NEXT 3/2008 - Jedna do wszystkich

Chcesz sprawdzić saldo swojego konta? Musisz podać login i hasło. Skomentować ulubiony blog – login i hasło. Zwykle inne niż poprzednio. O ile łatwiejsze byłoby życie, gdyby do różnych usług można było logować się za pomocą jednej nazwy użytkownika. Być może będzie to możliwe dzięki uniwersalnemu mechanizmowi autoryzacji – OpenID.

Rozwiązanie autoryzacji na podstawie jednej nazwy użytkownika z sukcesem zaimplementowali najwięksi potentaci internetowi. Za pomocą wspólnego konta możemy logować się do wszystkich serwisów Google (usługa Google Account). Podobne rozwiązanie od dawna promuje Microsoft (kiedyś .NET Passport, obecnie Microsoft Live ID) oraz Yahoo. Przy wykorzystaniu Yahoo! ID można się logować także do witryn należących do Yahoo, które zachowały autonomię, jak Flickr czy Del.icio. us.

OpenID – dystrybucja tożsamości

Niestety, wymienione wyżej systemy autoryzacji są zamknięte i kontrolowane przez jedną korporację, dla której wspólny login jest narzędziem zachęcającym klientów do pozostania w orbicie serwisów należących do danej firmy. Aby uczynić ten wygodny model autoryzacji standardem, dostępnym także dla niezależnych witryn internetowych, niezbędna była inicjatywa – OpenID. Pomysłodawcą tego mechanizmu jest Brad Fitzpatrick, twórca znanego portalu blogowego LiveJournal, który napisał pierwszą implementację mechanizmu w 2005 roku. Obecnie OpenID jest rozwijany na zasadach open source. Centrum projektu jest serwis http://openid.net, a promocją zajmuje się OpenID Foundation.

Mechanizm Open ID można określić jako architekturę rozproszonego uwierzytelniania i dystrybucji tożsamości użytkowników różnych usług internetowych. Dlaczego rozproszonego? Otóż system autoryzacji OpenID, w przeciwieństwie do zamkniętych rozwiązań, nie korzysta z jednego centralnego serwera z bazą danych użytkowników. Serwerów jest wiele, należą zarówno do firm komercyjnych, organizacji non profit, jak i osób prywatnych. Posiadanie serwera tożsamości OpenID nie jest obwarowane żadnymi zezwoleniami. Może otworzyć go każdy, kto ściągnie i zainstaluje jedną z opensource’owych implementacji mechanizmu. Tym, co łączy OpenID w jeden system, jest metoda autoryzacji zaimplementowana po stronie serwisu internetowego, który pośredniczy (relying party) między użytkownikiem a jego serwerem tożsamości OpenID, który odpowiada za autoryzację. W nomenklaturze OpenID serwer jest nazywany dostawcą tożsamości (identity provider).

Siedem kluczowych zasad systemu zarządzania tożsamością

1. Dane osobowe muszą być pod kontrolą użytkownika, a ich ujawnianie następuje za jego wyraźną zgodą.
2. Powinno się ujawniać wyłącznie niezbędne do danej operacji dane, które nie mogą zidentyfikować użytkownika poza kontekstem operacji.
3. W przetwarzaniu danych powinny brać udział tylko te osoby, które są podmiotami danej operacji. Użytkownik musi wiedzieć, komu ujawnia swoje dane osobowe.
4. System musi obsługiwać zarówno jedno-, jak i wielokierunkowe identyfikatory. Identyfikator wielokierunkowy to taki, na podstawie którego można zidentyfikować zwrotnie użytkownika i uzyskać dostęp do innych identyfikatorów. Jednokierunkowy jest niepowtarzalny – dla każdej pary podmiotów jest inny.
5. System musi być pluralistyczny, czyli zawierać wiele technologii identyfikujących i wielu dostawców tożsamości.
6. Interfejs pomiędzy użytkownikiem a maszyną musi być przyjazny i bezpieczny.
7. Identyfikacja musi przebiegać według określonych reguł, tak by użytkownik wiedział, co w danym momencie robi, jakie dane i w jaki sposób ujawnia. Powinien robić to zawsze w ten sam sposób, co nie wyklucza używania różnych zestawów danych do identyfikacji.

Ocena:    (aby ocenić, musisz się zalogować w serwisie)

 del.icio.us |  Wykop mnie |  Digg this story |  dodajdo.com

• Pamięć do haseł »
  raport: zarządzanie loginami do serwisów WWW
• Jeszcze lepszy blog »
  jak wypromować i udoskonalić swój blog
• Hasło: odzyskaj! »
  odzyskujemy hasła do Gadu-Gadu
• Twoje 5 GB w sieci »
  Usługa SIeciowa Windows Live
• Hasła pod kontrolą »
  Menedżery haseł