentifizierungsservice. Dieser vergibt bei erfolgreicher Anmeldung ein verschlüsseltes Ticket, das bei den folgenden Zugriffen an die jeweiligen Systeme übergeben wird. Damit diese das Ticket auswerten können, ist eine technische Integration des Anwendungssystems mit der Single-Sign-on Lösung erforderlich. Das Ticket bildet auch die Grundlage dafür, die Authentifizierung, Autorisierung und Protokollierung in einer SOA umzusetzen.

Delegated Administration

Werden Services über Abteilungs- und Unternehmensgrenzen hinweg genutzt, ist eine zentrale Benutzerverwaltung nicht mehr sinnvoll. Um trotzdem ein zentrales Verzeichnis verwenden zu können, empfiehlt sich das Konzept der Delegated Administration. Grundlage dieses Verfahrens ist die Verwaltung der Benutzer eines angebundenen Unternehmens durch deren Administratoren. Bietet ein Unternehmen beispielsweise ein Portal für die Integration seiner Lieferanten, erhalten ausgewählte, so genannte "trusted" Mitarbeiter der Lieferanten, die Berechtigung zur Pflege oder Anlage von Benutzerdaten. Das zentrale Verzeichnis kann so alle benötigten Identitäten und Berechtigungen kontrollieren, ohne dass intern ein übermäßiger Administrationsaufwand entsteht.

Identity Federation

Die Identity Federation könnte man auch als die SOA des Identity-Managements bezeichnen. IT-Verantwortliche verzichten dabei darauf, alle Benutzeridentitäten in einem Unternehmensverzeichnis zu verwalten. Wird ein interner Service von einem externen, "trusted" Partner aufgerufen, werden die mit dem Aufruf übertragenen Informationen über Identität und Berechtigungen des Aufrufers akzeptiert und in den internen Kontext übersetzt. (wh)