Anwenderfreundlichkeit macht sicherer
Benutzerzentriertes Identitätsmanagement
Benutzerzentriertes Identitätsmanagement wird als fünfte Generation des Identitätsmanagements angesehen und hat viele Namen - Open ID, Bandit Project, Cardspace, Higgins und so weiter. Ganz klar ist noch nicht, was am Ende dabei herauskommt. Dass allerdings organisationsübergreifendes Identitätsmanagement mit den heutigen Methoden zu schwierig und oft sogar ganz unmöglich ist, weiß man umso genauer.
Jeff Jaffee, CTO von Novell, meint, dass wir heute mit der dritten Generation des
Identitätsmanagements (IDM) arbeiten – mit bereits funktionierenden Rollenmodellen, Workflows und
APIs für Anwendungen, die auf die Dienstleistungen von Verzeichnisdiensten zugreifen. Die fünfte
Generation löse die Grenzen zwischen Unternehmen und Internet auf und stelle "Identity Services"
zur Verfügung – in dem Sinne, dass Anwendungen dann vielfache Sichten auf Identitätsdaten von
Benutzern und Dingen verarbeiten könnten.
Die heutigen IDM-Ansätze der dritten Generation lösen erst einmal das Problem der Verwaltung von
Authentisierung und Autorisierung für Mitarbeiter, die innerhalb der Unternehmensgrenzen auf
Ressourcen eben dieser Organisation zugreifen wollen. Dies ist schwierig genug, wird von der
Gesetzgebung gefordert und geht trotzdem an den Erfordernissen des globalen Geschäftslebens
vorbei.
Geschäfte werden heute im Internet gemacht, zwischen Unternehmen und zwischen Unternehmen und
Kunden. Die Mitarbeiter kooperierender Unternehmen hat man dabei aber nicht im Corporate Directory
gespeichert und die der Kunden ohnehin nicht. Deshalb zwingt man etwa den Kunden oder generell den
Benutzer einer authentisierungspflichtigen Website, Identitätsdaten preiszugeben – meistens viel
mehr, als für die jeweilige Transaktion erforderlich ist. Für die Anbieter der Dienstleistungen hat
dies erhöhten Aufwand zur Folge, weil jeder Serviceanbieter eine IDM-Infrastruktur erfinden muss,
die das Internet per Design nicht hat.
Für den Benutzer wiederum ist es unbequem, immer wieder persönliche Daten eingeben zu müssen.
Außerdem muss er sich in den Zeiten von Google, Data Mining und Bundestrojanern auch darum sorgen,
was mit seinen Daten geschieht.
Während in der Neuen Welt benutzerzentrierte Identität zu großen Teilen lediglich als
wahrscheinliche Lösung für ein technisches Problem behandelt wird, ist in der alten Welt
(einschließlich Kanada) die Kontrolle über die eigenen Daten und die nach außen dargestellte
Identität ein Wert an sich (www.prime-project.eu/, Privacy and Identity Management for
Europe), Sie wird entsprechend "politisch" behandelt.
Benutzbarkeit, Benutzerkontrolle und Effizienz sind wahrscheinlich die wichtigsten Aspekte des
benutzerzentrierten Identitätsmanagements. Sie werden auch in den "Sieben Gesetzen der Identität"
von Kim Cameron hervorgehoben (http:// www.identityblog.com/?page_id=354).
Benutzerkontrolle heißt, dass der Benutzer im Mittelpunkt der Identitätstransaktion steht. Er
wird nicht bei jeder Transaktion eingeschaltet, aber die Identitätsdaten fließen immer durch seine
Identitätsverwaltung. Sokommt er in die Position, dem jeweiligen Gebrauch seiner Identitäten und
Teilidentitäten zustimmen und die Verwendung kontrollieren zu können. Ein wichtiger Aspekt ist
sicherlich auch, dass die Verwaltung von Identitätsdaten dezentralisiert wird und dort bleibt, wo
sie am besten aufgehoben ist, nämlich beim Besitzer der Identitätsdaten selbst.
Nebenbei hat dies zur Folge, dass der Service-Provider den Identitäts-Provider vor der
Transaktion nicht kennen muss. So wird eine viel bessere Skalierbarkeit erreicht, als es mit
servicezentrierter Identität jemals möglich wäre. Das Netzwerk der Sites kann sich bei
benutzerzentriertem Identitätsmanagement ad hoc aufbauen, wie man es heute bereits von den
Verfahren bei SMTP-Servern kennt. Die einzige Anforderung an den Service-Provider ist, dass er den
Berechtigungsnachweisen des Benutzers vertraut.
Für die Herstellung von Vertrauen im benutzerzentrierten Identitätsmanagement gibt es zwei
fundamental unterschiedliche Ansätze. Beim beziehungsorientierten Ansatz hat der Benutzer eine
Beziehung zu einer Vertrauensinstanz (IDP, Identity Provider), die bei einer Transaktion die
gewünschten Garantien gibt und möglicherweise benötigte Identitätsattribute an den Service-Provider
übermittelt. Üblicherweise wird während der Transaktion der Identity-Provider kontaktiert, der dann
die Transaktion gutheißt. Kreditkarten und ihr Handling sind ein gutes Beispiel für diesen Ansatz.
Beim nachweisorientierten Ansatz bekommt der Benutzer einen Berechtigungsausweis einer
Vertrauensinstanz, den er bei sich trägt und ohne Einbindung des Identity-Providers in der
Transaktion als Nachweis notwendiger Identitätsattribute verwenden kann. Die Verwendung des
Personalausweises für den Nachweis des Alters beim Betreten eines Nachtklubs ist ein Beispiel für
dieses Modell.
Die technische Umsetzung des benutzerzentrierten Identitätsmanagements ist alles andere als
trivial und steckt noch in den Kinderschuhen. Die ersten Versuche wurden vor ein paar Jahren von
Unternehmen wie Novell, Microsoft, Yodlee und Zero Knowledge unternommen. Keiner dieser Versuche
hatte allerdings nennenswerten Erfolg, es fehlte am Kundeninteresse. Heute ist die Situation
anders.
Sxip Identity etwa wird als der aktuelle Marktführer in der Welt der kommerziellen
benutzerzentrierten IDM-Systeme angesehen. Die Sxip-Identity-2.0-Architektur ermöglicht es,
Identitätsbehauptungen (Claims) oder Berechtigungsnachweise (Credentials) von autoritativen
Datenquellen für bestimmte Aspekte der Identität des Benutzers einzusammeln und damit dann anderen
zu beweisen, dass man ein bestimmtes Identitätsattribut auch wirklich besitzt. Technisch ist die
Autorität für diese Berechtigungsnachweise für bestimmte Gruppen von Personen zentralisiert. Sie
baut Vertrauensbeziehungen auf, die Sxip als "Scalable Trust" bezeichnet. Sxip bietet zur Zeit drei
funktionierende Lösungen auf der Basisarchitektur an: Sxip Access, Sxip Audit and Sxipper.
Sxip Access kommt in Google Apps, bei Salesforce (www.salesforce.com) aund in anderen
Software-as-a-Service-Lösungen (SaaS) zum Einsatz. Sxip Access lässt sich in LDAP-Server und
Corporate Directories integrieren, bietet Zugriffskontrolle, verbesserte Sicherheit und weniger
Arbeit mit der Benutzerverwaltung. Nicht autorisierten Zugriff bekämpft Sxip Access durch
Passwortsynchronisierung, schnelle Benutzerprovisionierung und -deprovisionierung,
Berechtigungsmanagement und schnelles Zurückziehen von Zugriffsrechten. Der Benutzer meldet sich
mit I-Cards an, wie bei Microsoft Cardspace oder Novell Digital Me
(www.bandit-project.org/).
Die Hauptaufgabe von Sxip Audit ist die Überwachung des Sicherheitsstatus einer Organisation.
Will man zum Beispiel wissen, ob und wie viele Passwortrücksetzungen es bei einer bestimmten
Zielwebsite gegeben hat oder ob deaktivierte Benutzer versucht haben, auf die Daten dieser Website
zuzugreifen, kann Sxip Audit die Antwort darauf geben.
Wie sich die Sxip-Identity anfühlt, lässt sich mit dem Sxipper-Plug-in für Firefox ausprobieren.
Mit Sxipper kann man jeder Website die Identitätsattribute einer "Persona" oder eine Open ID mit
einem einzigen Mausklick übergeben. Open ID (openid.net/) ist ein offenes, dezentrales und
nicht-kommerzielles Protokoll für benutzerzentrierte digitale Identität.
Sxipper hat folgende Funktionen: Anmeldung an jeder Website mit einem Mausklick, Speichern aller
Kennungen, Kennwörter und persönlichen Attribute, Phishing-Schutz, Verschlüsselung der persönlichen
Daten auf dem Rechner, Auffinder benötigten Daten aus dem Adressbuch und den Browserdateien (es ist
wirklich interessant, wie Sxipper längst vergessene Kennungen irgendwo im Datensumpf des PCs
wiederfindet), Ausfüllen von Webformulamit Identitätsdaten und Einsatz als Open-ID-Provider.
Produkte und Protokolle
Insgesamt ist die Standardisierung von Protokollen für benutzerzentrierte Identität noch nicht
weit fortgeschritten, und die Produkte sind noch nicht reif für den Markt. Es lassen sich aber
schon die vielversprechendsten Kandidaten ausmachen. Bei den Protokollen sind es das Lightweight
Identity Protocol, SXIP und XR und bei den Techniken neben Sxip noch Open ID, Higgins und
Bandit.
Lightweight Identity (LID) ist eine Familie von Protokollen, die den Peer-to-Peer-Austausch von
Benutzerprofilen erlauben. LID hilft Benutzern bei ihren Interaktionen untereinander und mit
Social-Networking-Sites. Bereits verfügbare Lösungen umfassen die Übergabe von Daten aus dem
Benutzerverzeichnis und Single Sign-on.
SXIP (Simple Extensible Identity Protocol) bildet die Grundlage eines IDP-Services mit dem Namen
Sxip Network. Sxip erlaubt den Benutzern, erstens Identitätsinformation auf einer Homesite zu
speichern (entweder nur auf dem Host oder zusätzlich auf dem Arbeitsplatzrechner) und zweitens
Informationen von Homesites auf andere Sites übertragen. Sxip Network beherrscht zurzeit
Web-Single-Sign-on und das Ausfüllen von Browser-Formularen.
XRI (Extensible Resource Identifier) stellt einen globalen Nameservice zur Verfügung, der dem
Domain Name System (DNS) ähnelt mit dem Unterschied, dass der Identifier für jede beliebige
Netzwerkressource geeignet ist.
Open ID ist eine Lösung für die Mehrfachnutzung von Identitätsdaten über Websites hinweg. Ziel
ist die einfache Authentisierung. Das Haupteinsatzgebiet von Open ID sind Blog-Sites. Mit Open ID
kann der Benutzer von einer Site zu anderen surfen, ohne sich noch einmal anmelden zu müssen.
Higgins ist ein Eclipse-Projekt und verspricht ein Meilenstein des Open-Source-IDMs zu werden.
Higgins umfasst Dienste und Werkzeuge wie Authentisierung und Autorisierung, Verwaltungs-Tools,
Single Sign-on sowie Zugriff auf Certificate Authorities und Provisionierungsdienste.
Bandit ist ein Open-Source-Projekt, das von Novell mit Entwicklern, Verwaltungsressourcen und
Infrastruktur unterstützt wird. Das Ziel von Bandit sind starke IDM-Dienste für Authentisierung,
Autorisierung und Auditing. Bandit bietet zwei Lösungen (Digital Me and IdP) und arbeitet explizit
mit Higgins zusammen.
Microsoft Cardspace (früher "Infocard") ist eine Client-Umgebung, die Benutzern die Bearbeitung
ihrer persönlichen Onlineinformationen erlaubt. Cardspace basiert auf Win FX, läuft unter Windows
XP und ist in Windows Vista integriert. Voraussetzung ist Dotnet 3.0, was Anpassungsmaßnahmen der
betrieblichen EDV mit sich bringen kann. Cardspace benutzt die Metapher einer Brieftasche, die
mehrere I-Cards enthält. Die I-Cards enthalten Metadaten über den Benutzer, die es dem
ausstellenden System ermöglicht, Identitätsinformation des Benutzers vom Identitäts-Provider (IDP)
zu beziehen. Das Prinzip ähnelt dem der "Password Wallets". Der Unterschied ist, dass die
Zielsysteme bei Cardspace zusätzliche Attribute akzeptieren und dass diese Attribute nicht
verifiziert sein müssen. Cardspace ist ein Identitätsselektor mit einer Komponente für die
Benutzerschnittstelle und einer Entwicklerschnittstelle. Das Cardspace-Metasystem benutzt eine
Token-gestützte Schnittstelle, bei der jede I-Card in einen "Claim" oder ein Token übersetzt wird,
der über WS-Metadata Exchange, WS-Security, WS-Trust und SOAP (Simple Object Access Protocol) mit
anderen Diensten ausgetauscht werden kann. Cardspace unterstützt die Security Assertions Markup
Language (SAML), Kerberos und andere Token-Technologien.
Lesen Sie mehr zum Thema
