Новая технология — важный шаг в реализации большой линейки продуктов, предназначенных для обеспечения безопасности и единой идентификации и основанных на стандартах веб-сервисов XML
В начале июня 2002 г. корпорация Microsoft анонсировала новую компоненту Windows под кодовым названием “TrustBridge”, благодаря которой приложения и организации смогут обмениваться учетными данными пользователей. Технология TrustBridge — это еще один шаг на пути реализации среды защищенных и взаимосвязанных веб-сервисов. Она позволит различным организациям, работающим с операционной системой Windows, обмениваться идентификаторами пользователей и взаимодействовать друг с другом в гетерогенных средах по стандартным протоколам веб-сервисов XML, включая Kerberos, WS-Security и новые протоколы из семейства WS-Security, которые появятся в ближайшее время. Федеративное управление идентификацией (federated identity management) упростит предприятиям выстраивание более тесных и более динамичных взаимоотношений с заказчиками, партнерами и поставщиками, а также повысит продуктивность труда мобильных сотрудников.
Microsoft представила путь развития своей линейки разработок в области федеративного управления безопасностью и идентификации пользователей. TrustBridge, равно как и приложения, инструментальные средства и сервисы Microsoft, реализуют федеративную модель обмена идентификациями пользователей (user identity exchange) на основе спецификации WS-Security. Спецификация защиты WS-Security, введенная компаниями Microsoft, IBM и VeriSign Inc. в апреле этого года, определяет стандартный набор расширений Simple Object Access Protocol (SOAP), или заголовков сообщений (message headers), предназначенных для обмена защищенными и подписанными сообщениями в среде веб-сервисов, и создает фундамент, на который будут опираться федеративные и открытые к взаимодействию веб-сервисы. В дополнение к спецификации WS-Security компания Microsoft совместно с IBM определила направление развития своих технологий в области технологий обеспечения безопасности веб-сервисов, в которой запланированы будущие спецификации из этого семейства и определен подход к архитектуре федеративной доверительной модели (federated trust model), необходимой для идентификации пользователей.
“Microsoft своевременно осознала, что новый уровень успеха веб-сервисов XML зависит главным образом от способности индустрии к установлению 'федеративных' доверительных отношений (между компаниями), — сказал Санджив Партасарати (Sanjay Parthasarathy), вице-президент группы Platform Strategy в Microsoft. — Ввод поддержки стандартных протоколов федеративного объединения (federating) веб-сервисов XML в линейку продуктов Microsoft является насущной необходимостью для заказчиков и всей промышленности”.
TrustBridge: доверие между компаниями
Предоставляя возможность устанавливать и поддерживать доверительные отношения, Windows TrustBridge снимает многие барьеры, с которыми сталкиваются ИТ-организации, и позволяет им реализовать безопасную аутентификацию и обмен учетными данными пользователей между предприятиями и через границы разных систем защиты.
Предприятия, управляющие учетными данными пользователей с помощью службы Active Directory в Windows, смогут внедрить TrustBridge для распознавания и обмена учетными данными с другими организациями, использующими Windows или какую-то иную инфраструктуру идентификации в любой другой операционной системе, которая поддерживает Kerberos v5.0. Kerberos, поддерживаемый на платформах Windows и во многих UNIX-средах, является общепризнанным открытым стандартом аутентификации (проверки подлинности). Сопровождение этого стандарта осуществляется комитетом IETF (Internet Engineering Task Force). Чтобы одна организация могла образовать федерацию с другой, TrustBridge будет использовать семейство протоколов WS-Security. Благодаря WS-Security и SOAP поверх HTTP технология TrustBridge не потребует от компаний дополнительной настройки брандмауэров (сетевых экранов).
Первый выпуск технологии TrustBridge запланирован на 2003 год.
Введение поддержки федеративной защиты в продукты Microsoft
Microsoft будет использовать WS-Security, чтобы ввести поддержку модели федеративной защиты в текущие и будущие продукты, инструментальные средства и сервисы, включая следующие:
- .NET Passport. Интернет-cлужба аутентификации для взаимодействия между предприятиями и потребителями будет поддерживать сообщения SOAP поверх HTTP, протокол Kerberos и спецификацию WS-Security в 2003 году. Эти усовершенствования позволят объединить .NET Passport с TrustBridge и другими системами аутентификации на основе WS-Security.
- Visual Studio .NET. Ближе к концу года Microsoft включит поддержку WS-Security и федеративной защиты в Visual Studio.NET. Это позволит разработчикам веб-сервисов легко вводить поддержку цифровых подписей и шифрования SOAP-сообщений в соответствии со спецификацией WS-Security.
- Продукты корпоративной инфраструктуры. Существующие и будущие продукты семейства Windows Server, используя TrustBridge и WS-Security как фундамент поддержки обмена учетными данными, позволят организациям приблизиться к реализации модели федеративной защиты. Это:
- – Операционная система Windows .NET Server, поставки которой планируются начать в этом году, помимо поддержки федеративного объединения гетерогенных систем через TrustBridge обеспечит доверительные отношения (cross-forest trust) для Active Directory, интеграцию аутентификации Passport со службами Active Directory и Internet Information Service, трансляцию между разными протоколами безопасности и принудительное делегирование для поддержки федерирования (constrained delegation to support federation).
- – Microsoft Metadirectory Service 2.2 — централизованная служба хранения и интеграции учетных данных из множества каталогов — позволит организациям в реальном времени синхронизировать информацию каталогов в Active Directory.
- – В феврале Microsoft представила новый XML-фильтр для Microsoft Internet Security and Acceleration Server, обеспечивающий фильтрацию прикладного уровня на границе сети для контроля входящих SOAP- и XML-данных. Этот фильтр помогает компаниям подготовиться к защите своих сетей в условиях перехода на использование веб-сервисов.
По материалам пресс-релиза Microsoft