SAML, Passport en Liberty: inloggen voor de toekomst

Eén keer aanmelden is genoeg

02 juli 2003 | Dominique Deckmyn Als u bepaalde webservices (zoals bijvoorbeeld internetbankieren) gebruikt, moet u steeds opnieuw inloggen. Een aantal bedrijven werkt echter aan een manier om dit te vergemakkelijken. Het bekendste voorbeeld is Passport van Microsoft, dat al sinds 1999 bestaat. Wie een gratis Hotmail e-mailadres gebruikt of MSN Messenger, is de facto een gebruiker van Passport. En heeft in dat geval misschien al gemerkt dat hij wanneer hij is ingelogd op Hotmail, dat ook is op MSN Messenger en omgekeerd. En meteen ook op eBay, dat een overeenkomst heeft gesloten met Microsoft.

Heel handig, maar het feit dat Passport volledig gecontroleerd wordt door Microsoft is velen een doorn in het oog. Microsoft heeft dan ook opvallend weinig bedrijven weten te overtuigen om Passport te adopteren.

Liberty
Een aantal concurrenten van Microsoft, met Sun Microsystems voorop, richtte in september 2001 een werkgroep op om een alternatief voor Passport te bouwen. Dat werd de Liberty Alliance. Andere vooraanstaande Liberty Alliance-leden zijn Nokia, MasterCard, American Express en United Airlines. Bij Liberty wordt de identiteit van alle gebruikers niet door één partij (Microsoft) bewaard, maar door het bedrijf waar de gebruiker zich het eerst bij aansluit. In januari 2003 bracht vaandeldrager Sun de eerste Liberty-serversoftware op de markt.

Maar twee aparte systemen voor universele log-in is natuurlijk niet bijster handig. Vandaar het groeiende belang van SAML. Dat is een specificatie van de Organization for the Advancement of Structured Information Standards, kortweg OASIS, die ook verantwoordelijk is voor ebXML, één van de cruciale standaarden voor e-business communicatie. Net als ebXML is ook SAML gebaseerd op de eXtensible Markup Language, XML.

SAML is een taal waarin computersystemen gegevens over beveiliging ("security assertions") kunnen doorgeven. Eenvoudiger gezegd: het doorgeven van log-in-gegevens. SAML is dus zelf geen beveiligingssysteem dat bepaalt hoe u de identiteit van een persoon on line moet verifiëren. Maar het zegt wel hoe de ene computer aan de andere kan vertellen: "De identiteit van deze gebruiker heb ik gecontroleerd". Daardoor kan SAML ingezet worden tussen systemen die op totaal andere technologie gebaseerd zijn - bijvoorbeeld een bedrijfsnetwerk en een openbare website.

SAML kan niet alleen gebruikt worden om een bevestiging van iemands identiteit door te sturen, maar ook andere gegevens over die persoon. Welke gebruiksrechten hij heeft, bijvoorbeeld, en op welke manier hij zich heeft geïdentificeerd (bijvoorbeeld met een paswoord, een elektronisch certificaat of via biometrie).

SAML is niet alleen bedoeld voor openbare websites (de doelmarkt van Passport en Liberty). Het systeem kan ook ingezet worden voor communicatie tussen interne bedrijfssites en externe locaties. Bijvoorbeeld: het personeel is ingelogd op het bedrijfsportaal, en dat bedrijfsportaal maakt een verbinding met de website van de groepsverzekering waarbij het bedrijf is aangesloten.