طرح مدیریت ID جدید مایکروسافت

مایکروسافت مدلی را برای زیر یک ساخت هویت توزیعی که به منظور ساده نمودن دستیابی به منابع شرکتی و محافظت از حریم خصوصی کاربران در اینترنت طراحی شده, ارائه نمود این مدل با یک طرح نظری V قانونی از هویت دیجیتال که مایکروسافت به مدت یکماه در مورد آن با متخصصان صنعت, شامل جامعه Open Source مذاکره نموده آغاز می شود

مایکروسافت مدلی را برای زیر یک ساخت هویت توزیعی که به منظور ساده نمودن دستیابی به منابع شرکتی و محافظت از حریم خصوصی کاربران در اینترنت طراحی شده، ارائه نمود. این مدل با یک طرح نظری "V قانونی" از هویت دیجیتال که مایکروسافت به مدت یکماه در مورد آن با متخصصان صنعت، شامل جامعه Open Source مذاکره نموده آغاز می‌شود. مایکروسافت شرحی را درباره معماری Identity Metasystem خود که طبق این طرح نظری ارائه شده منتشر نمود. در ضمن اعلام کرد که در حال آماده نمودن کلاینت، سرور و ابزارهای توسعه‌ای برای کاربران می‌باشد تا بتوانند یک سیستم هویت باز و قابل گسترش بر پایه پروتکل‌های سرویس‌های وب ایجاد کند.

هدف تهیه کردن ابزارهایی برای کاربران است تا بتوانند سیستم‌های هویت خود را بدون توجه به پلاتفرم‌هایی که بر روی آن اجرا می‌شوند یا تکنولوژی که برای هویت مورد استفاده قرار می‌دهند، (تکنولوژی‌هایی مثل X.۵۰۹، Kerberos و SAML یا Security Assertion Markup Language) به صورت داخلی یا در اینترنت یکپارچه نمایند. John Shewchuck مدیر تکنولوژی ارشد سیستم‌های توزیعی مایکروسافت می‌گوید، روش مناسب ساختن چارچوبی است که تمامی سیستم‌های امنیتی بتوانند در آن کار کنند. این می‌تواند شامل mainframe جاوا و هر چیز‍ دیگری باشد. ناظران مایکروسافت به دلیل اینکه چنین بحث آزادی را با طرح V قانونی هویت خود به راه انداخته بسیار تحسین می‌کنند. Palm Dingle مشاوره Nulli Secundus می‌گوید، اگر ما بتوانیم این قوانین را مورد استفاده قرار دهیم مشاهده خواهیم کرد که صنعت جای بهتری خواهد شد. این شروع کار است. اما به عقیده عده‌ای درخواست جهانی برای پیاده‌سازی Identity MetaSystem مایکروسافت وجود ندارد. Metasystem اصولا یک لایه شبکه است که کل ترافیک هویت را بدون توجه به پروتکل یا فرمت انتقال می‌دهد. تقریبا مثل TCP/IP که ترافیک را بدون توجه به پروتکل‌های اساسی شبکه مانند اترنت، Frame relay یا X.۲۵ انتقال می‌دهد.

در MetaSystem هنگامی که دیتا به مقصد خود می‌رسد، یک مترجم مبتنی بر نرم‌افزار، دیتا را به فرمت مورد نیاز برای دستیابی یک منبع خاص تبدیل می‌کند. MetaSystem ملزومات خاص مثل روش‌های بیان هویت، اجرای تبادل دیتا، هویت، ایجاد اعتماد بین گره‌های شبکه و تلفیق فرمت‌های علامت هویت مجزا مثل ticket‌های Kerberos ، جوازهای X.۵۰g یا اعلامیه‌‌های SAML را تعریف می‌کند. مایکروسافت می‌گوید کاربران می‌توانند زیر ساخت‌های کنترل دستیابی و برنامه‌های کاربردی شرکتی خود را بدون بازنویسی هر گونه کد به این معماری هویت متصل نمایند. مشکل اینجاست که MetaSystem پیشنهاد شده به WS-Trust و دیگر پروتکل‌های سرویس‌های وب ایجاد شده توسط مایکروسافت و آی‌بی‌ام اتکا دارد. از نظر منتقدان این عامل تا زمان تحویل پروتکل‌ها به یک گروه استاندارد می‌تواند تاثیر گذار باشد. Dave Miller، مدیر ارشد امنیت Covisint که به دلیل ایجاد یک هاب مجتمع‌سازی برای صنایع خودرو مشهور شده می‌گوید، من واقعا علاقه دارم که ببینم آنها می‌توانند یکپارچگی را انجام دهند یا خیر. آی‌بی‌ام تمایل دارد از آنچه آنها (توسعه دهندگان شرکت) می‌نویسند پشتیبانی کند. مایکروسافت از این هم بدتر است: آنها از کارکنان خود پشتیبانی می‌کنند و از دیگران هرگز.

پیاده‌سازی MetaSystem مایکروسافت مجموعه‌ای از ابزارها را نیز در بر می‌گیرد، تکنولوژی جدید شرکت با عنوان Info card که به کاربران امکان می‌دهد اطلاعات هویت خود را گروه‌بندی نموده و انتشار آن را تحت کنترل داشته باشند، یک تکنولوژی میان‌افزار تحت توسعه به نام Active DDirectory، Indigo فهرست کنترل شده‌ای (از جانب مایکروسافت و آی‌بی‌ام) از پروتکل‌های سرویس‌های وب شامل WS-Security Policy، WS-Secure Conversation، WS-Trust و WS-Metadata و WS-MetaData Exchange.

Bob Morgan معمار ارشد تکنولوژی در دانشگاه واشنگتن و یکی از اعضای گروه راهنمای پروژه هویت متحد shibboleth برای اینترنت می‌گوید، این دنیای کاملا جدید با مجموعه کاملی از مشخصات می‌باشد که خارج از دنیای واقعی توسعه یافته‌اند حداقل خارج از دنیای واقعی ما. در حالیکه آی‌بی‌ام پشتیبانی برای WS-Trust را در Tivoli Federated Identity Manager اعلام نمود دیگر تولید کنندگان صاحب نام هنوز اقدامی انجام نداده‌اند. Sara Gates قائم مقام بخش مدیریت هویت سان می‌گوید، به محض اینکه WS-Trust به سازمان استانداردها تحویل شود شرکت سان پیاده‌سازی این استاندارد در راهکارهایش را آغاز خواهد کرد.مقامات مسئول شرکت ناول نیز با این ایده موافق هستند. Justin Taylor متخصص هویت دیجیتال شرکت ناول و عضو هیئت مدیره Liberty Alliance م‍ی‌گوید، اگر WS-Trust به عنوان یک استفاده مورد پذیرش قرار گیرد می‌تواند به عنوان یک روش ایجاد عملکرد متقابل بین سیستم‌ها مورد استفاده قرار گیرد.

Tony Nadalin از آی‌بی‌ام که یکی از مولفان WS-Trust نیز هست می‌گوید که مشخصات همراه WS-Secure Conversation نیز احتمالا در ۳ یا ۴ ماه آینده به سازمان استانداردها تحویل خواهد شد. مایکروسافت در حال حاضر سعی می‌کند کار خود را بر اساس این پروتکل‌ها تنظیم نماید. این استراتژی به گفته مقامات مایکروسافت در ماه گذشته از طرف بیل گیتز مورد تقدیر قرار گرفت. WS-Trust به عنوان پایه‌ و اساسی برای آنچه مایکروسافت STS یا Security Token Service می‌نامد، مورد استفاده قرار می‌گیرد. گیت‌وی‌های سبک برای سرورهای و کلاینت‌هایی که تبادل علامت‌های امنیتی را اجرا می‌کنند (مثل Kerberos یا SAML) و در ضمن می‌توانند علامت‌ها را به فرمت‌های مختلف تبدیل کند. آی‌بی‌ام نیز از همین مدل STS پشتیبانی می‌کند.

نکته کلیدی اینجاست که STS می‌تواند برای تلفیق سیستم‌های جدیدتر که به SAML اتکا دارند با سیستم‌های قدیمی‌تر که احتمالا از معماری‌های امنیتی mainframe یا Kerberos استفاده می‌کنند، مورد استفاده قرار گیرد. این مدل برای کنترل دستیابی امن بین شرکا در اینترنت به کار گرفته می‌شود.مایکروسافت یک برنامه به اشتراک‌گذاری فایل Win۳۲ را که از تکنولوژی STS و احراز هویت ویندوز استاندارد برای پذیرش علامت‌های امنیتی دیگر به منظور احرازهویت کاربر استفاده می‌کند در کنفرانس جهانی Digital ID معرفی نمود. Star-up ping Identity بر روی توسعه نسخه‌های STS برای سرورها و کلاینت‌های مبتنی بر جاوا کار می‌کند. روی دسک‌تاپ، STS بخشی از Infocard‌ها می‌باشد که فرم‌های مختلف هویت کاربر را که به طور محلی در مخازن اطلاعاتی کاربر مثل دایرکتوری‌ها ذخیره شده، نگهداری می‌کند. کاربران می‌توانند دیتا شخصی را در آنچه مایکروسافت (Claim) می‌نامد، دسته بندی می‌کنند. Claim تنها شامل اطلاعات مورد نیاز برای دستیابی به منابع خاص می‌باشد. Cameron با اشاره به تلاش مایکروسافت برای ایجاد یک سیستم هویت برای اینترنت که با شکست مواجه شد می‌گوید، این سیستم از گروه Passport‌ نیست.

در مورد سرور، STS به عنوان یک نقطه کنترل دستیابی در جلوی منابع استفاده می‌شود. این منابع می‌توانند طوری پیکربندی شوند که فقط با یک STS معین ارتباط داشته باشند، بنابراین تنها کلاینت‌هایی با علامت‌های امنیتی مجاز کاربران یا سرورهای دیگر می‌توانند دسترسی داشته باشند. Active Directory نیز می‌تواند به عنوان یک STS مورد استفاده قرار گیرد. مقامات مایکروسافت می‌گویند امکان تهیه یک نسخه از این دایرکتوری که برای این قابلیت تنظیم شده، وجود دارد. سرویس‌های جدید Active Federation Directory که انتظار می‌رود تا پایان سال عرضه شوند اولین قدم به سوی یکپارچه‌‌سازی سیستم‌های هویت در دایرکتوری می‌باشد. تکنولوژی Indigo یک زیر ساخت ارتباطات سرویس‌های وب رابرای انتقال به تمامی پروتکل‌ها بین کلاینت و سرورها در اختیار توسعه‌گران قرار می‌دهد. مقامات مایکروسافت اعلام کردند که در هفته‌های آتی به روز شده‌‌های نرم‌افزاری را عرضه خواهند کرد که به توسعه دهندگان امکان می‌دهند محیط‌های آزمایش ایجاد کنند. این برنامه‌ها عبارتند از نسخه‌های به روز شده Web Service Enhancement یک ابزار افزودنی به Visual Studio .Net برای ساختن یک STS و به روز شده‌ای برای پیش نمایش نرم‌افزار برای Infocard ‌و Indigo‌ که نهایتا جایگزین ابزارهای WSE خواهند شد.

مقامات مایکروسافت جدول زمانی را بر ای عرضه این ابزارها که قرار است برای ایجاد زیر ساخت مطابق با مدل Identity MetaSystem شرکت تهیه شدند، ارائه نکرده است. انتظار می‌رود Indigo و Infocardها بخشی از لانگهورن باشند.

نویسنده: John Fontana

مترجم: مریم پویان پور