Standards und Schnittstellen

Technische Standards sind vor allem im Bereich des Identity Management von zentraler Bedeutung, da hier viele verschiedene, oft heterogene Systeme miteinander verbunden werden müssen. Es existieren verschiedene Bestrebungen und Forschungen, um einzelne Aufgaben oder ganze Bereiche des IdM zu standardisieren. Zudem bilden sich Konsortien oder Standardisierungsorganisationen, die mit vereinter Kraft versuchen, Standards zu generieren, zu publizieren und zu etablieren. Gerade im Hinblick auf die Verbindung verschiedener Akteure, seien es Anwendungen innerhalb eines IdMS oder verschiedene IdMS selbst, ist eine genormte Vorgehensweise unabdingbar.
Im Folgenden werden die Standardisierungsorganisationen im IdM-Umfeld skizziert. Es soll ein Überblick gegeben werden, an welchen Stellen welche Technologien weiter entwickelt werden. Außerdem werden die generierten technischen Standards vorgestellt, die bei der Realisierung eines IdMS eingesetzt werden können und sollten. Eine tabellarische Zusammenfassung erklärt die Standards und Schnittstellen kurz und prägnant und verlinkt zu ausführlicheren Beschreibungen.

Standardisierungsorganisationen

Das grundsätzliche Ziel von Standardisierungsorganisationen ist die Vereinheitlichung von Problemlösungen unterschiedlicher Art. Die Arbeit findet für gewöhnlich in einem öffentlichen Rahmen statt. Die bedeutendsten Standardisierungsorganisationen im Bereich von Identity Management sind im Folgenden aufgelistet:

➔ zu den Organisationen.

Standards und Schnittstellen zur Realisierung eines IdMS

Ein IdMS ist ein hochkomplexes Konstrukt aus verschiedenen Technologien, die aus völlig unterschiedlichen Kontexten entstanden sind. Um eine Interoperabilität über Anbieter, Funktions- und schließlich Organisationsgrenzen hinweg zu erhalten, sind das Vorhandensein, die Weiterentwicklung und die Kenntnis der entscheidenden Standards ausschlaggebend.
Es folgt eine Auflistung der wichtigsten Standards und Schnittstellen zur Realisierung eines IdMS.

Generelle Protokolle und Standards

Extensible Markup Language, XML
Auszeichnungssprache zur Darstellung hierarchisch strukturierter Daten
Simple Object Access Protocol, SOAP
Ermöglicht den Austausch strukturierter Daten zwischen Computer-Systemen sowie Remote Procedure Calls
Web Services Description Language, WSDL
Beschreibungssprache für Netzwerkdienste (Web Services) und dient zum Nachrichtenaustausch Secure Socket Layer / Transport Layer Security SSL/TLS Authentifizierung von Kommunikationspartnern sowie vertrauliche Ende-zu-Ende-Datenübertragung
Web Services Security, WSS
Implementiert Sicherheitsaspekte innerhalb einer Web-Service-Architektur

Repository Management

X.500
Beschreibt den Aufbau eines Verzeichnisdienstes
Directory Access Protocol, DAP
Regelt den Zugriff auf X.500 Directory Services
Directory System Protocolm, DSP
Kommunikation zwischen verteilten Verzeichnisssen
Directory Operational Binding Management Protocol, DOP
Verbreitung von Informationen innerhalb eines verteilten Verzeichnis
Directory Information Shadowing Protocol, DISP
Verbreitung von Informationen innerhalb eines verteilten Verzeichnis
Lightweight Directory Access Protocol, LDAP
Stellt eine vereinfachte Kommunikation mit Directories bereit
LDAP Data Interchange Format, LDIF
Definiert ein Dateiformat zur Darstellung von Informationen aus einem LDAP-Verzeichnis
Directory Service Markup Language, DSML
Ein XML-Dialekt, um Abfragen oder Änderungen an einem Directory vorzunehmen
Active Directory Service Interface, ADSI
Eine COM-Komponente von Microsoft, die eine einheitliche Programmierschnittstelle auf unterschiedliche Verzeichnisdienste schafft

Life Cycle Management

Service Provisioning Markup Language, SPML
Ein auf XML basierender Standard zur Provisionierung
Synchronization Markup Language, SyncML
Ein plattform-unabhängiger, auf XML basierender Standard zur Synchronisierung von Daten zwischen unterschiedlichen Endgeräten

Access Management

Authentisierung

X.509
Regelt den Aufbau einer Public-Key-Infrastructure und insbesondere das Format von Zertifikate
OpenID
Dezentral organisiertes Single-Sign-On im Internet

Authentifizierung

Online Certificate Status Protocol, OCSP
Fragt den Status eines Zertifikats bei einem Validierungsdienst ab
Server-based Certificate Validation Protocol, SCVP
Schafft die Möglichkeit für den Aufbau einer Zertifikatskette und deren Validierung
Simple Authentication and Security Layer, SASL
Ermöglicht das Anbieten von Authentifizierungs- und Sicherheitsdienste in verbindungsorientierten Protokollen
Kerberos
Verteilte Netzwerk-Authentifizierung zwischen Client- und Server-Applikationen mittels Secret-Key-Kryptographie
NT LAN Manager, NTLM
Proprietärer Standard von Microsoft zur Challenge-Response-Authentifizierung
Remote Authentication Dial-In User Service, RADIUS
Client-Server-Protokoll zur entfernten, zentralen Authentifizierung sowie Autorisierung und Accounting (Triple-A-System)

Autorisierung

eXtensible Access Control Markup Language, XACML
Einheitliche Sprache zur allgemeinen Beschreibung von Zugriffsrichtlinien
Enterprise Privacy Authorization Language, EPAL
Formalisierte Sprache zur Durchsetzung und Sicherstellung des Schutz von personenbezogenen Daten innerhalb von Unternehmen sowie unternehmensübergreifend
OAuth
Ermöglicht eine einfache und sichere Authentifizierung und Autorisierung zwischen APIs

Federation

Security Assertion Markup Language, SAML
Ermöglicht einen standardisierten Weg, um Sicherheitsinformationen für die Authentifizierung und Autorisierung zwischen Anwendungen und IdMS auszutauschen
Web Services Federation, WS-Federation
Teil eines Frameworks, das eine flexible Infrastruktur für föderierte Identitäten zur Verfügung stellt

Weltweit eindeutige Bezeichner

Extensible Resource Identifier, XRI
Definition einer Syntax, um abstrakte und strukturierte Kennungen über verschiedene Applikationen und Domains zu verteilen
i-name
Abgewandelte Form des XRI, um abstrakte und strukturierte Kennungen (identifier) darzustellen

Institut für Internet-Sicherheit – if(is)