Tuesday, December 29th, 2009...8:00 pm

2010 – federacja trafiła pod strzechy …

Jump to Comments

… tak może wyglądać przykładowa notka o roku 2010. Może … ale czy będzie?

O federacji mówi sie już długo … i to nie w kontekście kolejnych inicjatyw UE tylko w kontekście zarządzania dostępem do usług udostępnianych wewnątrz i pomiędzy organizacjami. Mówi się, mówi … i różnie z tym bywa. Z pewnych względów rok 2010 może być rokiem, w którym usługi federacji i podejście oparte na federacji i claims mogą zyskać masę krytyczną … a dlaczego .. i czy tak będzie?

(cc) *L

Krajobraz widziany optymistycznie …

Po pierwsze, świat się zmienia … usługi coraz częściej nie są zamknięte w jednym miejscu a rozproszone, świadczone są przez firmy trzecie, organizacje świadczą je sobie nawzajem, łączą się i dzielą. Użytkownicy są mobilni jak nigdy dotąd, i chociaż duża część organizacji przez tą mobilnością się broni lub nawet jej nie potrzebuje (w końcu po co w Banku mobilni kasjerzy) to jednak rzesza użytkowników, którzy potrzebują dostępu do usług zawsze i wszędzie, i jeszcze bez niepotrzebnych formalności (czytaj rejestrowanie się, logowanie się, profile, VPNy itp) rośnie.

Co prawda sceptyczny jestem jeżeli chodzi o akceptację chmury w kraju nad Wisłą, ale ale poza naszym PL światem to również jest czynnik, który na zmianę świata postrzeganego z punktu widzenia dostępu do usług będzie znaczący. W szczególności ze chmura będzie nie tylko jedna ale będzie ich wiele … i będą korpoaracyjne, i publiczne … i różne.

Po drugie, federacja dotąd kojarzyła się z czymś bardzo skomplikowanym.  Przynajmniej takie mam wrażenie po rozmowach z uczestnikami moich sesji chociażby. W A.D. 2010 jest szansa aby to zmienić, przynajmniej w świecie systemów opartych o Windows a to za sprawę dwóch elemetów: ADFS v2 i Sharepoint 2010.

ADFSv2 to w zasadzie nowy produkt, który z poprzednim wiąże nazwa i oczywiście wsteczna kompatybilność (co do protokołów). ADFS v2 tyle właśnie co osiągnął fazę Release Candidate i wszystkich zainsteresownych odsyłam do materiałów źródłowych udostępnionych przez grupę produktową, a tych jest naprawdę dużo (zarówno w formie maszyn jak i dokumentacji). Najbardziej istona zmiana to wsparcie ADFS dla protokołu SAML, którego kompatybilność z innymi implementacjami została potwierdzona w ramach testów prowadzonych przez Liberty Alliance. To otwiera drogę do współpracy z innymi środowiskami i rozwiązaniami w tym zakresie. Czy to Sibboleth czy Sun OpenSSO teraz ADFS może z nimi współpracować bezpośrednio.

Drugim ważnym (a nawet może ważniejszym) elementem układanki jest Windows Identity Foundation (WIF), wydane zresztą ostatnio również dla Windows 2003. Dzięki temu programiści aplikacji .NET uzyskali prosty sposób implementacji w swoich aplikacjach modelu uwierzytelnienia i autoryzacji w oparciu o usługi federacji i poświadczenia (claims) o użytkowniku. Tak … wiem, że .NET to nie cały świat ale jego jakiś spory kawałek … dla innych technologii wsparcie dla SAML również jest obecne.  Programistów zainteresowanych tematem odsyłam do Identity Developer Training Kit oraz połączonych z nim materiałów do samodzielnego szkolenia.

W ten sposób dochodzimy do drugiego punktu, który może mieć duży wpływ na adopcję federacji wśród użytkowników czyli Sharepoint 2010, w którym korzystając z WIF cały model bezpieczeństwa został oparty właśnie na claims. Zainteresowanych szczegółami odsyłam do video na ten temat opublikowane w ramach ID Element.  Jest to pierwszy (i mam nadzieję nie ostatni) produkt serwerowy Microsoft, który korzysta z tej technologii w takim zakresie i co tutaj ukrywać … również jeden z bardziej popularnych ostatnio produktów ze stajni MSFT. Wraz z jego wdrożeniem podejście oparte na federacji i claims wkłada przysłowiową nogę w drzwi. Teraz tylko kwestia zbudowania świadomości i wykorzystanie tego faktu w organizacjach.

 

Krajobraz mniej optymistyczny …

Z drugiej jednak strony większość organizacji nadal nie pozbyła się w swoim środowisku aplikacji korzystających z NTLM a najczęściej spotykana formą uwierzytelnienia i autoryzacji aplikacji z użyciem usługi katalogowej to LDAP simple bind i enumeracja grup jako obiektów lub atrybutu użytkownika.

Większość organizacji nie zajmuje się ustandaryzowaniem podejścia w tym zakresie a decyzje o tym,  w jaki sposób dana aplikacja będzie dokonywała uwierzytelnienia i autoryzacji użytkowników jest podejmowana ad-hoc i to niekoniecznie przez osoby za to odpowiedzialne – często przez tak zwany biznes lub po prostu arbitralnie przez programistę który tworzy daną aplikację. W tym procesie często zdarzają się kardynalne błedy, wynikające przeważnie z dostosowywania tych mechanizmów do świata obserwowanego, z założeniem że świat ten nigy nie ulegnie zmianie.

Organizacje nie podeszły jeszcze do tematu standaryzacji uprawnień, rozwiązania podstawowych problemów z obsługą zmiany hasła … gdzie tutaj myśleć o federacji i tych klejmach Panie

To wszystko powoduje, że myślenie o adpocji takich mechanizmów jak uwierzytelnienie z użyciem STS i autoryzacja oparta o claims, które przyznajmy to dla większości ludzi jest w tej chwili są dosyć abstrakcyjnymi pojęciami może nie być łatwa. Co nie oznacza że niemożliwa …

 

To jak to będzie …

W zasadzie mógłbym tutaj zacytować wykład pewnego analityka w tej dziedzinie, który stwierdził jak to analityk, że albo się to przyjmie … albo się nie przyjmie … zobaczymy. Szanse na to napewno są … zainteresowanie też sądząc po fakcie że w ciągu pierwszych dwóch tygodni stycznia w ramach obowiązków zawodowych będę rozmawiał z dwoma klientami w tym temacie.

Jak będzie zobaczymy. Ja staram się patrzeć na temat optymistycznie i zakładam że takie podejście, bardziej usystematyzowane i przemyślane w zakresie metod zarządzania dostępem do aplikacji będzie wygrywać. W końcu chaos w tym zakresie kosztuje niemałe pieniądze, zarówno w postaci opłat za aplikacje, w których koło jest wymyślane po raz kolejny, potem w jej utrzymaniu a w bardziej rozwiniętych organizacjach na końcu w tworzeniu systemów, które mają nad tym chaosem zapanować.

Jeżeli więc ktoś mnie na jakieś wystąpienia lub konferencje postanowi zaprosić to pewnie będzie to jeden z moich preferowanych tematów. Co prawda o wykładach i konferencjach narazie nic nie wiem, więc jest szansa też że Was tematem nie zanudzę :).

To tak jakoś na koniec roku trochę czasu na podsumowanie tematu i myślenie coby było gdyby mi zeszło.

Leave a Reply