Службы федерации Microsoft Active Directory (AD FS) 2.0 упрощают безопасную проверку подлинности для нескольких систем. Они также обеспечивают то же самое для семейства продуктов Microsoft на основе облачных вычислений. Кроме того, расширенное взаимодействие AD FS 2.0 обеспечит ту же безопасную проверку подлинности другим поставщикам услуг облачных вычислений, уже поддерживающим стандартные протоколы, такими как Amazon.com Inc., Google Inc. и Salesforce.com Inc.
Службы AD FS 2.0, ранее называвшиеся «Geneva Server», были выпущены в мае. Это долгожданное расширение Microsoft Active Directory, обеспечивающее совместимое управление федеративными удостоверениями на основе заявок. Благодаря добавлению служб AD FS 2.0 к существующему развертыванию AD пользователи могут войти в систему Active Directory один раз, а затем использовать существующие учетные данные для входа в другие приложения и системы, работающие с заявками.
«В итоге мы работаем над оптимизацией работы доступа, а также работы таких функций, как единый вход, между ресурсами и облаком», — сказал Джон Чирапуратх (John «J.G.» Chirapurath), старший директор бизнес-группы идентификации и безопасности Майкрософт.
В отличие от первого выпуска, AD FS 2.0 поддерживают широко используемый стандарт Security Assertion Markup Language (SAML) 2.0. Многие сторонние облачные службы используют проверку подлинности на основе SAML 2.0; это ключевой компонент обеспечения взаимодействия с другими приложениями и облачными службами.
«Мы рассматриваем проверку подлинности и авторизацию на основе заявок и федераций как крайне важные компоненты для достижения успешных результатов и перехода на облачные службы», — заявил Кевин фон Кейзерлинг (Kevin von Keyserling), президент и генеральный директор расположенной в Огайо компании Independence, Ohio-based Certified Security Solutions Inc. (CSS), системного интегратора, имеющей статус Microsoft Gold Certified Partner.
Хотя службы AD FS 2.0 не обязательно решают все проблемы безопасности, относящиеся к переносу традиционных систем и данных в облако, по общим отзывам службы устраняют ключевое препятствие, особенно для таких приложений, как SharePoint, и определенно для широкого ряда приложений. Множество предприятий выразили свои сомнения в использовании облачных служб, таких как Windows Azure, по причинам соображений безопасности и отсутствии контроля над проверкой подлинности.
«Проблемы безопасности, в частности удостоверения и управление этими удостоверениями, возможно, являются единственным препятствием достижения «нирваны» облачных вычислений», — считает Чирапуратх. «Подобно тому, как электронная почта обуславливает широкое использование Active Directory, службы федерации Active Directory обеспечивают тоже самое для облака.»
Поскольку AD FS 2.0 можно без проблем интегрировать в приложения, запущенные в Windows Azure, организации могут использовать цифровые маркеры на основе заявок, которые будут работать как с Windows Server 2008, так и со службами Microsoft на основе облаков, обеспечивая работу гибридных сетей облаков. Цель заключается в возможности пользователей выполнять эффективную проверку подлинности в Windows Server или Windows Azure и использовать эти учетные данные с приложениями, которые могут принимать маркеры на основе SAML 2.0.
Разработчики также могут добавлять к своим приложениям .NET поддержку идентификации с помощью Microsoft Windows Identity Foundation (WIF).
WIF предоставляет базовую платформу модели идентификации на основе заявок Майкрософт. Реализованные в Microsoft .NET Framework, приложения, разработанные с использованием WIF, представляют схему проверки подлинности, такую как атрибуты идентификации, роли, группы и политики, вместе со средствами управления этими заявками. Приложения, созданные корпоративными разработчиками и независимыми производителями программного обеспечения на основе WIF, также смогут принимать эти заявки.
Сквозная интегрированная проверка подлинности в AD FS 2.0 обеспечивается путем приема маркеров на основе стандартов Web Services Federation (WSFED), WS-Trust и SAML. Хотя корпорация Майкрософт длительное время применяла WSFED, она согласилась поддерживать более распространенные спецификации SAML всего 18 месяцев назад.
Возьмите в банк
Дэнни Ким (Danny Kim), руководитель технологического отдела компании FullArmor Corp. (Бостон, США), партнера Майкрософт со статусом Microsoft Gold Certified Partner, осуществлявшей стрессовое тестирование AD FS 2.0, говорит, что основные клиенты уже хотят использовать службы для развертывания систем в облаке.
«Службы AD FS 2.0 выполняют обратную привязку удостоверений к пространству сервера и нашим облачных службам, и имеется одна версия, работающая во всех этих средах», — сообщает Ким.
Как указывает Ким, в число клиентов, которые хотят развернуть службы, входит крупный инвестиционный банк Нью-Йорка, которому требуется, чтобы пользователи выполняли проверку подлинности в приложениях, размещенных в системах на основе Windows Azure FullArmor.
«Эта компания, заботящиеся о сохранении безопасности, заявила, что «Мы развернем эти службы в облаке, только если будет гарантирована безопасность», — заявил Ким. В то же время Ким добавляет, что после обеспечения безопасности перехода в облако банк собирается отказаться от приобретения и использования серверов. По его словам, службы AD FS 2.0 сопоставляют маркеры пользователей AD, которые передаются в другие системы с поддержкой AD FS 2.0.
Что не менее важно, корпорация Майкрософт официально заявила, что теперь Майкрософт также может передавать эти заявки в любые системы на основе SAM. Корпорация Майкрософт провела тестирование взаимодействия вместе с другими поставщиками через Liberty Alliance, организацию по стандартизации, курирующую спецификации управления удостоверениями.
«Совместно с множеством поставщиков … было выполнено тестирование реализации протокола SAML и подтверждено его соответствие множеству тестов», — заявил Мэтт Стил (Matt Steele), главный руководитель программы в группе AD FS корпорации Майкрософт в видео Channel 9 после выпуска версии-кандидата служб AD FS. «Это означает, мы можем объявить, что нам всегда хотелось, что службы AD FS 2.0 реализуют протокол SAML и мы можем взаимодействовать со всеми этими поставщиками во всех тестах.»
Будут ли реализации соответствовать тестам?
Однако у некоторых есть возражения против больших обещаний Майкрософт. Например, еще не продемонстрирована совместимость маркеров SAML с маркерами, предоставляемыми платформами других поставщиков, как утверждает Патрик Хардинг (Patrick Harding), руководитель технологического отдела компании Ping Identity Corp., которая выпускает собственный сервер единого входа, работающий на нескольких платформах.
«Мы работаем с SAML около четырех лет», — сказал Хардинг, компания которого одновременно является конкурентом и партнером Майкрософт. «Нам хорошо известно, что SAML в лабораторных условиях и SAML в действительности могут сильно различаться, особенно при наличии множества поставщиков SaaS [Программное обеспечение как услуга] с собственными реализациями SAML, которые всегда имеют свои особенности.»
Хардинг также хотел бы знать, как быстро сообщества разработчиков .NET приступит к работе с WIF. «Хотя это хорошая идея, WIF требует от разработчиков изучения совершенно нового парадигма и новой среды разработки с самых азов, чтобы интегрировать приложения в AD FS», — заявил Хардинг.
Однако Ким не согласен с ним. «Я не думаю, что разработчикам, знакомым со средой .NET, придется много чего осваивать», — возразил он.
Задача в разработке знакомых средств, а также в том, чтобы решить проблему недостатка обучения. «Кроме того, — заявил Сотников, — некоторые средства и платформы облаков не позволяют нам повторно использовать существующий код на C++ и C#, а это решение позволило — до 50% существующего кода.
Оставив в стороне эти проблемы, Хардинг признает, что выпуск AD FS 2.0 вероятно, приведет к появлению новых инициатив облачных вычислений. «Службы AD FS 2.0 имеют большое значение, поскольку подтверждают важность интегрированного управления удостоверениями; они станут обязательным компонентов облачных вычислений и вычислений SaaS», —заявил он. «Все участники развиваются вместе с Майкрософт, и это приведет к пониманию пользователями того факта, что федерация реальна.»
Не в Card
За несколько дней до выпуска AD FS 2.0 корпорация Майкрософт отложила выпуск следующей версии средства выбора удостоверения для информационных карт CardSpace под названием CardSpace 2.0, в которых должен был быть представлен общий пользовательский интерфейс для управления несколькими входами. Карты CardSpace 2.0, с прошлого года являющиеся бета-версией, работают с ADFS 2.0 и WIF. Для того чтобы облегчить работу бета-оценщиков CardSpace 2.0, корпорация Майкрософт недавно выпустила средство предварительного просмотра для сообществ (CTP) для пакета добавления к AD FS 2.0, благодаря которому Windows Server сможет создавать информационные карты.
«В пространстве информационной карты происходит множество процессов, особенно при использовании технологий шифрования, таких как U-Prove, о выпуске которой было объявлено на конференции RSA», — сказал Джоэль Сайдер (Joel Sider), старший менеджер по продуктам в группе Forefront security корпорации Майкрософт. «Существует также новые стандарты, такие как OpenID. Мы хотим обратиться к некоторым новым тенденциям.»
Возникает вопрос. Увидит ли свет CardSpace 2.0? «Информационные карты несомненно поддерживаются; наша работа над информационными картами продолжается», — говорит Сайдер. Корпорация Майкрософт не сообщает о том, когда будут обновлены планы CardSpace 2.0, но некоторые интересуются, есть ли у технологии будущее.
Неопределенная судьба CardSpace 2.0 «неудивительна, учитывая ее ограниченное применение», — указывает Хардинг. «К сожалению, технология также серьезно разочаровала пользователей и компании, увлекшихся моделью InfoCard из-за давления Майкрософт.»
Но изменения плана стали неизбежными в начале марта этого года, когда Скотт Чарни (Scott Charney), вице-президент корпорации Майкрософт по созданию защищенных информационных систем, объявил о выпуске CTP-версии технологии U-Prove Майкрософт на ежегодной конференции RSA в Сан-Франциско. Технология U-Prove основана на выпуске цифровых маркеров, позволяющих пользователям контролировать объем информации, предоставляемой получателям маркеров.
При использовании с AD FS 2.0 U-Prove позволяет создавать федерации удостоверений доверенных доменов. Корпорация Майкрософт выпустила U-Prove в соответствии с обещанием в отношении открытых спецификаций (OSP) и также предоставила два справочных набора средств для реализации алгоритмов по лицензии FreeBSD. Более того, Майкрософт выпустила вторую спецификацию в соответствие с OSP для интеграции U-Prove со средствами выбора удостоверений с открытым исходным кодом. Чем все это обернется, в плане использования технологии U-Prove сообществом .NET и сообществом открытого ПО, пока неизвестно.
Переход к облаку
Множество ИТ-специалистов по Windows экспертов в области безопасности с оптимизмом относятся к AD FS 2.0. Фон Кейзерлинг из компании CSS среди тех, кто полагает, что службы AD FS 2.0 будут играть ключевую роль в обеспечении улучшенной безопасности облака.
«Мы работаем с крупными международными компаниями и помогаем им в создании моделей федерации, упрощающих переход к средам облачных вычислений», — заявил фон Кейзерлинг. «Службы расширяют возможности управления удостоверениями в различных организациях.»
Например, по словам фон Кейзерлинга, если CSS и клиенту необходимо совместно работать в системе, которая размещена локально, через общий пул серверов или в облаке, две организации могут объединить службы в федерацию, упрощая управление удостоверениями сотрудников обеих организаций.
«Использование существующей инфраструктуры идентификации и ее применение в облаке, размещенном Майкрософт или через SharePoint; удостоверения с нашей точки зрения, несомненно находятся в центре безопасности, это важный момент всей безопасности облака», - добавил он.
Чирапуратх заявил, что это важная задача корпорации Майкрософт. «Если подумать об удостоверениях, они в действительности являются ключом к хранилищу, поскольку определяют пользователей и их возможности», - сказал он. «Часто проблемы облачных вычислений находятся в сфере удостоверений. Службы AD FS позволяют использовать эти локальные удостоверения совместно с облаком; это может быть Windows Azure, любое иное облако с поддержкой SAML или [стандарты WS], поэтому можно использовать существующие вложения в локальную службу Active Directory и обеспечить работу удостоверений для облачных вычислений.»
Реализация AD FS 2.0
Корпорация Майкрософт утверждает, что службы AD FS 2.0 могут быть реализованы в AD без каких-либо расширений схемы. Их необходимо устанавливать на Windows Server 2008 или 2008 R2.
Майкрософт также надеется, что продавцы Windows перейдут на новую платформу Forefront Identity Manager (FIM) 2010, выпущенную в марте. FIM — это репозиторий для управления удостоверениями, правами доступа и учетными данными, а также связанными с ними политиками. Он также позволяет ИТ-менеджерам осуществлять администрирование удостоверениями с помощью консоли администрирования на основе SharePoint.
С безопасностью облака связано множество проблем, которые могут стать непреодолимыми помехами для развертывания приложений в облаке. Соответствие, целостность данных и понимание последствий обслуживания одним экземпляром приложения нескольких развертываний – только некоторые из них.
Однако, что касается управления удостоверениями, Майкрософт и другие компании добились больших успехов в поддержке передачи инфраструктурой общих удостоверений — но на клиентской работы еще требуется работа. Тем не менее, службы AD FS 2.0 позволяют предприятиям, рассматривающим возможность использования облачных служб, пользоваться преимуществами установки бесплатных обновлений для Windows Server.
«Конечный пользователь может работать в облаке точно так же, как и в собственной сети; это одно из преимуществ крупных компаний, стремящихся к использованию и расширению служб федерации», — заявил фон Кейзерлинг. «Облачные службы предоставляются без необходимости прерывания работы, смены паролей и управления учетными данными; это позволяет [компаниям] сосредоточиться на реализации стратегии бизнеса вместо ежедневного разрешения проблем безопасности.