cdaefa:EFA Verwendete Standards
Inhaltsverzeichnis
Security Assertion Markup Language (SAML)
Die Security Assertion Markup Language (SAML) spezifiziert einen Rahmen, in dem vertrauenswürdige Aussagen zu Identitäten dargestellt und ausgetauscht werden können. Die primären Anwendungsszenarien, in denen SAML eingesetzt wird, sind Single Sign-On sowie Identity Federation (Verknüpfung und Austausch von Identitätsinformationen über Organisationsgrenzen hinweg).
Den zentralen Bestandteil des Standards bilden die abstrakten Nachweise (Assertions) und Protokolle.[1] Während die Assertions vertrauenswürdige Aussagen zur Authentifizierung und Autorisierung einer Identität sowie einer Identität zugeordnete Attribute kapseln, erlauben es die Protokolle, solche Assertions anzufragen und zu transportieren.
| SAML Core | |
|---|---|
| Organisation | OASIS |
| Version | 2.0 (März 2005) |
| Zweck | Abstrakte, XML-basierte Darstellung von vertrauenswürdigen Aussagen in Form von SAML Assertions |
| Abstrakte Protokolle für den Transport der SAML Assertions | |
Die SAML-Protokolle und deren Nachrichten werden in [1] zunächst abstrakt spezifiziert. Wie die Protokolle an ein konkretes Nachrichten- oder Transportprotokoll, beispielsweise SOAP oder HTTP, gebunden werden, wird in [2] spezifiziert. Abhängig vom mit SAML umzusetzenden Anwendungsszenario können Assertions und Protokolle zusätzlich in Form einer Profilierung konkretisiert werden. Für typische Anwendungsszenarien gibt der SAML-Standard bereits Profilierungen in [3] vor. Diese umfassen u.a. Single Sign-On-Szenarien für Web Browser und für erweiterte Clients sowie Identity-Federation-Szenarien in verschiedenen Varianten.
Die EFA 2.0 Spezifikation verwendet SAML Assertions als Sicherheitstoken, welche von speziellen Sicherheitstokendiensten ausgestellt werden. Die Assertions erlauben die Kodierung von Identitäts- und Authentifizierungsnachweisen.
Weitere Informationen zu diesem Standard sind im IHE Cookbook zu finden.
eXtensible Access Control Markup Language (XACML)
XACML[4] erlaubt die XML-basierte Beschreibung von Regeln für den Zugriff auf Ressourcen und spezifiziert Protokolle, mit denen Autorisierungsentscheidungen angefordert und ausgegeben werden können. Der Standard verfolgt einen generischen Ansatz, sodass mit XACML verschiedenartige Ansätze für Berechtigungssysteme (z.B. rollenbasierte Berechtigungen) realisiert werden können.
| XACML | |
|---|---|
| Organisation | OASIS |
| Version | 2.0 (Februar 2005) |
| Zweck | Autorisierung |
| Beschreibung von Zugriffsregeln | |
| Protokoll zur Anforderung und Herausgabe von Autorisierungsentscheidungen | |
Der Standard besteht in seinem Kern aus den Systembausteinen Policy Enforcement Point (PEP), Policy Decision Point (PDP), Policy Information Point (PIP) sowie Policy Administration Point (PAP). Diese Systembausteine werden durch weitere periphere Informationssysteme (z.B. Verzeichnisdienste) unterstützt. Weitere von OASIS herausgegebene Profile adressieren das Zusammenspiel mit anderen Standards (z.B. SAML) oder die Implementierung spezifischer Berechtigungsmodelle über die Konstrukte von XACML.
XACML spezifiziert – wie SAML auch – zunächst lediglich die Schemata für Protokollnachrichten. Der Transport dieser Nachrichten wird vom Standard nicht adressiert und ist Gegenstand einer Profilierung. In der EFA 2.0 Spezifikation wird XACML für die Kodierung von Autorisierungsnachweisen verwendet.
Weitere Informationen zu diesem Standard sind im IHE Cookbook zu finden.
Web Service Security (WS-Security)
Web Services Trust Language (WS-Trust)
Web Services Security Policy Language (WS-SecurityPolicy)
Referenzen
- ↑ 1,0 1,1 S. Cantor et al. (2005), Assertions and Protocols for the OASIS Security Assertion Markup Language (SAML) V2.0.
- ↑ S. Cantor et al. (2005), Bindings for the OASIS Security Assertion Markup Language (SAML) V2.0.
- ↑ J. Hughes et al. (2005), Profiles for the OASIS Security Assertion Markup Language (SAML) V2.0.
- ↑ T. Moses (2005), eXtensible Access Control Markup Language (XACML) Version 2.0. OASIS.
- zurück zur EFA-2.0-Spezifikation
