Novell und die Banditen des Identity Management

In USA ist „Bandit“ ein häufiger verwendeter Hundename. Seit ca. 2 Jahren ist er auch Namensgeber eines Opensource Projekts für ein Identity Management. Folgerichtig wird ein Hund im Logo verwendet und damit er auch wirklich als Bandit zu erkennen ist, setzte der Initiator dem Hündchen noch eine Maske auf. Gerade so als ob es beim Identity Management darum ginge, möglichst unerkannt zu bleiben.

Doch in Wirklichkeit startete Novell das Projekt, um einen quelloffenen Baukasten mit wesentlichen Funktionen zur Nutzung digitaler Identitäten zu entwickeln. Mit solch einem Framework sollen Softwareentwickler in die Lage versetzt werden, sehr schnell identitätsbasierte Anwendungen entwickeln zu können. Solche Versprechungen wecken grundsätzlich meine Neugier und ich nehme mir Zeit um dieser nachzugehen.

Opensource oder doch nicht?

Da Novell als einer der grossen IAM-Hersteller auch kommerzielle Produkte anbietet, sollen möglichst viele Ergebnisse aus „Bandit“ in die Produktentwicklung einfließen. Vor allem ist Novell bestrebt Teile von Bandit in ihr eDirectory oder GroupWise einfliessen zu lassen. Aus diesem Grund wird sich die Motivation dort mitzucoden auch weiterhin auf die ca. 16 Entwickler von Novell beschränken. Zwar tauscht sich Bandit mit Microsoft, Sun und IBM aus doch auf der Webseite ist der Link „Participate“ im Januar 2007 überzeugend leer. Und in der Tat kontrolliert Novell alles. Den Zeitplan, die Funktionen, wer mitmachen darf und natürlich auch wo das Novell-Logo platziert wird.

Wichtige Komponenten

Dennoch ist „Bandit“ eine sehr interessante Initiative bei der vor allem die einzelnen Komponenten einige ungelöste Probleme adressieren. Da wäre zunächst die „Role Engine„. Diese ist ein rollenbasiertes Teilsystem welche sich auf RBAC und XACML (über OpenXACML von Sun) abstützt. Beides sind standardisierte Beschreibungsmöglichkeiten für Zugriffsverfahren über Rollenmodelle. Das ist insofern erwähnenswert, weil bisher bei der technischen Umsetzung meist auf Standards für Rollenmodelle verzichtet wurde.

Aus dem selben Grund ist die zweite Komponente, das „Audit Record Framework (OpenXDAS)“ hervorzuheben. Bisher werden die Protokollierungspflichten ausschließlich individuell implementiert. Mit OpenXDAS soll es jetzt möglich sein, normierte Datensätze so zu schreiben, dass diese für Compliance– oder Auditreports besser zu verarbeiten sind.
Um diese noch ungelöste Problem auch außerhalb von Bandit zu adressieren, wurde OpenXDAS jüngst als eigenständiges Opensource-Projekt bei Sourceforge angemeldet.

Vergleichsweise unspektakulärer ist der „Common Authentication Services Adapter“ oder kurz CASA. Diese Komponente ermöglicht ein echtes Single Sign-On auf dem Desktop und für verschiedene Server. Zwar ist CASA auch als separates Bundle zu beziehen, doch macht es eigentlich erst Sinn wenn die Dienste der Komponente „Common Identity“ genutzt werden können.
Dabei handelt es sich nämlich um eine Implementierung des Higgins-Frameworks, welche zum Ziel hat verschiedene Identitätsspeicher wie LDAP, Liberty, Cardspace oder /etc/passwd zu aggregieren.

Unter die Maske geblickt

Will man nun eines der Module verwenden, so stellt man sehr schnell fest, dass im Bezug auf Stabilität, Dokumentation und Gesamtkonzeption noch einiges nachzuholen ist. Meine Testinstallation des CASA-Clients schmierte gleich mehrmals ab, Compilierläufe zeigten noch Abhängigkeiten zu weiteren Bibliotheken und wie ich die Module zu verwenden habe kann ich offensichtlich nur herausfinden, wenn ich in vorhandenen Sourcen tief eintauche.

Immerhin wird aktuell intensiv an einer Referenzapplikation gearbeitet. Diese soll alle vier Module bei der Arbeit zeigen und demonstrieren wie ein Identity Provider (in Form eines Wikis) Rechte von der Relying Party erhält, wenn ein Benutzer sich bei der Relying Party anmeldet. In der Version 0.2 funktionierte dies bei mir bereits mit CardSpace und dem IE7 tadellos. Im Februar 2007 soll mit der Referenzapplikation 0.3 auch Liberty, OpenID, OpenSAML und Firefox unterstützt werden. So steht es zumindest in der Roadmap.

Was bleibt?

Auch wenn das Projekt bisher noch kein grosser Durchbruch ist, lohnt es sich die weitere Entwicklung genau zu verfolgen. Die Idee dass man die Nutzung von Identitätsinformationen in Anwendungen standardisiert und vereinfacht ist nämlich nicht nur richtig, sondern auch dringend notwendig.