OASIS, de Liberty Alliance en Shibboleth hebben daarom hun krachten gebundeld om één standaard te creëren die hun eerdere werk overbodig zou maken. Het resultaat is saml 2.0, die OASIS in maart vorig jaar al ratificeerde, maar die nu langzaam in producten begint te verschijnen die bij de softwareleverancier liggen.

Saml 2.0 verandert het federation-landschap radicaal door de grootste barrière voor een breder gebruik van federation te verwijderen: de complexiteit die gepaard gaat met meerdere protocollen.

OASIS, Liberty en Shibboleth hadden oorspronkelijk drie verschillende perspectieven op federation: OASIS saml richtte zich vooral op business to business interacties (éénmalige sign-on tussen ondernemingen), Liberty richtte zich op de consument (business to consumer) interacties die privacy vereisen en Shibboleth richtte zich op educatieve omgevingen die anonimiteit vereisen. Met dit als beginpunt pasten zij de originele specificaties van saml 1.0 aan en breidden deze uit zodat zij verschillende gebruikers kon ondersteunen. Deze federation-protocollen zijn interoperabel of backward compatibel.

Vóór saml 2.0, moesten organisaties die van plan waren identity federation toe te passen met elke afzonderlijke federation-partner overleg voeren over de keuze van het protocol. Veel gebruikers moesten meerdere protocollen gaan ondersteunen met behulp van protocol-mapping en vertaaltechnieken die gaten maakten in de ondersteuning voor essentiële eigenschappen of vermogens.

Saml 2.0 verenigt elke critical-use case en de eigenschappen van elk voorgaand protocol in één standaard. Saml 2.0 maakt zijn voorgangers overbodig, omdat het een overkoepelende verzameling van alle functies van zijn vijf voorgangers belichaamt.

Saml 2.0 gaat bij federation uit van twee partijen; De serviceprovider is de partij die een applicatie of bron beschikbaar stelt voor de gebruiker, terwijl de identity provider verantwoordelijk is voor de waarmerking van de gebruiker. De serviceprovider en de identity provider wisselen berichten uit om enkelvoudige sign-on en log-out mogelijk te maken. Het uitwisselen van berichten kan worden begonnen door de identity provider of door de serviceprovider.

Bij enkelvoudige sign-on is de identity provider verantwoordelijk voor het aanmaken van een saml-verklaring die de identiteit van de gebruiker bevat, en stuurt deze vervolgens veilig naar de serviceprovider. De serviceprovider is verantwoordelijk voor het valideren van de saml-verklaring, voordat de gebruiker tot de applicatie wordt toegelaten.

Een saml-verklaring is een xml-document dat veel mededelingen bevat met betrekking tot de identiteit van de gebruiker. Deze mededelingen bevatten informatie over hoe een gebruiker gewaarmerkt is en eventueel ook over andere gebruikerseigenschappen.

Deze uitwisseling van berichten kan plaatsvinden over verschillende saml-verbindingen, zoals met behulp van een http form post via de browser, of via een soap back-channel interactie.

De samenvoeging van federation use cases onder saml 2.0 zal een groot effect hebben op bedrijven die federation willen gebruiken om identiteitsgerelateerde informatie cross-boundary te delen. Het vereenvoudigt de keuze van een protocol en maakt het overbodig om buitengewoon ingewikkelde en verwarrende multiprotocol oplossingen, die bovendien duur in het onderhoud zijn, te gebruiken. Huidige toepassingen die gebaseerd zijn op saml 1.0 en 1.1 of Liberty ID-FF 1.1 en 1.2 zullen waarschijnlijk worden geüpgrade naar saml 2.0 in 2006.

Harding is technisch directeur bij Ping Identity. Hij kan bereikt worden op: pharding[at]pingidentity[dot]com. Bron: Techworld