Identity Federation im Windows Server

Eine wichtige Neuerung in Windows Server 2003 R2 ist die standard-basierende, systemübergreifende Nutzung von Identitätsdaten.

Artikel erschienen in Swiss IT Magazine 2005/17

     


Der Windows Server 2003 R2, derzeit im Stadium eines Release Candidate, ist keine neue Windows-Version. Dahinter verbirgt sich vielmehr eine Sammlung funktionaler Erweiterungen für den Windows Server 2003 mit Service Pack 1, die als Add-on zu bestehenden Windows-Servern eingerichtet werden. Zu den Bestandteilen des Windows Server 2003 R2 gehören Verbesserungen beim Storage Management, eine neue Implementierung des DFS (Distributed File Service) und des FRS (File Replication Service) sowie die Microsoft Services for UNIX (MSSFU), die bisher schon als kostenloses Add-on erhältlich waren.


Federation

Die insgesamt wohl wichtigste Erweiterung beim Windows Server 2003 sind aber die ADFS für die Unterstützung von Identity Federation. Das Feature wird aber nur bei der Enterprise Edition und der Datacenter Edition verfügbar sein.
Die Grundidee der Identity Federation ist die Trennung von Authentifizierung und Autorisierung zwischen sich vertrauenden Systemen in verteilten IT-Infrastrukturen. Die Federation-Standards wurden in den vergangenen Jahren entwickelt und beginnen sich zu etablieren. Microsoft folgt dabei primär den WS-Standards (Web-Services-Standards), die gemeinsam mit IBM und einigen anderen Partnern definiert wurden, während am Markt auch die Standards der Liberty Alliance eine wichtige Rolle spielen. Die Liberty Alliance wurde von Sun gegründet und hat mittlerweile weit über 150 Mitglieder. Sun und Microsoft haben vor einiger Zeit aber Schnittstellen angekündigt, mit denen das Zusammenspiel zwischen Liberty- und WS-Standards sichergestellt werden soll.






Identity Federation lässt sich am einfachsten anhand eines Beispiels verstehen. Wenn beispielsweise ein Unternehmen einen Lieferanten für PCs hat, bei dem die neuen Geräte online geordert werden können, ist die Herausforderung bei der Umsetzung des Geschäftsprozesses, dass der Lieferant weiss, ob die Bestellung tatsächlich von einem berechtigten Mitarbeiter des Unternehmens kommt. Alle Mitarbeiter des Unternehmens auch beim PC-Lieferanten mit relevanten Informationen beispielsweise zum maximalen Bestellwert, der sich wiederum aus der organisatorischen Funktion ableitet, anzulegen, wäre aber zu aufwendig. Mit Federation-Technologien könnte eine Lösung geschaffen werden, bei der ein Benutzer auf das Unternehmensportal zugreift, sich dort authentifiziert und auf eine Bestellanwendung zugreifen kann. Wenn er diese nutzt, gibt er beispielsweise seine Personalnummer an. Mit dieser Information fordert die Anwendung des PC-Lieferanten – die der Authentifizierung beim Portal vertraut – weitere Informationen an, die für die Bestellabwicklung erforderlich sind. Das könnten die Lieferadresse oder Informationen für die Überprüfung des maximalen Bestellwerts sein. Die Kommunikation zwischen den beiden Unternehmen erfolgt transparent für den Benutzer über Federation-Standards. Eine solche Lösung lässt sich ohne Federation-Standards kaum realisieren.
Federation-Lösungen können aber noch deutlich komplexer werden und weitere Systeme einbeziehen, beispielsweise entlang eines Geschäftsprozesses über verschiedene bestehende Anwendungssysteme hinweg.


Die Funktionen der ADFS

Die Zielsetzung der ADFS ist, wie der Name schon sagt, die Authentifizierung gegen das Active Directory respektive gegen ADAM. Die ADFS unterstützen dabei mehrere Ansätze für die Federation, wobei der Fokus auf Anwendungen liegt, bei denen Benutzer über den Browser zugreifen. Diese werden auch als Browser-basierende Federation bezeichnet. Reine Web-Services-Lösungen, bei denen die Authentifizierungs- und Autorisierungsanforderungen von Anwendungen initiiert werden, werden dagegen im ersten Release noch nicht unterstützt.
Auf dieser Basis lassen sich viele Szenarien realisieren. Das beginnt bei Web-SSO-Lösungen, bei denen unterschiedliche Web-Server die Authentifizierung gegen zentrale Active-Directory-Implementierungen durchführen, und geht bis hin zu Szenarien wie im oben genannten Beispiel für die Federation.


3-Komponenten-Architektur

Die ADFS-Implementierung besteht aus drei Komponenten: Der Federation-Server leitet Authentifizierungsanforderungen an Active Directory- und ADAM-Server weiter und fordert bei Bedarf weitere Attribute an, die im Rahmen der Federation benötigt werden. Er übernimmt auch das Mapping von Benutzern zwischen verschiedenen Systemen. Diese werden bei ADFS als «claims» bezeichnet.
Die zweite wichtige Komponente ist der Federation Server Proxy. Dieser leitet Anforderungen an einen oder mehrere definierte Federation-Server weiter. Der Proxy ist vor allem in Umgebungen interessant, in denen die Active-Directory- oder ADAM-Server hinter einer Firewall stehen und Authentifizierungsanforderungen auch aus dem Internet erfolgen müssen.
Schliesslich, als dritte Komponente, gibt es noch den ADFS Web Agent als Erweiterung der IIS. Dieser kann Authentifizierungsanforderungen an Federation-Server weiterleiten. Damit kann der Windows Server 2003 R2 auch mit anderen Back-end-Systemen zusammenarbeiten.





Virtual Disk Service


PKI als Voraussetzung

Die ADFS setzen als Basis die IIS (Internet Information Services) voraus. Diese müssen vorab ebenso wie das Microsoft .NET Framework 2.0 installiert werden. Letzteres wird ebenfalls mit dem Windows Server 2003 R2 geliefert. Für einige Funktionen ist darüberhinaus ASP .NET erforderlich. Da die Kommunikation zwischen den verschiedenen Komponenten einer Federation-Infrastruktur über digitale Zertifikate gesichert wird, muss ausserdem eine funktionierende PKI (Public Key Infrastructure) vorhanden sein.
Die Einrichtung erfolgt über den Bereich Software der Systemsteuerung. Dort kann bei Windows-Komponenten hinzufügen/entfernen die Option Active Directory Services ausgewählt werden. Nach Auswahl der Schaltfläche Details finden sich die verschiedenen Komponenten, zu denen auch die ADFS gehören. Bei diesen können wiederum die drei oben genannten Module gewählt werden. Im weiteren Verlauf müssen Zertifikate konfiguriert werden, die für die Sicherung des Datenverkehrs mit Federation-Partnern verwendet werden. Ausserdem ist gegebenenfalls die Konfiguration von Richtlinien für die Federation
notwendig.
Die weitere Konfiguration erfolgt schliesslich über eine eigene Verwaltungsanwendung, in der die meisten Einstellungen gesetzt werden können. Dort lassen sich beispielsweise die Federation-Partner und
die Detailinformationen für die Kommunikation mit diesen Systemen definieren.


Federation – der erste Schritt

Mit den ADFS des Windows Server 2003 R2 macht Microsoft den ersten grossen Schritt hin zur Unterstützung der Identity Federation und damit einer gemeinsamen Nutzung von Identitätsinformationen durch lose gekoppelte Systeme. Für sichere verteilte Anwendungen auf Basis von Web Services und generell Anwendungen, die dem SOA-Paradigma (Service Oriented Architecture) folgen und die damit lose gekoppelt sind, sind diese Mechanismen unverzichtbar, um dennoch eine Single Sign-on und eine Nutzung von Ressourcen jeweils im Kontext individueller Benutzer oder
definierter Rollen realisieren zu können.
Allerdings ist die aktuelle Implementierung nur ein erster Schritt. Die Unterstützung von Web-Services-basierenden Anwendungen fehlt beispielsweise noch. Zudem ist die Identity Federation derzeit ein Thema, das auch in der praktischen Umsetzung noch in den Kinderschuhen steckt. Mit den ADFS ist aber der Schritt zur Federation als «Mainstream»-Thema gemacht, so dass sich sowohl Anwendungsarchitekten als auch Sicherheits- und E-Business-Verantwortliche in den Unternehmen nun intensiv damit auseinandersetzen sollten, um die Potentiale, die die Identity Federation für sichere, verteilte und auch unternehmensübergreifende Anwendungen bietet, nutzen zu können.




Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wie hiess im Märchen die Schwester von Hänsel?
GOLD SPONSOREN
SPONSOREN & PARTNER