7.5. Azonosítási modellek

Kétféle azonosítási modellt használnak a szövetségi azonosítási rendszerek. A megosztott és különálló azonosítási modellek az azonosítási adat menedzsment természetére utalnak. A megosztott azonosítási adat menedzsment megosztott volta arra utal, hogy az azonosítási információt egy üzleti partner kezelheti (az IdP). A különálló pedig, hogy az információ ismétlődik, és külön kezelik az üzleti partnerek között.

7.5.1. Megosztott

A megosztott azonosítás a szövetségi üzleti interakciókban akkor lehetséges ha egy üzleti partner megbízik az identitásszolgáltató által a felhasználókról kiadott tanúsítványban. Ebben a modellben a szövetség lehetővé teszi a felhasználónak (és a federációs üzleti partnereknek), hogy létrehozzanak egy közös egyedi azonosítót, amellyel utalhatnak a felhasználóra. Az azonosító alapján az identitásszolgáltató képes kezelni a user azonosítási adatait, és ezen információ hiteles forrásaként működik a tartalomszolgáltatók számára.

7.4. ábra: Megosztott azonosítási modell

Az üzleti partnerek közötti azonosítás és attribútum kezelés módját tekintve alapvető kérdés hogy milyen információk oszthatók meg és mik az előnyei a megosztásnak? A legoptimistább lehetőségként az IdP és SP minden információt megosztanak, ahogy az a 7.4. ábrán látható.

  • A bejelentkezési adatok megosztása az identitásszolgáltató és a tartalomszolgáltató között azt jelenti, hogy a SP megbízik az IdP felhasználó hitelesítésében, így mentesítve a SP-t a jelszavak és felhasználónevek tárolása alól. Ha az account adatai nem oszthatók meg akkor mind az IdP-nek mind az SP-nek külön kell a felhasználói accountokat kezelni.

  • A tranzakció attribútumok megosztása igényli, hogy az IdP és SP megegyezzen a szerepekről, jogosultságokról vagy a felhasználó csoporthoz tartozásáról. Ezt nehéz megvalósítani, mivel két egymástól független szolgáltató jellemzően különböző megoldást alkalmaz az identitások csoportosítására illetve a szerepek információinak kezelésére. A tranzakciós attribútumok megosztása helyett, egy szolgáltató leképezheti a tranzakciós attribútumaikat, olyan alakban, amit az üzleti partnere megért. Ebben a megközelítésben az azonosítási meta-adatot külön kezelik az IdP-nél és az SP-nél.

  • A profil attribútumok megosztása az IdP és az SP között általában felhasználói beleegyezés kérdése. A felhasználó preferenciáitól és a bizalmassági igényeitől függ. Ezen attribútumok megosztásához szükség van felhasználói beleegyezésre illetve képesség ennek igazolására. Gyakorlati értelemben, bizonyos attribútumok megoszthatók (ilyen például az e-mail cím) míg más attribútumok nem. Ha nem megoszthatóak, akkor duplikálni kell őket az IdP-nél és az SP-nél is. Ha például egy felhasználó lakás címe duplikálva van, akkor külön kell kezelnie az üzleti partnereknek. Ha a felhasználó elköltözik és az egyik üzleti partner ismeri az új címet, a különálló azonosítási modellben, az üzleti partner nem oszthatja meg ezt az információt a partnereivel.

7.5.2. Különálló

A különálló megközelítést a szövetségi üzleti interakciókban akkor alkalmazzák, ha a két szervezet nem oszthat meg bizonyos azonosítási információkat. Ennek oka lehet adatok elkülönítése, közvetítés-ellenesség (verseny okok miatt a vállalatok nem szeretnék megosztani az ügyfél-információkat), politikai okok vagy, mert a felhasználónak mindkét szolgáltatóval van külön kapcsolata.

7.5. ábra: Különálló azonosítási modell

A különálló azonosítási adat menedzsment modellben, azonosítási adatok kezdetben egyeztethetők az üzleti partnerek között a kezdeti account beállítás részeként, habár később külön fogják kezelni őket.