Организация OpenID Foundation представила на RSA Conference в г. Сан-Франциско программу сертификации реализаций механизмов аутентификации OpenID Connect, рассматривая ее как шаг в направлении формирования интероперабельной инфраструктуры идентификации, которую предстоит распространить в масштабе Интернета.
Цель программы — обеспечить согласованность в реализациях протокола на базе стандартов, что будет способствовать их интероперабельности и внедрению в облаках для домашних пользователей и предприятий.
Протокол OpenID Connect (OIDC) выстроен поверх стандартного фреймворка идентификации OAuth 2.0, одобренного организацией IETF (Internet Engineering Task Force). OIDC представляет собой третье поколение и переработку исходной спецификации OpenID.
Если говорить в самых общих чертах, то OAuth служит для предоставления доступа, а OpenID Connect — для аутентификации на любых платформах, включая мобильные. Оба открытых стандарта могут работать и раздельно, но при использовании в паре они усиливают контроль доступа и безопасность данных.
«Закончив год назад работу над Connect, мы все понимали, что хотя мы провели пять раундов тестирования этого протокола на интероперабельность, с точки зрения бизнеса потребуются и сертификации, которые должны стать следующим этапом для высококачественных и хорошо взаимодействующих реализаций протокола», — сказал Майк Джоунс, секретарь совета OpenID Foundation Board.
Foundation пользуется моделью самосертификации. По словам Джоунса, группа считает, что при самосертификации проверяющий ставит на кон свою репутацию, у него возникает ответственность за тщательность тестирования и обязанность соблюдать установившийся порядок, исключающий деловую нечестность и попытки вводить других в заблуждение.
Первыми среди членов OIDC завершили сертификации Microsoft, Google, PayPal, Forge Rock, Ping Identity и Nomura Research Institute. Причем они зарегистрировали этот факт на новом сайте OIXnet, только что созданном организацией Open Identity Exchange и являющимся международным онлайновым реестром доверяемых фреймворков и систем идентификации.
В мае к тестированию OIDC на соответствие требованиям должны приступить другие члены Foundation. А с января 2016 г. программа выйдет на путь широкого внедрения.
По словам Эрика Сакса, директора Google по управлению продуктами для идентификации, в отношении рядовых пользователей «мы можем удостоверить, что как провайдер идентификации Google работает в точности по спецификации OpenID Connect, и пользователи могут быть уверены, что интеграция с Google будет относительно безболезненной и обеспечит более высокую защищенность их приложений. В этом состоит самое главное».
В отношении предприятий, говорит Сакс, суть дела несколько сложнее. OpenID Connect поможет смягчить некоторые проблемы безопасности, возникающие когда работники подписываются на сервисы в обход ИТ-отделов, что часто называют «теневыми ИТ». Если работник зарегистрируется на сервисе со своим почтовым адресом, сервис-провайдер проверит, является ли домен сертифицированным провайдером идентификации OpenID Connect, работающим известным образом.
«Далее совершенно автоматически, как это сегодня происходит с протоколом SMTP, провайдер может переадресовать пользователя в собственную компанию для подтверждения аутентификации, а затем подключить его к сервису, — говорит Сакс. — Это не потребует участия ИТ-администратора, работники получат лучшую безопасность, и все будет происходить автоматически».
Исходная программа сертификации основана на тестах по подмножеству профилей соответствия, очерчивающих спецификацию OIDC. Первое время тестирование соответствия будет сфокусировано на тех профилях OIDC, которые относятся к OpenID Providers (OP) — стороне, предлагающей аутентификацию пользователей как сервис. В дальнейшем в тесты будут включены и профили, относящиеся к доверяющим сторонам (relying parties, RP), т. е. к тем, кто согласен принимать идентификацию конечных пользователей от OP.
В первую группу выбранных для тестирования профилей OIDC вошли Basic OP, Implicit OP, Hybrid OP, OP Publishing Config Info и Dynamic OP.
Тестирование на соответствие требованиям OpenID Connect по принципу самосертификации открыто для любого продукта или сервиса, реализующего по крайней мере один из протоколов OIDC. Сертификация является бессрочной и бесплатной.
Тестовый пакет разработан как программный продукт с открытым исходным кодом в кооперации между европейским GÉANT Project, OpenID Foundation и шведским Университетом г. Умео.
Как сказал Лициа Флорио, руководитель направления Identity and Trust Technologies в проекте GÉANT, "Наша совместная работа показывает, что операционное и техническое сотрудничество между Европой, Северной Америкой, Азией и Южной Америкой значительно продвигает вперед внедрение открытых стандартов идентификации, создаваемых в интересах пользователей.