Federalizace identity pro web (1)

Federativní identita byla dlouho cílem mnoha IT organizací. Stačí se jen podívat na slibný přínos a je hned jasné proč. Vždyť oprávnění jedné organizace sloužit jako poskytovatel identity pro jiné by osvobodilo odvětví IT od nutnosti správy identit zaměstnanců a zákazníků.


---tento text vyšel v tištěném SecurityWorldu 4/2008

Výsledkem bylo získání konkurenční výhody. V současné epoše zvyšující se podnikové decentralizace vděčíme z velké části internetovému prostředí za zjištění, že vytvoření soustavy federativní identity je nezbytné a zároveň těžko realizovatelné.

Federalizaci nebrzdí technické obtíže. Standardy jsou dobře definované a nástroje schopné vzájemné spolupráce jsou dostupné od více dodavatelů. Hlavní brzdou federalizace identity jsou problémy z oblasti legislativy a správy.

Předpokládejme, že vaše společnost federalizuje identity s poskytovatelem důchodového připojištění. Jaká společnost ponese zodpovědnost v případě zneužití souvisejícího s touto federalizací? Vytvoření smluv týkajících se takový otázek může zaměstnat právníky na několik týdnů. Obavy o ochranu osobních údajů uživatelů jsou dalším problematickým bodem. A navíc na mnoha místech (jako je například web vaší společnosti) není možné provádět federalizaci tradičními metodami.

V poslední době je novým rozvíjejícím se přístupem k federalizaci uživatelsky řízená identita.

Klíčem v této rostoucí revoluci v oblasti správy identity je skutečnost, že technologie dává zaměstnancům, klientům, partnerům a zákazníkům kontrolu nad předáváním informací o identitě. Technologie jsou navrženy tak, že sdílení dat vyžaduje svolení uživatele.

Obezřetná a smysluplná implementace uživatelsky řízené identity může přinést naději pro organizace, které hledají způsob využití přínosu federalizace. Technologie je totiž mohou osvobodit od nutnosti tvorby smluv týkajících se identity tím, že rozvážou gordický uzel správy a otevřou podnikové příležitosti pro slibnou federativní identitu tam, kde tradiční způsoby federalizace nelze použít.

Objevily se dvě specifické technologie, které přitahují pozornost organizací hledajících urychlení svých federalizačních snah: CardSpace, standard vyvinutý společností Microsoft k poskytování komplexních řešení v oblasti uživatelsky řízené identity a OpenID, nenáročný standard pro vytvoření identit na základě adres URL, který je výsledkem práce více společností.

 

Uživatelsky řízená identita dospívá

Použití rodících se technologií pro účely správy identit je pro mnohé synonymem přímé cesty k rezignaci. Dick Hardt, výkonný ředitel společnosti Sxip Identity, však patří mezi zastánce a věří, že velký nárůst podpory dodavatelů brzy zajistí životaschopnost uživatelsky řízené federalizace v podnikové sféře.

Hardt věří v úspěšnost a říká, že „narozdíl od předchozích technologií pro identitu téměř všichni hlavní dodavatelé nějakým způsobem participují na technologii řízené uživatelem.“

Jako každá technologie musí také uživatelsky řízená federalizace vyhrát těžkou bitvu o zajištění všeobecné podnikové podpory. Podnikové naděje technologie se upínají více než na průmyslovou konsolidaci a vývoj standardů na důkladné testování interoperability, na důvěryhodné knihovny a nástroje a nejvíce na produkty, které uvedou slibnou technologii do života.

Technologie CardSpace a OpenID musely samozřejmě za posledních pár let překonat dlouhou cestu. Před rozsáhlým nasazením v organizacích však bude nutné dokončit důležité oblasti. Navzdory dobře vytvořeným standardům má řešení CardSpace nedostatky ve funkcích -- například v oblasti mobilních pověření. Technologie OpenID má vážné mezery, které by měly být opraveny navrženými standardy, ale při schvalování těchto standardů nevzniklo dostatečné úsilí.

To neznamená, že by byli dodavatelé nečinní. Testování interoperability je pro obě technologie přínosem. Konference Interop se konají několikrát ročně a slouží k vytvoření hlubší spolupráce velkých i malých dodavatelů. Nástrojů a knihoven je k dispozici hojné množství. Přijetí v podnikové sféře však často závisí na výběru produktů. Kvůli nedostatku řešení s integrovanými technologiemi CardSpace a OpenID bylo nasazování pomalé.

„Neexistuje mnoho produktů, které byste mohli přímo koupit. Nástroje pro výběr identity jsou na tom dobře, ale nástroje pro poskytovatele ověření identity a pro závislé strany jsou stále pozadu,“ vysvětluje Hardt.

 

Motivující změna

Technologie je pouze jedním aspektem. Její nákup totiž velmi závisí na získání popularity. V osudu uživatelsky řízené federalizace v podnicích hrají hlavní roli specifické složitosti identity.

„Oblast identity je náročnou výzvou, když uvážíme, že velké organizace mají mnoho různých druhů vztahů -- se zaměstnanci, dodavateli, partnery a zákazníky -- vše roztroušené v regionech a různých lokalitách,“ popisuje situaci Mike Neuenschwander, vicepresident a ředitel výzkumu ve společnosti Burton Group. „Ještě výše se nachází problematika zásad, která popisuje požadavky a očekávání organizace v různých situacích.“

Při nasazování správy identity byla dosud velká část motivace soustředěna na rozhodující oblast. „Snížení nákladů na linku podpory a zvýšení zabezpečení jsou hnacími silami v podnikové oblasti identit,“ uvádí Andre Durand, výkonný ředitel společnosti Ping Identity, který je členem její dozorčí rady.

S narůstajícími zkušenostmi organizací s uživatelsky řízenou identitou však nabírají na důležitosti primární kritéria, jako je zlepšování vztahů se zákazníky a tvorba dobrého jména.

Dosud byla většina federalizace prováděna ve sféře mezipodnikových vztahů, kde lze pro federalizaci s partnery předložit silné argumenty týkající se návratnosti investic. V oblasti vztahů se zákazníky však uživatelské řízení identity skutečně vyniká, protože vynucení jakéhokoli typu technologie v prostředí vztahů se zákazníky významně zvětšuje třecí plochy při transakci. Získání systému řízení identity, který zákazníci rádi používají, je velkým vítězstvím. Navíc pokud uživatelé řídí svá pověření identity, může uživatelsky řízená identita v mnoha případech ušetřit nepříjemnosti s obnovením hesla a správou účtu.

Jak již bylo řečeno dříve, velkým problémem pro jakékoli nasazení federativní identity (v mezipodnikové i zákaznické sféře) je čas strávený nastavením spojení s mnoha zúčastněnými organizacemi. Řešení využívající uživatelské řízení poskytují rychlý a snadný způsob, jak se těchto spojení zbavit a zároveň zajistit průběžný růst.

„Pokud musíte s něčím takovým do laboratoře, máte nastavenou horní hranici svých možností,“ uvádí Neuenschwander ze společnosti Burton Group a poznamenává, že tradiční režimy federalizace vyžadují před nasazením dlouhodobé laboratorní testy.

V mnoha situacích by bylo plnohodnotné nasazení federalizace přehnané a uživatelsky řízené systémy jsou v těchto oblastech více než vhodné. Například když je třeba nastavit vztahy s partnerem s nižší důležitostí a díky tomu s méně náročnými požadavky na autentizaci. Technologie s uživatelským řízením poskytují levné řešení s nízkou režií. Navíc poskytují žádanou flexibilitu a umožňují růst systému správy identity zároveň s vyvíjejícími se obchodními vztahy.

Jedním z cílů uživatelsky řízené technologie je poskytovat metasystém identit, který funguje nezávisle na jednotlivých aplikacích.

„Potřebujeme mít možnost odstupňovat rozhodnutí od autentizace s nízkou hodnotou až po hodnotu vysokou, a to bez nutnosti měnit software,“ říká Kim Cameron, šéfarchitekt pro identitu ve společnosti Microsoft a autor publikace Sedm zákonů identity, která je slabikářem v oblasti technologií uživatelsky řízené identity. „Různé role mohou v aplikaci používat různé režimy autentizace s různou odolností a přitom zachovávat konzistentní uživatelské rozhraní.“

Jednou ze zajímavostí tak je, že počátečním využitím nástrojů uživatelského řízení může být poskytování prvků uživatelského rozhraní pro stávající federalizace. „Tyto technologie mohou poskytovat lepší uživatelské rozhraní pro již existující partnerské federalizace,“ dodává Neuenschwander.

Pokračování článku

 

 Komentáře