Federation gateway

DEFINICE Sdružovací brána provádí překlad protokolů firem používajících různé standardy správy identit tak, aby...


DEFINICE
Sdružovací brána provádí překlad protokolů firem používajících různé standardy
správy identit tak, aby mohly navzájem propojovat své aplikace.


Sdílená správa identit dovoluje uživatelům používat stejná uživatelská jména,
hesla nebo jiné autentizační prostředky pro jednotné přihlašování (single
sign-on), a přistupovat tak k aplikacím a k datům poskytovaným více než jednou
organizací. Dobrým příkladem využití sdílených identit může být třeba portál
pro zaměstnance, na kterém se podílí zaměstnanecká pojišťovna, investiční
společnost, firma zpracovávající mzdy a zdravotní pojišťovna.
Partneři v systému sdružené správy identit jsou na sobě v autentizaci svých
uživatelů navzájem závislí a ručí za jejich identitu a přístupová oprávnění. V
současné době si firmy musejí pro sdílení uživatelských identit mezi sebou
vybrat jeden ze tří vznikajících protokolů - SAML (Security Assertion Markup
Language), Liberty Alliance nebo WS-Federation. Tyto protokoly standardizují
komunikaci mezi aplikacemi, takže partneři nejsou nuceni implementovat stejné
technologie pro adresářové služby, zabezpečení a autentizaci. Velký problém
ovšem představuje interoperabilita, neboť nejen tyto tři protokoly, ale i
jejich různé verze nejsou kompatibilní.
Nová technologie označovaná jako sdružovací brána (federation gateway) slouží
pro překlad různých protokolů sloužících ke sdílení identit, jež firmy
využívají.

Jak to funguje
Hlavním prvkem systému sdružených identit je vztah důvěry mezi webovou aplikací
organizace, která autentizuje uživatele (poskytovatel identity) a druhou
stranou, která spoléhá na provedenou autentizaci při poskytnutí bezpečného
přístupu k webové aplikaci nebo službě (poskytovatel služby). Díky sdružovací
bráně nemusejí poskytovatel identity a poskytovatel služby používat stejný
protokol sdílených identit, a dokonce ani totožnou verzi.
Na obrázku vidíte sdružovací bránu provozovanou poskytovatelem služeb
zpracovávající požadavky na přístup k aplikacím od více poskytovatelů identit.
Firma A funguje jako poskytovatel služby využívající protokol SAML 1.1 pro
sdílený přístup jejích partnerů k webovým aplikacím. Společnost B požaduje
přístup do aplikací firmy A a vystupuje jako poskytovatel identity. Používá
ovšem protokol Liberty 1.1.
V prostředí, kde se standardy správy sdílených identit stále vyvíjejí, umožňuje
sdružovací brána firmám implementovat správu sdílených identit s vědomím, že
budou moci spolupracovat se svými partnery nezávisle na tom, jaký používají
protokol.










Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.