Inhalt    

Konzepte für die Verbindungsverwaltung

Das in Access Manager integrierte Verbindungsverwaltungsmodul ist mit den Spezifikationen des Liberty Alliance Project kompatibel. Von diesen Spezifikationen wurden zahlreiche Konzepte abgeleitet. Zur Verdeutlichung werden diese Konzepte im vorliegenden Abschnitt definiert.

Authentifizierungs-Domäne (Circle of Trust)

Eine Authentifizierungsdomäne, die auch als "Circle of Trust" bezeichnet wird, ist ein Zusammenschluss von Dienst- und Identity-Anbietern, die Geschäftsbeziehungen auf Basis der Liberty-Architektur und Betriebsvereinbarungen unterhalten und mit denen Benutzer Geschäfte in einer sicheren und nahezu nahtlosen Umgebung tätigen können.

Entity-Deskriptor

Ein Entity-Deskriptor repräsentiert eine Einheit in den Verbindungs-Metadaten. In der Verbindungsinstallation von Access Manager gibt es zwei Arten von Entity-Deskriptoren:

Partner

Ein Partner ist eine Gruppe bestehend aus einer oder mehreren Entities, die von Anbieter-IDs beschrieben werden, welche Liberty-Interaktionen als Mitglied der Gruppe ausführen können. Ein Partner wird durch eine Partner-ID referenziert und von einer Entity verwaltet. Mitglieder einer Partnergruppe können Dienste entweder als Mitglied der Partnergruppe (unter Verwendung der Partner-ID) oder individuell (mit der Anbieter-ID) aufrufen.

Dienstanbieter

Ein Dienstanbieter ist eine Entity, die Principals Dienstleistungen bzw. Waren anbietet.

Identity-Anbieter

Ein Identity-Anbieter ist eine Liberty-fähige Entity, die Identity-Informationen und Authentifizierungen für Principals für andere Dienstanbieter innerhalb eines Circle of Trust erstellt, pflegt und verwaltet.

Principal

Ein Principal ist eine Entity, die eine verbundene Identität annehmen kann, Verbindungsentscheidungen treffen kann und für die authentifizierte Aktionen durchgeführt werden können. Principals sind beispielsweise ein individueller Benutzer, eine Gruppe individueller Benutzer, eine Firma, andere juristische Personen oder eine Komponente der Liberty-Architektur.

Remote-Anbieter

Bei einem Remote-Anbieter handelt es sich um einen Dienstanbieter oder einen Identity-Anbieter, der nicht von der aktuellen Installation von Access Manager gehostet wird, sondern entweder durch eine andere (Remote-) Installation von Access Manager oder durch eine andere Implementierung der Liberty-Spezifikation Liberty-fähig ist.

Host-Anbieter

Bei einem Host-Anbieter handelt es sich entweder um einen Dienstanbieter oder einen Identity-Anbieter, der durch die aktuelle oder vorhandene Installation von Access Manager Liberty-fähig ist.

Metadaten

Bei Metadaten handelt es sich um einen Satz erforderlicher Daten zum Konfigurieren der Richtlinien, die das Verhalten eines Dienstanbieters oder Identity-Anbieters bestimmen. Liberty-Spezifikationen definieren die Metadatenattribute für Dienstanbieter und Identity-Anbieter.

Verbundene Identity

Eine verbundene Identity bezieht sich auf die Gesamtheit der Kontoinformationen aller Dienstanbieter, auf die ein Benutzer zugreift (persönliche Daten, Authentifizierungsinformationen, Kaufgewohnheiten und Kaufgeschichte, Einkaufspräferenzen usw.). Die Informationen werden zwar von dem Benutzer verwaltet, seine Zugriffsberechtigung wird jedoch mit seiner Zustimmung auf sichere Weise mit den Anbietern seiner Wahl gemeinsam genutzt.

Verbindungstrennung

Benutzer können Verbindungen trennen. Die Verbindungstrennung (oder Entbindung) führt zum Abbruch der Partnerbeziehungen zwischen dem Identity-Anbieter des Benutzers und den verbundenen Dienstanbieterkonten.

Namensbezeichner

Um die Anonymität zu wahren, ordnet die Identity-Verbindung die Kontoinformationen eines Benutzers einer Reihe von Dienst- und Identity-Anbieterorganisationen zu. Die Identität des Benutzers wird unter einem Pseudonym oder einem Namensbezeichner zwischen Identity- und Dienstanbietern ausgetauscht. Weder der Identity-Anbieter noch der Dienstanbieter sollte Kenntnisse über die tatsächliche Identität des Benutzers besitzen.

Einzelabmeldung

Wenn sich ein Benutzer von einem Identity-Anbieter oder einem Dienst-Anbieter abmeldet, wird er effektiv von allen Dienstanbietern oder Identity-Anbietern in dieser Authentifizierungsdomäne abgemeldet.

Single Sign-On

Ein Single Sign-On wird durchgeführt, wenn sich ein Benutzer mit einer verbundenen Identity bei einem Identity-Anbieter authentifiziert. Da sich der Benutzer zuvor für die Verbindung entschieden hat, hat er nun Zugriff auf die Partner-Dienstanbieter, ohne sich erneut authentifizieren zu müssen.


Inhalt