Aftale mellem IT- og Telestyrelsen og Microsoft om delvis
understøttelse af SAML 2.0 standarder
IT- og Telestyrelsen rettede i 2006 en forespørgsel til Microsoft
med ønske om støtte for den åbne SAML 2.0 standard i Microsofts
produkter. Dette skete dels ud fra ønsket om at drive
integrationsudgifterne ned ved at anvende samme åbne standarder til
integration – dels fordi specifikationen WS-Federation, som
Microsoft anvender, ikke er interoperabel med den fællesoffentlige
anbefalede SAML 2.0 føderationstandard.
Den efterfølgende dialog mellem IT- og Telestyrelsen og Microsoft
har resulteret i en aftale om delvis understøttelse af SAML
2.0-standarden i Microsofts kommende udgave af deres
føderationsprodukt, benævnt ”Active Directory Federation Services 2”
Aftaleteksten er følgende:
"The Danish public sector has chosen SAML 2.0 as their
federation standard. Microsoft products use WS-Federation and
WS-Trust as the foundation of their federated identity architecture.
The Danish government has agreed that the SAML 2.0 token format is
sufficient to provide basic interoperability between WS-Federation
and SAML 2.0 environments as a common assertion format, without loss
of authentication integrity.
To support interoperability between WS-Federation and SAML 2.0
based products Microsoft has agreed to support the SAML 2.0 token
format in the future release of Active Directory Federation Services
code-named Active Directory Federation Services "2".
Microsoft will provide the Danish public sector Centre of Service
Oriented Infrastructure with pre-release code to help analysis and
planning of solutions for integrating WS-Federation-based clients in
the Danish federation, and to collect feedback on the feature implementation.
In addition, the co-authors of WS-Federation (including
Microsoft) have submitted the specification to OASIS for
standardization. This step further enables interoperability between
federated environments that deploy SAML 2.0-based products and those
that deploy WS-Federation-based products".
Med denne aftale er der åbnet mulighed for inkludering af
Microsoft-baserede klienter i en fællesoffentlig SAML 2.0-baseret
føderation.
Integrationen vil kræve udbygning af
standardbaserede login-løsninger med særlig integrationskode. Der er
således tale om en pragmatisk taktisk integrationsløsning, men med
den ovennævnte delvise SAML 2.0-støtte fra Microsofts side forventes
det at kunne gøres uden påvirkning ude hos de enkelte
brugerorganisationer, som anvender Microsoft’s Active Directory
Federation Service.
Til illustration af hvilke i elementer i den danske føderation, som
aftalen har betydning for, vises herunder dels en illustration af
elementerne i den initiale føderation, som går i drift i starten af
2008, dels den planlagte udvidelse, hvor målet er at login også skal
kunne ske via WS-Federation.
I den initiale føderation skal Serviceudbydere, Loginløsning og
tilknyttet attributservice overholde SAML 2.0 standarden.
Der er planlagt en række yderligere udviklingsfaser for
føderationen, hvor ét element er målet om at kunne tilbyde
”udlicitering” af login til brugerens lokale organisation via SAML
2.0 eller WS-Federation.
I den planlagte udvidelse kan information om login og fx roller
sendes fra brugerens lokale organisation til login-løsningen via
SAML 2.0 eller WS-Federation.
De eksisterende elementer i føderationen, der er Serviceudbydere,
Loginløsning og tilknyttet attributservice skal stadig overholde
SAML 2.0 standarden.
Flere oplysninger om de konkrete muligheder vil blive
offentliggjort i takt med at IT- og Telestyrelsens Center for
Serviceorienteret Infrastruktur modtager pre-release kode fra
Microsoft, som kan integrationstestes.
Det er stadig et ønske, at Microsoft vælger at understøtte hele
SAML 2.0 standarden i sine produkter, men ovennævnte aftale er et
godt første skridt mod mere konvergens mellem standarderne for
tværgående brugerstyring.
Ligeledes ser IT- og
Telestyrelsen indgivelsen af WS-Federation (WS-FED) specifikationen
til standardisering i OASIS som et skridt, der kan fremme
konvergensen blandt føderationstandarderne.
For god orden skyld skal det slås fast, at dette ikke er
ensbetydende med at WS-Federation specifikationen nu anbefales på
lige fod med SAML 2.0 til fællesoffentlige løsninger.
Når resultaterne af standardiseringsarbejdet med WS-Federation
foreligger (forventningsvis i slutningen af 2008), kan det blive
relevant at foretage en ny vurdering, men for nuværende er det
stadig alene SAML 2.0 standarden, der anbefales som
føderationstandard til danske fællesoffentlige løsninger.