微软周三发布了迄今为止最重要的工具测试版,以帮助开发人员构建应用程序可以插入公司的身份Metasystem并提供相当于可重用的身份服务以保护网络资源。
这些工具代号为Zermatt,是。net Framework 3.5的一个新扩展,可以帮助开发人员更轻松地构建应用程序,其中包含基于声明的身份验证/授权模型。索赔是一组语句,用于标识用户并提供诸如头衔或购买权限等特定信息。
该模型由微软开发,但得到了业界的支持,它使用标准协议,如WS-Federation、WS-Trust和安全断言标记语言(SAML)。
泽马特的最终版本预计将在年底发布。
微软表示,这项技术不仅简化了可识别索赔的应用程序的开发,还将使IT部门更容易部署、管理和保护应用程序。
这是微软第一次如此直接地将其庞大的开发团队写进身份Metasystem,计划,它在2005年首次概述,并为多供应商平台定义了分布式身份体系结构。
索赔是体系结构的一部分,系统使用索赔来做出诸如谁可以访问、谁可以检索内容或谁可以完成事务等决定。
声明中包含的数据可以来自Active Directory、基于ldapv3的目录、特定于应用程序的数据库和新的以用户为中心的身份模型,如LiveID、OpenID和InfoCard系统(包括微软的CardSpace和Novell的Digital Me)。
Zermatt专门用于开发基于windows的应用程序,但微软官员表示,可以开发这种技术的克隆应用程序,在任何平台上运行。
考虑到身份元系统的标准性质,这些应用程序可以插入与zermat开发的应用程序相同的身份服务。
基于声明模型的关键是所谓的安全令牌服务(Security Token Service, STS),这是服务器和客户机的轻量级网关,用于协商安全令牌(如Kerberos或SAML)的交换,并可以根据应用程序的需要将令牌转换为不同的格式。
微软负责身份和访问的程序管理主管Stuart Kwan说:“这种模式是,当用户到达应用程序时,他们会带来他们提前从STS获取的声明。”泽马特是构建更容易接入你的环境的应用程序的一部分。你使用泽马特,这样[应用程序]就可以在你的环境中使用STS。”
事实上,一个网络将有多个STS节点。这些节点最终将包括Active Directory,它将在预定于2008年后发布的下一个版本的联邦服务中内置一个STS。
微软将使用新的联邦服务功能,Zermatt和STS技术来实现其最终目标“身份公共汽车。”这种想法的妙处在于,现成的应用程序可以插入总线,以便对用户进行身份验证并提供访问控制。
关说,泽马特还可以用来构建一个STS,该STS将运行在定制的用户数据存储之上。
他说,泽马特可以用来构建接受来自CardSpace信息的应用程序,CardSpace是Vista和XP中以用户为中心的身份识别系统。
他说:“如果你想在。net中做到这一点,你必须自己编写大量的协议代码。”Kwan表示,基于声明的模式的第一个应用领域将是云服务。
微软宣布价格但关颖珊并没有就这些云服务的索赔支持提供任何具体细节。他还表示,虽然去年还没有关于微软应用程序将采用基于索赔的模式的细节
Venkey Veeraraghavan, Office高级项目经理SharePoint他说,微软将采用基于声明的模型来取代协作服务器当前的认证系统,因为声明更灵活,而且是为异构身份环境设计的。
“另一个利益最直接的领域是客户的[面向服务的]体系结构,他们正在制定他们应该使用的安全模型,”Kwan说。