Sun Liberty: szabadság a hálón

Ki ne unná, hogy ahány komolyabb védelemmel is fölszerelt hálószemet akar fölkeresni, mindannyiszor újra át kell esnie a bejelentkezési procedúrán. Persze, az sem megnyugtató, ha egy hálószem az idők végezetéig fejben tart, hogy be vagyunk nála jelentkezve, így elkerülve az újbóli bejelentkezéseket. Azt mindenki tudja, hogy a sütik (cookies) sem oldják meg biztonságosan a problémát. A Sun JavaWorld’s Enterprise Java hírlevél most a Liberty rendszert javasolja az olvasóinak, hogy kényelmesebben mozoghassunk az általunk rendszeresen használt védett szolgáltatások között.
A pénzügyi alkalmazásoknál viszont olykor épp az a bosszantó, hogy azelőtt lejár a türelmi idő, hogy az ember hozzákezdhetne a következő tranzakcióhoz, az előzőleg kapott eredmény kicsit is hosszabb időt igénylő elemzése miatt. Az új OTP HáziB@NK változatnál például pont ez jött elő. Ezen az sem segít, ha az ember bejelöli a bejelentkezéskor, hogy nem kér tranzakciónkénti új jelszó ellenőrzést. Ez nincs kihatással a benntartási türelmi időre. Mi lehet tehát a kompromisszumos megoldás? A legbosszantóbb egyébként az, ha ugyanannak a szolgáltatónak az alkalmazásait használná az ember sorozatban, de az minden alkalmazásváltást rögtön azzal torol meg, hogy új bejelentkezést követel.

Először a CompuServe (CS) világhálóra áttett fórumainál találkozhattunk ilyen bajjal. A CS erre kitalálta a Virtual Key (VK) megoldást, ami lehetővé tette, hogy az első belépéskor a VK azonosítás megtörtént a hagyományos jelszóval, majd ezzel a digitális azonosítóval ismert föl minden további olyan CS fórum, ahol új belépésre volt szükség. A CS azt hitte, hogy ez a rendszer el fog terjedni a világhálón, de nem ez történt. Mindez volt vagy 5 éve. Ma már a VK-t majdhogynem a CS is elfeledte. Egyes újabb webfórumokra minden azonosítás nélkül be lehet nézni. Legföljebb a vitafórumokban csak olvasni lehet az üzeneteket, írni nem. Ahhoz még kell egy VK azonosítás. De összességében a VK jól működik (tulajdonképpen mindmáig).

Később jött a Novell a Novell Directory Services (NDS) címtárral, amely a jogosultságokat a címtárban őrizte, így a Novell alkalmazások onnan fölismerhették, hogy van-e az adott alkalmazáshoz jogosultsága annak, aki használni akarja. A Microsoft egy hasonló címtárat konstruált és adott ki a Windows NT 4 kései javításaiban, Active Directory (AD) néven. Mind az NDS, mind az AD, pénzt csenget a gyártónak. A világhálón lógó hackereket ez nem boldogította, ezért kidolgoztak egy Lightwise Directory Access Protocol (LDAP) címtári megoldást, nyílt forráskódú változatban.

Közben más gyártók is elkezdtek címtári ötleteket gyártani. Természetesen a kompatibilitási problémák garmadáját generálva. Ekkor fölmerült egy metacímtári szabvány létrehozása, ami az egyedi címtári megoldások kapcsolatát lehetővé tette volna. A megoldásra a szakma legjobbjai szövetkeztek, és meg is született egy univerzális címtári szabvány. Amit aztán minden címtárat kitalált gyártó ismét a maga módján, más-más nevek alatt implementált. Most körülbelül itt tartunk. A cikkíró szerint a háború a tatarozás alatt zavartalanul tovább folyik.

Mit ajánl a Sun a Sun ONE keretében a Libertyvel?

Relatíve egyszerű, kifejezetten világhálóhoz idomított megoldást. Az azonosítást rábízhatjuk egy Identity Provider (IdP), azaz, felhasználói azonosítást nyújtó szolgáltatásra. Ez a szolgáltatás a Liberty. Először tehát be kell jelentkeznem a Liberty szolgáltatásba, majd közölni vele azokat a szolgáltatásokat, amelyeket rendszeresen igénybe akarok venni. Az éppen kívánt szolgáltatás igénybevételére való jogosultságomat azután a Liberty szolgáltatás igazolja, nem kell vesződni a folyamatos bejelentkezésekkel. Persze, az azonosításnak ez még csak a kezdeti fokozata, de a megoldás nyilván a végtelenségig továbbfejleszthető. Egyebek közt képes megoldani azt a gondot is, ha az alkalmazó nem egyforma azonosítókat használt a különböző alkalmazások regisztrálásakor. A Liberty Single Sign On (egyszeri belépés) szolgáltatás előfizetése minden bizonnyal olcsóbb, mint a trükkös gyártói címtári megoldások, amelyeknek a nagyvállalati rendszerekben, persze, továbbra is meg lesz a maguk szerepe.

Az IdP szolgáltatás alapja az XML szabvány körül szaporodó egyik újdonatúj segédszabvány, a SAML (Secure Assertion Markup Language), a biztonság ellenőrzési leíró nyelv.

A részletek a JawaWorld cikkben. Íme, egy ábra a Liberty Single Sign On Identity Provider koncepciójáról:

 
 
 

Kapcsolódó cikkek

 

Belépés

 

 

Regisztráció