Beyond LDAP @ Digital ID World 2005 in Offenbach, Germany

Ich durfte dieses Jahr auf der Digital ID World in Offenbach zu dem Thema "Beyond LDAP" referieren. Hier ist nun mein Vortrag als PDF: BeyondLDAP.pdf (10,2 MB) für alle, die auf dem Event waren oder sich sonst für das Thema interessieren.

Warum "Beyond LDAP" oder aber was hat das mit digitalen Identitäten zu tun?

Fast jeder hat heute irgendeine Art von Verzeichnis im Einsatz. Eigentlich würde ich sagen "mindestens eins". Dazu gehören Active Directory, Exchange (5.5), Lotus Notes, Novell eDirectory, Open LDAP, Telefonbücher, SAP HR,... In irgendeiner Form gibt es für jede Person in seinem Unternehmen, häufig aber auch in anderen Unternehmen mit denen man eine Geschäftsbeziehung unterhält, verschiedene Stellen, wo personenbezogene Daten gehalten werden. Das sind meine "Identitäten".

All diese Verzeichnisse mit einer standardisierten Schnittstelle, z.B. LDAP, zu versehen ist der erste Schritt, um diese Informationen breiter nutzen zu können - wo der Bedarf besteht. Hier setzen Produkte wie der Microsoft Identity Integration Server (MIIS) an, indem sie die verschiedenen Repositories integrieren. Da der MIIS aber auch über einen Workflow verfügt, lassen sich auch die "Provisioning" Szenarien abdecken (Mitarbeiter wird eingestellt und braucht ein Konto für das Netzwerk, zum Telefonanschluss einen Eintrag im Telefonbuch, eine E-Mail Adresse mit Postfach etc.). LDAP spielt hier eine wichtige Rolle ist aber keine Vorbedingung.

Wie lösen wir aber das Problem, wenn wir über die Grenzen eines Unternehmens hinwegsehen? Wie integrieren wir die Anmeldung über die Grenzen verschiedener Unternehmen? Wie stellen wir sicher, dass der Einkäufer eines Unternehmens seine Berechtigungen bei einem Hersteller automatisch verliert, wenn er den Einkauf verlässt? MIIS könnte hier zwar Daten austauschen, aber die Anforderungen gehen weiter. "Federated Accounts" und "Federated Authentication" ist hier gefordert.
Hier kommen dann die Fähigkeiten des Windows Server 2003 R2 zum tragen. MIIS integriert die verschiedenen Informationen zu meiner Identität innerhalb meines Unternehmens und über die Federation Dienste (ADFS) des Windows Server 2003 R2 bekomme ich die Integration zu Geschäftspartnern, mit denen ich eine entsprechende Vertrauensbeziehung aufbaue. Dabei verwaltet mein Unternehmen meine/unsere Konteninformationen und das andere Unternehmen meine Berechtigungen auf deren Daten oder Dienste. Hier sind wir auf jeden Fall schon deutlich jenseits von LDAP (und Kerberos für die Authentifizierung) und reden eher über WS-Federation, WS-Security, WS-Trust oder einfach WS-* und SAML.

Aber was ist, wenn wir diese Szenarien weiterdenken? Was ist mit Unternehmen, mit denen ich in Zukunft zusammenarbeiten möchte, die ich aber heute noch gar nicht kenne? Wie authorisiere ich also einen "anonymen" Geschäftspartner? Im Kern gar nicht - erst einmal muss sich jeder identifizieren, da ich ja wissen muss, mit wem ich Geschäfte mache. Aber wie identifiziert er sich, so dass ich ihm glaube? Auf jeden Fall sind wir jetzt weit jenseits unserer heutigen vertrauten LDAP basierten Welt, da nicht mehr ich die Informationen in meinem eigenen Verzeichnis habe, sondern den Aussagen (Claims), die mich interessieren und die jemand anderes, der Identity Provider (IP), zertifiziert vertraue, da ich letztlich dem IP, z.B. der öffentlichen Verwaltung, vertraue...

Diese Szenarien werden die Art der Kommunikation im Internet in den nächsten Jahren verändern. Die Standards dazu existieren mittlerweile bzw. werden weiterentwickelt (SAML, WS-*). Für Microsoft sind diese Schnittstellen und Protokolle zentrale Funktionalitäten, die in Windows Vista und Windows "Longhorn" Server umgesetzt werden. In der Zwischenzeit gibt es verschiedene Vereinbarungen, um die Produkte einzelner Hersteller interoperabel zu machen, so z.B. das Announcement von Microsoft und SUN vom 13. May 2005 zu der Web SSO Spezifikation, die die Interoperabilität bezüglich des Web Single Sign-On für den Windows Server und das Sun Java Enterprise System ermöglichen wird.

Deshalb "Beyond LDAP"...