Benutzer:JensKohl/CardSpace
Windows CardSpace (ehemals "Microsoft InfoCard") ist der Code-Name für eine Komponente der Programmierschnittstelle WinFX und stellt das Identity-Management von Microsoft, welches in Windows Vista implementiert wurde, dar.
Eine InfoCard besteht aus
- einem eindeutigen Identifikator
- eigenen Informationen wie etwa Postadresse
- einem PKI-Zertifikat für den lokalen Account (self-signed)
- und einem Zertifikat, das von der CA des Active Directory unterzeichnet ist.
Bezeichnungen
[Bearbeiten | Quelltext bearbeiten]Microsoft als Hauptentwickler hinter CardSpace versucht in seiner Dokumentation standardisierte Begrifflichkeiten zu verwenden. Wann immer dies sinnvoll erscheint, werden in diesem Artikel diese Begriffe verwendet.
| Englisch | Abkürzung | Bedeutung |
|---|---|---|
| Relying Party | RP | Empfänger der Karte (meist eine Webseite oder ein Webservice) |
| Identity Provider | IP | Identitätenanbieter |
| Certified Authority | CA | Zertifizierungsstelle |
| Personal Private Identifier | PPID | Pro Webseite personenbezogene, eindeutige ID |
Anwendungsbereiche
[Bearbeiten | Quelltext bearbeiten]Es gibt zwei Hauptanwendungsbereiche die den täglichen Identitätsanforderungen im Web sowohl auf Webseiten als auch bei Webservices gerecht werden sollen.
Selbst-ausgestellte Karten
[Bearbeiten | Quelltext bearbeiten]Da Microsoft aus den Erfahrungen mit Passport nicht damit rechnen konnte, dass ein neuer Identitätsservice aus dem eigenen Hause sofort angenommen werden würde, hat man die Möglichkeit geschaffen Selbst-Ausgestellte Karten zu erstellen. Dies wird vor allem dazu genutzt um das vorherrschende System bestehend aus Benutzername und Paßwort zu ersetzen. Dazu passiert technische gesehen immer das gleiche: Der Benutzer kommt mit seinem CardSpace-kompatiblen Browser (z.B. Microsofts Internet Explorer 7 oder Firefox) auf einer Webseite, welche CardSpace unterstützt, an und wird dort aufgefordert eine Karte für den Login auszuwählen. Aus dem Master-Schlüssel der Karte und dem öffentlichen Schlüssel (vgl. Public-Key-Verschlüsselung) wird ein Personal Private Identifier (PPID) errechnet - dieser ist für jede Webseiten/Karten-kombination einzigartig (aufgrund der beiden Schlüssel). Die PPID wird mit Hilfe von WS*-Webservices zur Webseite (relying party) übermittelt und dort hinterlegt. Ab diesem Moment ist der Login ohne Paßwort anhand der PPID möglich. Weitere Informationen beim Login sind optional (z.B. Name und eMail-Adresse).
Karten eines Identitätenanbieters
[Bearbeiten | Quelltext bearbeiten]Die Anwendungsmöglichkeiten mit Karten die von einem Identitätenanbieter (z.B.: Thatwe, VeriSign, CAcert u.v.m.) sind denen der Plastikkarten im Portmonnaie nachempfunden und war wohl auch die auslösende Idee zum ganzen InfoCard-Projekt. Nach der Analogie, wie man sich z.B. mit dem Personalausweis gegenüber staatlichen Stellen ausweist und der Karte des Fitnessstudios Zutritt zu eben diesem verschafft, so funktioniert dies auch bei CardSpace.
Aussteller für eine digitale Identität kann grundsätzlich jeder sein, denn der, der letztendlich die Karte auf ihre Vertrauenswürdigkeit überprüft gibt an wem er vertraut. Demnach macht es durchaus Sinn, sich seine Identität von einem bekannten Anbieter bescheinigen und pflegen zu lassen. Hat man diesen Prozess durchlaufen, so bekommt man eine XML-Datei, welche eine Karte im CardSpace-Jargon repräsentiert. Wichtig hierbei zu wissen, ist das die Karte hierbei nicht wie bei den selbst-ausgestellten Karten die Informationen (claims) enthält sondern lediglich einen Hinweis auf den Identitätenanbieter gibt der diese Daten verwaltet.
Steuert man nun wieder eine CardSpace-kompatible Webseite an, kann diese Voraussetzungen für zu akzeptierende Karten machen, wie z.B. die Karte muss von VeriSign oder Thatwe ausgestellt worden sein und sie muss eine eMail-Adresse enthalten. Je nach Implementierung des CardSpace-Systems werden in der Auswahl der Karten nur noch die passenden Karten angezeigt. Nach der Auswahl einer Karte fragt nun das lokale CardSpace-System welche Daten übermittelt werden sollen, dazu muss es beim Identitätenanbieter sich diese Daten beschaffen (wie gesagt, die konkreten Daten sind nicht Teil der Repräsentation der Karte). Der Identitätenanbieter antwortet mit einem verschlüsselten Token. Stimmt der Benutzer der Weitergabe seiner Daten an die Webseite (relying party) zu, so reicht es das Token weiter, welches die Webseite entschlüsseln kann.
Weblinks
[Bearbeiten | Quelltext bearbeiten]- Microsoft InfoCard: Universal-Identität für Webnutzer - Artikel auf golem.de
- InfoCard Selector als Firefox Extension --- xmldap
- IAM-Wiki - CardSpace - deutschsprachiges Wiki zu Identity und Access Management über CardSpace
- InfoCard Explained - Die Entwickler aus dem MS-Identityteam stellen CardSpace vor
[[Kategorie:Microsoft]]