Identitetsfederering har nog aldrig varit så omtalat som nu.
Konferenserna, föredragen och aktiviteterna avlöser varandra.
Gemensamt är att de flesta talar om SAML som om SAML vore det allra
mest självklara. Tyvärr är det kanske inte så självklart som det
kanske först låter.
Vi var inblandade i en större interop hösten 2010 som gav en del
eftertanke. Visst kunde vi, efter lite om och men, utbyta intyg
(biljetter/assertion) mellan olika identitetsintygsleverantörer
(IdP) och olika E-tjänsteleverantör (SP). Dock fick inte intygen
vara för komplicerade. Exempelvis var det inte självklart att
signerade intyg accepterades. Ooops kanske någon tänker,
hur ska man då kunna verifiera äktheten i intyget? Bra
reflektion!
Aktörer så som identitetsintygsleverantör och
E-tjänsteleverantör använder asymmetriska nyckelpar där de publika
nyklarna utbyts för att ge möjlighet till signaturverifiering och i
förekommande fall även kryptering av intyg. Just nyckelutbytet är
en utmaning som kräver lite uppmärksamhet. I de flesta exempel som
återfinns idag så utbyts nycklarna på manuell väg och på tu man
hand. Var och en kan förstå att detta inte är hållbart i längden
och att det inte blir mycket till en identitetsfederation. En
identitetsfederation som i sin enklaste form består av ett
regelverk och en samlad bild av aktörernas publika nycklar
(SAML-metadata).
En reflektion från interop aktiviteten hösten 2010 var just
avsaknaden av förmåga till utbyte av SAML-metadata hos flera
tillverkare och utvecklare av SAML-relaterade produkter. Fokus hos
dessa har sannolikt varit just förmågan att kunna utbyta intyg inom
ramen för web single-sign-on (WEB SSO) vilket har inneburit att
kanske den viktigaste grundförmågan för att ingå i en federation
har hamnat i skymundan.
I kravställningen räcker det alltså inte bara att säga att den
aktuella produkten skall stödja SAML utan kravställningen måste
vara tydligare än så. Helst bör kravställningen ske mot bakgrund av
identitetsfederationens profil vilken just beskriver vilka
SAML-förmågor som en identitetsfederation väntas använda. Hur skall
man dock veta vilken profil som är aktuell i de olika nationella
federationsinitiativ som nu är i görningen?
I ärlighetens namn har flera av initiativen varit lite väl
tystlåtna i just det avseendet. Strömningarna pekar dock mot
profiler såsom saml2int (deployment profil som beskriver hur
SAML-förmågorna skall användas) och eGov2 (implementations profil
som beskriver vilka SAML-förmågor som erfordras). Oavsett vilken
profil ni använder för kravställning så kommer ni att träffa
betydligt mer rätt än att bara kräva SAML stöd. Till dess den
svenska arenan för nationell identitetsfederering tagit form är den
enkla lösningen att omnämna flera profiler i er kravställning.
Vi kommer att verka för en ny nationell interop under våren 2012
med hopp om att stressa på marknadsaktörerna till en mer komplett
SAML implementation än bara WEB SSOså att dessa inte blir ett
hinder för de nationella federationsinitiativ som nu är på väg att
blomma ut.
