Cryptography Reference
In-Depth Information
reich. In dem Vakuum, das dadurch in den letzten Jahren entstanden ist, hat sich
inzwischen ein Standard namens
SAML
(Security Assertion Markup Language)
etabliert [Hughes]. SAML ermöglicht sowohl Single Sign-On als auch Credential-
Synchronisation. Im Gegensatz zu Kerberos werden auch asymmetrische Verfah-
ren unterstützt.
SAML ist ein recht komplexer Standard mit unterschiedlichen Anwendungs-
möglichkeiten. Der Einsatz von SAML ist insbesondere nicht auf die verteilte
Authentifizierung begrenzt, auch wenn dieses derzeit die wichtigste Anwendung
darstellt. Aus Sicht des Kryptografen lässt sich die Funktionsweise wie folgt
zusammenfassen: SAML sieht digital signierte Tickets (
Security Assertions
) vor;
diese ermöglichen es Servern, Authentifizierungsinformationen untereinander
auszutauschen, um damit die gewünschten Ziele Single Sign-On und Credential-
Synchronisation zu erreichen.
SAML basiert auf XML (Extensible Markup Language). XML ist ein weit
verbreiteter Standard zur Definition maschinenlesbarer Beschreibungssprachen,
der vom World-Wide-Web-Konsortium (W3C) gepflegt wird. Die Entwicklung
von SAML begann im Jahr 2001 und erfolgt innerhalb der Standardisierungsor-
ganisation OASIS, der unter anderem Firmen wie Sun Microsystems, IBM und
SAP angehören. Die aktuelle SAML-Versionsnummer ist 2.0.
22.5.1
Funktionsweise von SAML
Dem Namen nach ist SAML eine Beschreibungssprache, die das Kodieren von
Security Assertions erlaubt. Tatsächlich enthält der SAML-Standard jedoch nicht
nur diese Beschreibungssprache, sondern zusätzlich ein Netzwerkprotokoll zur
Übertragung von Security Assertions sowie einige weitere Inhalte. Formal betrach-
tet ist eine Security Assertion ein Datensatz, der sicherheitsrelevante Informatio-
nen über ein Objekt (beispielsweise über Anwenderin Alice) enthält. In der Regel
ist eine Security Assertion signiert. So gesehen hat eine solche eine gewisse Ähn-
lichkeit mit einem digitalen Zertifikat (Abschnitt 26.2). Es ist zudem möglich,
Security Assertions über XML Encryption oder SSL zu verschlüsseln. Die Ent-
wickler von SAML hatten vor allem drei Anwendungsbereiche im Blickfeld:
■
Single Sign-On
: Hierbei übernimmt eine Security Assertion die Funktion eines
SSO-Tickets.
■
Autorisierungsdienste
: Hierbei läuft die Kommunikation zwischen Alice und
dem Server über einen Authentifizierungsserver, der für eine einheitliche Au-
thentifizierung an unterschiedlichen Systemem sorgt. Es handelt sich also um
eine Form der Credential-Synchronisation.
■
Verteilte Transaktionen
: Hierbei arbeiten mehrere Anwender gemeinsam an
einer Aufgabe und verwenden Security Assertions für den sicheren Datenaus-
tausch. Diese Anwendung spielt an dieser Stelle keine Rolle.
