ОБЗОРЫ
Как спецификация группы Liberty Alliance, руководимой фирмой Sun Microsystems, так и .Net My Services корпорации Microsoft имеют общее предназначение: управлять Web-идентификацией и аутентификацией. Оба этих продукта принимают все более конкретные очертания, и становится ясно, что и тот и другой найдут применение, хотя и для разных целей.
В любом случае не следует забывать, что в бизнесе уже используются десятки систем управления идентификацией, включая Windows-домены, контролируемый доступ к защищенным приложениям и реестры на Web-сайтах партнеров. Чего, однако, сегодня не хватает, так это простого способа их объединения.
И создаваемая спецификация Liberty Alliance, и аутентификационный компонент .Net My Services - Microsoft Passport позволят компаниям строить инфраструктуры управления идентификацией, объединяющие множество разнородных систем. Применяя платформы, реализующие спецификацию Liberty Alliance или сервис Passport, фирмы сумеют обеспечить коллективное использование аутентификационной информации без передачи конфиденциальных данных.
Продукты на основе обеих технологий предоставляют пользователю возможность получать доступ ко всем Web-сайтам, где установлены одна или две эти системы, имея единые Web-идентификатор и пароль. Теоретически любые службы, использующие спецификацию Liberty Alliance, включая Magic Carpet (общее наименование сервисов аутентификации фирмы America Online на базе ее системы ScreenName), смогут работать вместе.
Официальный выход в свет спецификации Liberty Alliance намечен на июль, и весьма вероятно, что где-то через месяц Sun представит Liberty-версию своего продукта Sun ONE (Open Net Environment) Identity Server. ПО Identity Server, ранее известное как iPlanet Directory Server Access Management Edition, включает в себя средства, позволяющие обходиться единым паролем при доступе к разным ресурсам, инструменты для управления политиками и администрирования прав пользователей, а также службы каталогов.
По мнению Марка Херринга, директора по корпоративной стратегии и планированию Sun (Санта-Клара, шт. Калифорния), введение единого пароля для доступа к различным сайтам и приложениям - важнейшая задача. Например, мало кто из людей запоминает личные номера в авиакомпаниях, где они зарегистрированы как постоянные клиенты, и поэтому United Airlines или другие авиакомпании в принципе могли бы использовать для таких клиентов схемы их аутентификации при электронном банковском обслуживании. Причем, считает Херринг, эта модель может быть односторонней: скажем, банку совсем не обязательно идентифицировать личность человека по номеру его регистрации на авиалиниях.
Эрик Дин, глава информационных служб United Airlines и председатель совета Liberty Alliance, заявил, что альянс не ставит перед собой цель заменить тысячи существующих систем аутентификации при помощи паролей - его задача лишь в том, чтобы фирмы могли развивать стратегическое партнерство на основе аутентификации и управления профилями пользователей.
Правда, добавил Дин, здесь имеется одна серьезная проблема, а именно - распределение ответственности. “А что если аутентификация даст осечку? Кто за это будет отвечать? Подобные ситуации требуют тщательной проработки”.
С точки зрения приверженцев Liberty Alliance, вопросы ответственности обязаны решать организации, устанавливающие взаимные связи. В лагере же Passport считается, что ответственность сторон должна определяться договоренностями заказчика с Microsoft или его стратегическими партнерами в зависимости от способа реализации сервиса.
Система Microsoft Passport, изначально создававшаяся как сервис, а не открытая спецификация, по меньшей мере на год опередила Liberty Alliance. Она действует на той же основе, что и аутентификация в Microsoft Hotmail и Microsoft Network, и необходима для работы в среде Windows XP.
В Passport первого поколения предусматривался единый пароль, а управление данными аутентификации всецело лежало на Microsoft. Хотя Passport и .Net My Services всегда считались открытыми для использования партнерами этой корпорации, Sun активно боролась против Passport, убеждая организации не доверять пользовательские данные службе, монопольно контролируемой Microsoft. Затем Sun сменила курс, начав указывать на недостаточную надежность ее модели безопасности. Параллельно Sun и еще 32 компании основали Liberty Alliance. Microsoft в него не входит.
Хотя вначале предполагалось, что сервис Passport будут обслуживать серверы Microsoft, пользовательские данные в действительности никогда на них не попадали. Тем не менее корпорация изменила стратегию и объявила, что каждая организация может устанавливать собственные серверы Passport в своем офисе.
Passport следующего поколения будет очень походить на идеал сторонников Liberty Alliance. Однако, поскольку спецификация Liberty Alliance дает больше свободы разработчикам, на ее базе можно будет создавать множество разнообразных продуктов. Passport же находится под более жестким контролем.
Спецификация Liberty Alliance появится в июле, а первые реализующие ее продукты выйдут не раньше чем месяц спустя.
Продукты с поддержкой технологии Liberty Alliance, по-видимому, найдут применение у пользователей систем Sun, поскольку эти компании уже знакомы с механизмами идентификации на базе Unix.
Между тем Microsoft Passport наверняка заинтересует владельцев Web-сайтов, построенных на Active Server Pages и .Net, поскольку система аутентификации Passport является одним из главных компонентов инфраструктуры Microsoft .Net Framework.
Сейчас трудно предсказать, какая из систем аутентификации войдет в обиход предприятий (если это вообще произойдет) со смешанной средой Unix- и Windows-серверов. Скорее всего системные администраторы будут принимать решение исходя из нужд конкретных проектов.
С директором eWeek Labs Джоном Ташеком можно связаться по адресу: john_taschek@ziffdavis.com.
Возможный вариант использования технологии Liberty Alliance
- Пользователь получает доступ к Web-сайту электронного банка с помощью банковской службы аутентификации, построенной на базе спецификации Liberty Alliance.
- Чтобы рассчитать стоимость билета на самолет, пользователь переходит на Web-сайт UA, которая является партнером банка. Рядом с окном регистрации клиентов имеется раскрывающийся список альтернативных служб аутентификации. Пользователь выбирает схему аутентификации от своего банка.
- Сайт авиакомпании направляет через закрытые каналы коммуникаций зашифрованный запрос в банковскую систему аутентификации. Никакие пользовательские данные при этом не передаются.
- Банковская система идентифицирует клиента с помощью зашифрованного ключа, и клиент получает доступ к информации авиакомпании.
- Авиакомпания и банк могут идентифицировать своих общих клиентов и предлагать им специальные виды сервиса, например кредитные карты банка для постоянных пользователей услуг авиакомпании.