Controversias en la industria por un protocolo de identidad creado por Microsoft e IBM
La noticia de que OASIS está estudiando la estandarización de un protocolo desarrollado por IBM y Microsoft para compartir identidades de usuarios entre empresas ha creado cierta polémica porque se considera que esta especificación solapa otros protocolos similares ya estandarizados. Sun, Oracle, Nokia o France Telecom se encuentran entre sus opositores.
La Organization for the Advancement of Structured Information Standards (OASIS) ha confirmado la creación de un comité técnico para guiar el Web Services Federation Language (WS-Federation) versión 1.1 por el proceso de estandarización. Este protocolo de seguridad permite a las empresas compartir identidades y señales de seguridad y fue desarrollado por IBM y Microsoft en 2002 como parte de un conjunto de protocolos de servicios web propietarios incluidos bajo la denominación “WS”. Algunos de ellos, como WS-Trust, se han remitido a organismos de estandarización, pero no otros como WS-Transfer. La especificación WS-Federation depende de estos otros protocolos para funcionar adecuadamente.
Las críticas sobre la posible estandarización de WS-Federation aseguran que el protocolo coincide con algunos trabajos ya realizados por OASIS como parte de la especificación Security Assertion Markup Language (SAML) 2.0, ratificado en 2005, principalmente en lo que respecta a la federación basada en navegador del Passive Requestor profile de WS-Federation. Asimismo, reprochan la dependencia de WS-Federation de protocolos como WS-Transfer aún no estandarizados.
Diferencia de opiniones
Paul Madsen, del Information Sharing Platform Laboratory de NTT, advierte en un comentario enviado a OASIS sobre la formación del comité técnico para WS-Federation que “la propuesta podría derivar en una desafortunada duplicación de las funcionalidades de SAML 2.0 existentes, con la consiguiente complejidad y costes para los consumidores de la tecnología”. También Sun, Oracle, Nokia y France Telecom han elevado sus objeciones.
En cuanto a los analistas, Gerry Gebel, de Burton Group señala que “hay algunas redundancias y solapamientos que crean confusión en el mercado y querríamos ver una definición más clara del trabajo de este nuevo comité técnico de OASIS. Ahora tienen la oportunidad de atacar el tema porque OASIS es el hogar de SAML y ya hemos visto cómo SAML 1.x y Shibboleth y el Liberty Alliance ID-FF se unieron bajo un mismo paraguas”. Shibboleth está basado en SAML y es una tecnología base para la red Abilene de Internet2, mientras que el Identity Federation Framework (ID-FF) está desarrollado por la Liberty Alliance, un consorcio de usuarios y fabricantes que ha incorporado SAML 2.0 en sus estándares de identidad.
Por su parte, Marc Goodner, de Microsoft, quien formará parte del comité técnico del WS-Federation, afirma que no tratarán el tema del solapamiento, sino que “el objetivo es trabajar en WS-Federation. No estamos intentando unificar o establecer una conexión entre estos dos mundos”. Goodner apunta que la principal diferencia entre SAML y WS-Federation es que la última se crea sobre WS-Trust y que forma parte de una mayor arquitectura para WS-*. Asimismo, considera que no es raro encontrar dos formas diferentes de atajar una misma funcionalidad. También desde OASIS se ha señalado que la entidad cuenta con ejemplos de estándares que se solapan como Universal Description, Discovery and Integration y Electronic Business XML, ambas tecnologías para servicios web.
No sólo Microsoft e IBM soportan WS-Federation en productos actualmente disponibles, sino que ya hay otros proveedores que apoyan la iniciativa. Microsoft sólo soporta el formato de señalización de identidades SAML 2.0 pero no el motor pregunta/respuesta SAML dentro de Active Directory Federation Services. IBM, por su parte, incluye ambos protocolos tal y como hacen otros fabricantes como BMC, RSA Security (hoy parte de EMC) y VeriSign. “Si Microsoft y el resto de fabricantes unieran el perfil pasivo de WS-Federation con SAML 1.x y centraran este comité técnico en el perfil activo, se aclararía enormemente la confusión y se eliminarían las redundancias”, sentencia Gerry Gebel de Burton Group.
Las críticas sobre la posible estandarización de WS-Federation aseguran que el protocolo coincide con algunos trabajos ya realizados por OASIS como parte de la especificación Security Assertion Markup Language (SAML) 2.0, ratificado en 2005, principalmente en lo que respecta a la federación basada en navegador del Passive Requestor profile de WS-Federation. Asimismo, reprochan la dependencia de WS-Federation de protocolos como WS-Transfer aún no estandarizados.
Diferencia de opiniones
Paul Madsen, del Information Sharing Platform Laboratory de NTT, advierte en un comentario enviado a OASIS sobre la formación del comité técnico para WS-Federation que “la propuesta podría derivar en una desafortunada duplicación de las funcionalidades de SAML 2.0 existentes, con la consiguiente complejidad y costes para los consumidores de la tecnología”. También Sun, Oracle, Nokia y France Telecom han elevado sus objeciones.
En cuanto a los analistas, Gerry Gebel, de Burton Group señala que “hay algunas redundancias y solapamientos que crean confusión en el mercado y querríamos ver una definición más clara del trabajo de este nuevo comité técnico de OASIS. Ahora tienen la oportunidad de atacar el tema porque OASIS es el hogar de SAML y ya hemos visto cómo SAML 1.x y Shibboleth y el Liberty Alliance ID-FF se unieron bajo un mismo paraguas”. Shibboleth está basado en SAML y es una tecnología base para la red Abilene de Internet2, mientras que el Identity Federation Framework (ID-FF) está desarrollado por la Liberty Alliance, un consorcio de usuarios y fabricantes que ha incorporado SAML 2.0 en sus estándares de identidad.
Por su parte, Marc Goodner, de Microsoft, quien formará parte del comité técnico del WS-Federation, afirma que no tratarán el tema del solapamiento, sino que “el objetivo es trabajar en WS-Federation. No estamos intentando unificar o establecer una conexión entre estos dos mundos”. Goodner apunta que la principal diferencia entre SAML y WS-Federation es que la última se crea sobre WS-Trust y que forma parte de una mayor arquitectura para WS-*. Asimismo, considera que no es raro encontrar dos formas diferentes de atajar una misma funcionalidad. También desde OASIS se ha señalado que la entidad cuenta con ejemplos de estándares que se solapan como Universal Description, Discovery and Integration y Electronic Business XML, ambas tecnologías para servicios web.
No sólo Microsoft e IBM soportan WS-Federation en productos actualmente disponibles, sino que ya hay otros proveedores que apoyan la iniciativa. Microsoft sólo soporta el formato de señalización de identidades SAML 2.0 pero no el motor pregunta/respuesta SAML dentro de Active Directory Federation Services. IBM, por su parte, incluye ambos protocolos tal y como hacen otros fabricantes como BMC, RSA Security (hoy parte de EMC) y VeriSign. “Si Microsoft y el resto de fabricantes unieran el perfil pasivo de WS-Federation con SAML 1.x y centraran este comité técnico en el perfil activo, se aclararía enormemente la confusión y se eliminarían las redundancias”, sentencia Gerry Gebel de Burton Group.
