Authentifizierung für OpenGIS® Web Services

In einer OpenGIS® Web Services basierten GDI ist es wichtig, dass eine kombinierte Nutzung von Geoinformationen unterstützt wird. Damit dies umgesetzt werden kann, benötigt man eine sog. Single-Sign-In (SSO) Lösung, wie sie beispielsweise durch den SAML Standard von OASIS beschrieben wird.

Gehen wir einmal davon aus, es existiert eine Anwendung die es einem Benutzer ermöglicht, einen Kartenausschnitt des Anbieters A und des Anbieters B zusammen darzustellen. Nehmen wir weiter an, dass die Anbieter A und B bestimmte Zugriffsbeschränkungen für die Abfrage der Kartenausschnitte durchsetzen. Damit nun für den Benutzer die erforderliche kombinierte Nutzung möglicht ist, benötigt er bestimmte Zugriffsrechte beim Anbieter A und beim Anbieter B. Durch die SSO Lösung hat der Benutzer nur eine einzige Identität für die Anbieter A und B. Die erforderliche  Zugriffsrechte-Harmonisierung kann somit an zentraler Stelle erfolgen.

Neben dieser Möglichkeit, behindert die SSO Lösung den Benutzer so gering wie möglich. Denn er muss sich ja nur einmal anmelden und kann dann seine Identität für alle Services verwenden. Würde z.B. die Basic-Authentication verwendet, wie sie von Web Servern bekannt ist, so müsste sich der Benutzer bei jedem zugriffsgeschütztem Service anmelden. Zusätzlich wäre eine Harmonisierung der Zugriffsrechte schwieriger, denn Zugriffsrechte können ja nur an die lokal verfügbaren Identitäten gebunden werden.

Für die Nutzung einer SSO Lösung ist allerdings ein entsprechender Service erforderlich, der die Anmeldung durchführt und entsprechende Zusicherungen für andere übernimmt. Im SAML Standard wird der Betreiber eines SSO Service auch Identity-Provider bezeichnet. Der oder die Service-Betreiber werden als die Relying-Party oder Service-Provider bezeichnet.

Speziell für die Verwendung von OpenGIS® Web Services, mit denen nicht über SOAP sondern "nur" über HTTP-GET kommuniziert werden kann, beschreibt der SAML Standard die Umsetzung einer SSO Lösung im sog. Browser-Profile. Zur Übertragung der Identitätsinformationen zwischen Client (z.B. WMS Client) und einem Service (z.B. WMS Service) wird ein sog. SAML-Artefakt verwendet. Dies wird konform zur HTTP-GET Schnittstelle als eigenes Key-Value-Pair (SAMLart=...) übertragen. Dies ist standard-konform zu den OpenGIS® Web Service Schnittstellen, die die Verwendung eines sog. vendor-specific-paramters erlauben. Weitere Informationen und eine Demonstration erhalten Sie unter www.GeoXACML.org.