以用户为中心的身份识别可能关注的是消费者,但企业用户发现,CardSpace、OpenID和其他技术可以解决联邦问题,并攻击隐私、访问、管理和其他问题。
旧金山——一个独特的演示展示了以用户为中心的身份软件,这些软件来自主要供应商、初创企业、一个女人的项目和开源黑客在音乐会替换密码验证的身分证访问基于网络的资源。
这个两小时的互操作性演示在Burton Group Catalyst年度会议上举行,由The开源身份识别系统它是身份共享项目中的一个工作组,旨在团结围绕数字身份的开源工作的领导者。
OSIS指导委员会包括CA,辞退,IBM,微软,NetMesh,Novell,Nulli公,甲骨文,奇偶校验通信,萍的身份,Sxip身份和VeriSign.
这个演示的目的是展示新兴的以用户为中心标识系统让用户能够控制自己的身份信息联邦并作为访问基于web的资源的通用标识机制。
这个标识层通常被称为“标识元系统”微软身份设计师金·卡梅伦。
但是,虽然以用户为中心的身份的崇高目标仍然遥远,周三的演示表明,这是可以实现的。
演示重点介绍了使用身份协议OpenID、WS-*和安全断言标记语言(SAML)的技术。虽然目前以用户为中心的身份模型更接近于消费者的需求,但企业用户将该技术视为处理他们自己的一些联邦身份问题的潜在手段。
“这似乎解决了我们的许多企业需求,”一位不愿透露姓名的《财富》50强公司IT架构师说。“它可以为我们的公司退休人员社区提供比用户名和密码更好的凭证,管理起来更划算,用户也更友好。这看起来是一个完美的模型,所以我很兴奋。”
但他说,关键是所有不同的协议都能互操作——或者更好的是,可以归结为一个协议——因为如果它们不能互操作,就需要集成中间件,他说,集成中间件会降低技术的吸引力,因为这会增加成本和管理上的麻烦。
联盟的示威活动开始冲淡这些担忧。
参与者包括Bandit项目、Eclipse基金会等团体希金斯项目,Internet2口令项目,帕梅拉项目,XMLDAP和SocialPhysics;和供应商BMC软件、钙、FuGen解决方案, IBM, Microsoft, NetMesh, Novell, Nulli Secundus, Oracle, Ping Identity, Sxip, VeriSign,以及WSO2.
这个房间包括42个独立的以用户为中心的身份应用程序或项目,它们共享凭证和身份基础设施,让用户登录到照片共享网站。
独立开发者Chuck Mortimore和Ian Brown分别在房间的后面展示他们的openinfcard和Safari infcard浏览器插件,他们戏称这是“嬉皮士区”。
“很难说这一切是否成功,我们现在需要的是真正的用户参与,”Mortimore说,他的开源项目是微软的逆向工程实现CardSpace技术.
CardSpace是Windows Vista中包含的一项身份证技术。
“我坚信,所有这些平台都必须有一个共同的体验,这样像我妈妈这样的人就可以走进来,开始使用它,”布朗说。
这两名开发人员利用业余时间从事自己的项目,他们的办公地点离IBM、Novell、Oracle和微软仅咫尺之遥。当时,微软正在使用Windows发送一个基于Mortimore技术的InfoCard,以便使用开放源代码技术访问一个网站,请求获得证书。
微软还演示了将于今年年底随Windows Vista SP1发布的新版本CardSpace。
“这个里程碑(互操作性演示)表明,让互联网上的身份层成为现实符合我们所有人的最大利益,”微软身份伙伴关系主管Mike Jones说。他说,以用户为中心的身份可以提供更能抵抗网络钓鱼的登录,还可以包括用户的数据,如年龄,这些数据可以用来个性化和控制对服务的访问。
琼斯说:“以前所有关于构建与CardSpace交互的软件是否安全的恐惧和怀疑,现在我都没有听到。”
2006年9月,微软引入了开放规范承诺(OSP),并将知识产权和专利要求减少到35个网络服务协议,其中许多协议构成了其CardSpace技术的基础。这一举措为开源开发人员和其他公司(如Novell和IBM)打开了闸门,开发和集成身份卡接口和基础设施技术,用于签发和请求凭证。
现在企业用户开始注意到这个结果。
Burton Group分析师Gerry Gabel表示:“此次演示表明,我们已经完成了大量工作,这有力地说明了这个概念正在以多快的速度成熟。”“企业必须开始考虑如何应用这项技术。根据我们在这个房间里看到的,他们必须问他们是否会使用它,在哪里使用。这里有很多机会。”
本周早些时候,在催化剂大会上康科迪亚集团,专注于推动跨身份协议的互操作性,与主要用户探讨了这些机会,包括美国在线波音、通用汽车、不列颠哥伦比亚政府和美国总务管理局(GSA),
与会者讨论了身份验证、个性化、隐私、访问控制、安全外包、实施成本和监管影响等问题。
“通用汽车和波音正在考虑这一问题,这是好事,因为这些公司都是严肃的企业,”Burton的Gabel说。
但他和其他人警告说,这项技术仍然存在许多问题,包括基于美元价值或隐私考虑的高价值和低价值交易的适当使用,身份选择器在用户界面中的通用性,以及身份数据的格式。
IBM首席安全架构师托尼•纳达林(Tony Nadalin)表示:“身份选择器可能是最脆弱的部分,但它的工作最多。”“我们如何在所有用户界面中获得相同的外观和感觉?”Nadalin说类似的互操作性事件需要一遍又一遍地重复,直到一切都是正确的。“我们还没有做完。”
此外,Mark Wahl,首席执行官信息控制,表示,目前使用的标识模式或数据格式是硬编码的,但需要整合到元数据模型中,以提供灵活性和易于添加新数据类型。他正在与希金斯项目(Higgins Project)合作开发一个名为Schemat的模型,该项目包括IBM、Novell和身份标识供应商Sxip。
Wahl说:“我们在开发(轻量级目录访问协议)LDAP时遇到的一个问题是,当你用一个新属性扩展模式时,你必须找到每个供应商,让他们把它们放到新的模式中。”他说,这种模式没有规模化。“我们希望更容易扩展[身份]模式,更容易进行更改和添加属性,这将采用通用的元数据模型。”
其目标是增加以用户为中心的身份系统的承诺,增强身份的联合,并改善从访问控制到隐私的一切。
“我还不确定我在看什么,”一位不愿透露姓名的大银行IT架构师表示。“但这里正在发生的有趣事情已经足够多了,是时候来看看了。”