Übersicht
.gif "WIF-Logo")
Identitätsherausforderungen
Die meisten Entwickler sind keine Sicherheitsexperten, und viele fühlen sich unsicher, wenn es um das Authentifizieren, Autorisieren und Personalisieren des Benutzererlebnisses geht. Dabei handelt es sich um ein Thema, das nicht traditionell im Informatiklehrplan enthalten war, und diese Funktionen wurden lange Zeit ignoriert und bis zum Ende des Softwareentwicklungslebenszyklus aufgeschoben.
So überrascht es nicht, dass manche Unternehmen heutzutage mit Hunderten von Webanwendungen und Diensten ausgestattet sind, die über ihren eigenen privaten Speicher für Benutzeridentitäten verfügen und die an eine bestimmte Methode zur Authentifizierung gebunden sind. Entwickler wissen, wie mühsam es ist, Identitätsunterstützung in jede Anwendung zu integrieren, und IT-Profis wissen, wie aufwändig es ist, den sich daraus ergebenden Satz von Anwendungen zu verwalten.
Ein sehr nützlicher Schritt zum Lösen des Problems war, Benutzerkonten in einem Unternehmensverzeichnis zu zentralisieren. Im Allgemeinen kennt der IT-Profi die effektivste und effizienteste Methode zur Abfrage des Verzeichnisses. Heutzutage wird diese Aufgabe jedoch in der Regel dem Entwickler überlassen. Angesichts von Fusionen, Übernahmen und Partnerschaften ist der Entwickler möglicherweise mit mehreren Verzeichnissen konfrontiert, die unterschiedliche APIs verwenden.
In Microsoft .NET Framework gibt es viele verschiedene Methoden, um Identitätsunterstützung in eine Anwendung zu integrieren, und jedes Kommunikationsframework behandelt Identität auf eine andere Weise, mit verschiedenen Objektmodellen, verschiedenen Speichermodellen usw. Sogar in ASP.NET können Entwickler die Übersicht verlieren, wo sie nach der Identität suchen sollen: Vielleicht in der "HttpContext.User"-Eigenschaft? Oder doch eher in "Thread.CurrentPrincipal"?
Die ausufernde Verwendung von Kennwörtern lässt die Zahl der Phishingangriffe anwachsen. Da so viele Anwendungen in sich geschlossen sind, ist es für Unternehmen schwierig, auf stärkere Authentifizierungstechniken umzurüsten.
Eine bessere Lösung
Ein Schritt zur Lösung dieser Probleme ist, das Stückwerk benutzerdefinierter Identitäten und das Integrieren von Benutzerkontodatenbanken in jede neue Anwendung zu beenden. Aber selbst Entwickler, die sich auf ein zentrales Unternehmensverzeichnis verlassen, spüren den Aufwand bei Fusionen, Übernahmen und externen Partnerschaften und tragen am Ende sogar die Verantwortung für die schwache Leistungsfähigkeit, die eigentlich von einer bestimmten Anwendung verursacht wird, die das Verzeichnis mit ineffizienten Abfragen ausbremst. Bei der in diesem Dokument beschriebenen anspruchsbasierten Lösung wird verhindert, dass Entwickler eine Verbindung zu einem bestimmten Unternehmensverzeichnis herstellen müssen, um nach den Identitätsdetails für Benutzer zu suchen. Stattdessen wird die Anforderung des Benutzers mit allen Identitätsdetails empfangen, die für die Ausführung der Aufgabe erforderlich sind. Zum Zeitpunkt des Empfangs dieser Ansprüche wurde der Benutzer bereits authentifiziert, und die Aufgabe kann von der Anwendung erledigt werden, ohne dass Benutzerkonten verwaltet oder gesucht werden müssen.
Das Auslagern der Authentifizierung aus Anwendungen führt zu vielen Vorteilen für Entwickler, IT-Profis und Benutzer. In einfachen Worten sind weniger Benutzerkonten zu verwalten, und mit der resultierenden Zentralisierung der Authentifizierung wird es einfacher, auf stärkere Authentifizierungsmethoden umzurüsten, sobald diese entwickelt werden, und sogar einen Identitätsverbund mit anderen Plattformen und Organisationen herzustellen.
Die Themen in diesem Abschnitt helfen Ihnen als Entwickler, das anspruchsbasierte Identitätsmodell zu verstehen und es mithilfe von Windows® Identity Foundation (WIF), dem neuen auf Identität ausgerichteten Framework von Microsoft, zu nutzen.
Was ist Windows Identity Foundation?
WIF ist ein Satz von .NET Framework-Klassen. Es handelt sich um ein Framework zum Implementieren anspruchsbasierter Identität in Anwendungen. Mit dem Einsatz können Sie die in diesem Dokument beschriebenen Vorteile anspruchsbasierter Systeme leichter ausschöpfen. WIF kann in allen Webanwendungen oder Webdiensten verwendet werden, die .NET Framework Version 3.5 SP1 verwenden.
WIF ist nur ein Teil der Softwarefamilie für Identitätsverbund von Microsoft, mit dem die in der Branche geteilte Vision eines interoperablen Identitätsmetasystems implementiert wird. Identitätsverbund umfasst drei Komponenten: Active Directory-Verbunddienste (ADFS) V2 (zuvor als "Geneva" Server bezeichnet), Windows CardSpace "Geneva" und WIF. Gemeinsam bilden diese drei Komponenten den Kern der neuen anspruchsbasierenden Zugriffsplattform von Microsoft. Auf der Geneva-Website erhalten Sie weitere Informationen zu den Server- und CardSpace-Komponenten. Das Whitepaper, "Introducing 'Geneva'" bietet eine Übersicht über den vollständigen Satz der Geneva-Technologien. Mit diesem Dokument stehen WIF und vorläufige Versionen der anderen beiden Produkte zum Download zur Verfügung.
Die Themen in diesem Abschnitt handeln vom anspruchsbasierten Identitätsmodell, welche Probleme damit behoben werden können und wie Sie es mithilfe von Windows® Identity Foundation (WIF) nutzen können.