Identitetsfederering har nog aldrig varit så omtalat som nu. Konferenserna, föredragen och aktiviteterna avlöser varandra. Gemensamt är att de flesta talar om SAML som om SAML vore det allra mest självklara. Tyvärr är det kanske inte så självklart som det kanske först låter.
Vi var inblandade i en större interop hösten 2010 som gav en del eftertanke. Visst kunde vi, efter lite om och men, utbyta intyg (biljetter/assertion) mellan olika identitetsintygsleverantörer (IdP) och olika E-tjänsteleverantör (SP). Dock fick inte intygen vara för komplicerade. Exempelvis var det inte självklart att signerade intyg accepterades. Ooops kanske någon tänker, hur ska man då kunna verifiera äktheten i intyget? Bra reflektion!
Aktörer så som identitetsintygsleverantör och E-tjänsteleverantör använder asymmetriska nyckelpar där de publika nyklarna utbyts för att ge möjlighet till signaturverifiering och i förekommande fall även kryptering av intyg. Just nyckelutbytet är en utmaning som kräver lite uppmärksamhet. I de flesta exempel som återfinns idag så utbyts nycklarna på manuell väg och på tu man hand. Var och en kan förstå att detta inte är hållbart i längden och att det inte blir mycket till en identitetsfederation. En identitetsfederation som i sin enklaste form består av ett regelverk och en samlad bild av aktörernas publika nycklar (SAML-metadata).
En reflektion från interop aktiviteten hösten 2010 var just avsaknaden av förmåga till utbyte av SAML-metadata hos flera tillverkare och utvecklare av SAML-relaterade produkter. Fokus hos dessa har sannolikt varit just förmågan att kunna utbyta intyg inom ramen för web single-sign-on (WEB SSO) vilket har inneburit att kanske den viktigaste grundförmågan för att ingå i en federation har hamnat i skymundan.
I kravställningen räcker det alltså inte bara att säga att den aktuella produkten skall stödja SAML utan kravställningen måste vara tydligare än så. Helst bör kravställningen ske mot bakgrund av identitetsfederationens profil vilken just beskriver vilka SAML-förmågor som en identitetsfederation väntas använda. Hur skall man dock veta vilken profil som är aktuell i de olika nationella federationsinitiativ som nu är i görningen?
I ärlighetens namn har flera av initiativen varit lite väl tystlåtna i just det avseendet. Strömningarna pekar dock mot profiler såsom saml2int (deployment profil som beskriver hur SAML-förmågorna skall användas) och eGov2 (implementations profil som beskriver vilka SAML-förmågor som erfordras). Oavsett vilken profil ni använder för kravställning så kommer ni att träffa betydligt mer rätt än att bara kräva SAML stöd. Till dess den svenska arenan för nationell identitetsfederering tagit form är den enkla lösningen att omnämna flera profiler i er kravställning.
Vi kommer att verka för en ny nationell interop under våren 2012 med hopp om att stressa på marknadsaktörerna till en mer komplett SAML implementation än bara WEB SSOså att dessa inte blir ett hinder för de nationella federationsinitiativ som nu är på väg att blomma ut.
Thomas Nilsson
