Pfeil- und Text-Symbol

Standards und Schnittstellen

Technische Standards sind vor allem im Bereich des Identity Management von zentraler Bedeutung, da hier viele verschiedene, oft heterogene Systeme miteinander verbunden werden müssen. Es existieren verschiedene Bestrebungen und Forschungen, um einzelne Aufgaben oder ganze Bereiche des IdM zu standardisieren. Zudem bilden sich Konsortien oder Standardisierungsorganisationen, die mit vereinter Kraft versuchen, Standards zu generieren, zu publizieren und zu etablieren. Gerade im Hinblick auf die Verbindung verschiedener Akteure, seien es Anwendungen innerhalb eines IdMS oder verschiedene IdMS selbst, ist eine genormte Vorgehensweise unabdingbar.

Im Folgenden werden die Standardisierungsorganisationen im IdM-Umfeld skizziert. Es soll ein Überblick gegeben werden, an welchen Stellen welche Technologien weiter entwickelt werden. Außerdem werden die generierten technischen Standards vorgestellt, die bei der Realisierung eines IdMS eingesetzt werden können und sollten. Eine tabellarische Zusammenfassung erklärt die Standards und Schnittstellen kurz und prägnant und verlinkt zu ausführlicheren Beschreibungen.

Standardisierungsorganisationen

Das grundsätzliche Ziel von Standardisierungsorganisationen ist die Vereinheitlichung von Problemlösungen unterschiedlicher Art. Die Arbeit findet für gewöhnlich in einem öffentlichen Rahmen statt. Die bedeutendsten Standardisierungsorganisationen im Bereich von Identity Management sind im Folgenden aufgelistet:

Standards und Schnittstellen zur Realisierung eines IdMS

Ein IdMS ist ein hochkomplexes Konstrukt aus verschiedenen Technologien, die aus völlig unterschiedlichen Kontexten entstanden sind. Um eine Interoperabilität über Anbieter, Funktions- und schließlich Organisationsgrenzen hinweg zu erhalten, sind das Vorhandensein, die Weiterentwicklung und die Kenntnis der entscheidenden Standards ausschlaggebend.

Es folgt eine Auflistung der wichtigsten Standards und Schnittstellen zur Realisierung eines IdMS.

Generelle Protokolle und Standards

  • Extensible Markup Language, XML
    Auszeichnungssprache zur Darstellung hierarchisch strukturierter Daten
  • Simple Object Access Protocol, SOAP
    Ermöglicht den Austausch strukturierter Daten zwischen Computer-Systemen sowie Remote Procedure Calls
  • Web Services Description Language, WSDL
  • Beschreibungssprache für Netzwerkdienste (Web Services) und dient zum Nachrichtenaustausch Secure Socket Layer / Transport Layer Security SSL/TLS Authentifizierung von Kommunikationspartnern sowie vertrauliche Ende-zu-Ende-Datenübertragung
  • Web Services Security, WSS
    Implementiert Sicherheitsaspekte innerhalb einer Web-Service-Architektur

Repository Management

  • X.500
    Beschreibt den Aufbau eines Verzeichnisdienstes
  • Directory Access Protocol, DAP
    Regelt den Zugriff auf X.500 Directory Services
  • Directory System Protocolm, DSP
    Kommunikation zwischen verteilten Verzeichnisssen
  • Directory Operational Binding Management Protocol, DOP
    Verbreitung von Informationen innerhalb eines verteilten Verzeichnis
  • Directory Information Shadowing Protocol, DISP
    Verbreitung von Informationen innerhalb eines verteilten Verzeichnis
  • Lightweight Directory Access Protocol, LDAP
    Stellt eine vereinfachte Kommunikation mit Directories bereit
  • LDAP Data Interchange Format, LDIF
    Definiert ein Dateiformat zur Darstellung von Informationen aus einem LDAP-Verzeichnis
  • Directory Service Markup Language, DSML
    Ein XML-Dialekt, um Abfragen oder Änderungen an einem Directory vorzunehmen
  • Active Directory Service Interface, ADSI
    Eine COM-Komponente von Microsoft, die eine einheitliche Programmierschnittstelle auf unterschiedliche Verzeichnisdienste schafft

Life Cycle Management

  • Service Provisioning Markup Language, SPML
    Ein auf XML basierender Standard zur Provisionierung
  • Synchronization Markup Language, SyncML
    Ein plattform-unabhängiger, auf XML basierender Standard zur Synchronisierung von Daten zwischen unterschiedlichen Endgeräten

Access Management

Authentisierung

  • X.509
    Regelt den Aufbau einer Public-Key-Infrastructure und insbesondere das Format von Zertifikate
  • OpenID
    Dezentral organisiertes Single-Sign-On im Internet

Authentifizierung

  • Online Certificate Status Protocol, OCSP
    Fragt den Status eines Zertifikats bei einem Validierungsdienst ab
  • Server-based Certificate Validation Protocol, SCVP
    Schafft die Möglichkeit für den Aufbau einer Zertifikatskette und deren Validierung
  • Simple Authentication and Security Layer, SASL
    Ermöglicht das Anbieten von Authentifizierungs- und Sicherheitsdienste in verbindungsorientierten Protokollen
  • Kerberos
    Verteilte Netzwerk-Authentifizierung zwischen Client- und Server-Applikationen mittels Secret-Key-Kryptographie
  • NT LAN Manager, NTLM
    Proprietärer Standard von Microsoft zur Challenge-Response-Authentifizierung
  • Remote Authentication Dial-In User Service, RADIUS
    Client-Server-Protokoll zur entfernten, zentralen Authentifizierung sowie Autorisierung und Accounting (Triple-A-System)

Autorisierung

  • eXtensible Access Control Markup Language, XACML
    Einheitliche Sprache zur allgemeinen Beschreibung von Zugriffsrichtlinien
  • Enterprise Privacy Authorization Language, EPAL
    Formalisierte Sprache zur Durchsetzung und Sicherstellung des Schutz von personenbezogenen Daten innerhalb von Unternehmen sowie unternehmensübergreifend
  • OAuth
    Ermöglicht eine einfache und sichere Authentifizierung und Autorisierung zwischen APIs

Federation

  • Security Assertion Markup Language, SAML
    Ermöglicht einen standardisierten Weg, um Sicherheitsinformationen für die Authentifizierung und Autorisierung zwischen Anwendungen und IdMS auszutauschen
  • Web Services Federation, WS-Federation
    Teil eines Frameworks, das eine flexible Infrastruktur für föderierte Identitäten zur Verfügung stellt

Weltweit eindeutige Bezeichner

  • Extensible Resource Identifier, XRI
    Definition einer Syntax, um abstrakte und strukturierte Kennungen über verschiedene Applikationen und Domains zu verteilen
  • i-name
    Abgewandelte Form des XRI, um abstrakte und strukturierte Kennungen (identifier) darzustellen

Zum Seitenanfang springen