Identitätssilos

Bei einigen Anwendungen ist das Arbeiten mit Benutzeridentität einfach. Stellen Sie sich eine Windows-Anwendung vor, auf die nur Benutzer einer einzigen Organisation zugreifen und die nicht viele Informationen über diese Benutzern erfordert. Diese Anwendung kann einfach mithilfe von Kerberos, einer Komponente von Active Directory-Domänendienste (AD DS), die Benutzer authentifizieren und zugehörige grundlegende Informationen übermitteln. Sie können sich auch eine Anwendung vorstellen, auf die nur Internetbenutzer zugreifen. Eine solche Anwendung kann jeden Benutzer einfach zur Eingabe von Benutzername und Kennwort auffordern und diese Benutzerinformationen in einer Datenbank speichern.

Für die meisten Anwendungen ist das Arbeiten mit Benutzeridentität jedoch komplexer. Betrachten Sie eine Anwendung, die mehr Informationen über jeden Benutzer benötigt, als von Kerberos oder einem einfachen Benutzernamen und Kennwort bereitgestellt werden. Die Anwendung muss diese Informationen aus einer anderen Quelle wie z. B. AD DS abrufen oder die Informationen selbst speichern. Oder betrachten Sie eine Anwendung, auf die sowohl Mitarbeiter innerhalb der Organisation als auch Internetbenutzer zugreifen müssen. Die Anwendung muss sowohl Kerberos- als auch auf Benutzername und Kennwort basierende Anmeldungen unterstützen. Nehmen Sie schließlich an, dass auf die Anwendung von einer anderen Organisation zugegriffen werden muss, ohne dass eine separate Anmeldung erforderlich ist. Dieser Identitätsverbund kann weder mit Kerberos- noch mit Benutzernamen- und Kennwortanmeldungen zufriedenstellend erreicht werden.

Das folgende Diagramm veranschaulicht das Problem von Identitätssilos in einer typischen Organisation. Der Benutzer ist hierbei gezwungen, sich separat anzumelden, nur um auf verschiedene Anwendungen in der eigenen Domäne des Benutzers zuzugreifen, ganz zu schweigen von Anwendungen in anderen Domänen.

Anspruchsbasierte Identität bietet einen Ansatz für Identität, der in all diesen Szenarien funktioniert. Er basiert auf allgemein akzeptierten Branchenstandards, die über Plattform- und Organisationsgrenzen hinweg funktionieren. Dieser Ansatz ist außerdem in Produkten von verschiedenen Herstellern implementiert und kann von Entwicklern leicht verwendet werden.