На саммите по «облачным» удостоверениям в 2012 году аналитик из Kuppinger Cole Крейг Бертон официально провозгласил кончину SAML – языка разметки подтверждения безопасности. Это заявление вызвало всеобщий переполох, поскольку SAML – наиболее распространенный стандарт обмена данными по аутентификации в мире веб-служб. В последующих дебатах выработалось мнение, что о кончине SAML говорить пока рано, но импульс для будущих реализаций сдвинулся в сторону таких стандартов, как OAuth 2.0, OpenID Connect и SCIM. Другими словами, рост числа служб на базе SAML замедляется и будет продолжать замедляться. Коллега Бертона, аналитик Дэйв Кирнс, составил хороший обзор дебатов о «кончине SAML» (blogs.kuppingercole.com/kearns/2012/07/31/the-death-and-life-of-a-protocol/). Некоторые с тех пор подхватили идею «кончины», особенно применительно к стандарту авторизации XACML.
Должен признать, что Kerberos находится в аналогичной ситуации. .
Аутентификация на предприятиях
Сегодня Kerberos доминирует в корпоративной среде. Этот протокол безопасности появился в 2000 году, когда были выпущены Windows 2000 Server и каталог безопасности Active Directory (AD) и когда стала расти популярность AD и приложений с поддержкой AD (и, соответственно, выросла популярность Kerberos). С тех пор Kerberos является основным протоколом безопасности в средах, ориентированных на использование продуктов Microsoft; он обрабатывает проверку подлинности и передает данные авторизации доменным ресурсам.
В то время, когда Kerberos был выбран в качестве протокола аутентификации AD, в середине и в конце 1990-х гг., всемирная компьютерная сеть мало напоминала то, чем сегодня стало интернет-пространство. Хотя билет Kerberos содержал зашифрованное значение (хеш) пароля, открытое для атак, каких-либо особых требований по обеспечению поддержки за надежно защищенными границами корпоративного брандмауэра не существовало.
Аутентификация в пространстве веб-служб
Рост популярности «облачных» служб меняет многие аспекты нашей жизни. Ввиду упомянутой уязвимости паролей, эти службы не поддерживают внешнюю аутентификацию по протоколу Kerberos. Веб-служба, основанная на стандартах, применяет аутентификацию на основе утверждений с использованием SAML 2.0 или (в последнее время все чаще) OAuth 2.0 and OpenID Connect. Microsoft Azure Active Directory не использует Kerberos, а в качестве протокола аутентификации поддерживает SAML и OAuth 2.0.
Я не хочу сказать, что веб-службы переходят на стандарты с той же основательностью, с какой в закрытой модели безопасности Windows Server был реализован Kerberos. Это далеко не так. У веб-служб есть стандарты, но их фактическое внедрение – отдельный вопрос. Заставить поставщика «облачной» службы перейти на стандарты так же сложно, как дрессировать рыб. Беглый обзор сотен SaaS-приложений на портале IDaaS OneLogin показывает, что лишь небольшой процент из них поддерживают стандарты федерации удостоверений. Остальные используют аутентификацию на основе форм – другими словами, учетные записи и пароли. Вот почему так важно, чтобы сами клиенты стимулировали внедрение стандартов, дабы не усугублять проблему слишком большого числа паролей.
Microsoft и переход в «облако»
Даже внутри экосистемы Microsoft наблюдается отход архитектур программного обеспечения от Kerberos, обусловленный переходом на «облако». Помимо локальных версий, партнеры Microsoft разрабатывают гибридные или исключительно «облачные» версии своих продуктов. Сама же Microsoft целиком ориентирована на «облако», активно развивает портфель «облачных» служб и (менее быстрыми темпами) поддержку стандартов «облачных» удостоверений. AD – яркий тому пример.
В Windows Server 2012 R2 наиболее заметные усовершенствования платформы AD были сделаны для служб федерации Active Directory (AD FS), но не для служб доменов Active Directory (AD DS). AD FS – это служба проверки подлинности поверх AD DS, распространяющая возможности AD DS на мир веб-служб, поддерживающих SAML 2.0 и (в реализации Windows Server 2012 R2) OAuth 2.0.
В центре основного сценария с участием удостоверений в Windows Server 2012 R2 – возможность доступа к корпоративным ресурсам с устройств iOS изнутри или извне корпоративной сети. Известное под названием Workplace Join (один из компонентов сценария), это соединение работает только для веб-ресурсов – например, веб-сайтов, таких как веб-клиент Outlook (Outlook Web Access – OWA), использующих встроенную проверку подлинности Windows, или серверов, таких как SharePoint, сегодня поддерживающих аутентификацию на основе утверждений. SMB и Kerberos в этом сценарии не поддерживаются. Один мой знакомый называет это распространение локальных веб-служб «SaaS’ификацией предприятий».
Новые возможности доступа к веб-ресурсам были реализованы за счет крупных усовершенствований AD FS и новой прокси-службы, но не за счет каких-либо улучшений в AD DS. Для AD DS в Windows Server 2012 R2 были внесены лишь небольшие изменения, не имеющие решающего значения. Это зрелый продукт.
Пока жив!
Как и SAML, Kerberos не собирается сходить со сцены в ближайшем будущем. Пока существуют домены и леса AD DS, найдется работа и для Kerberos. Даже если локальные леса AD DS уступят место «облачным» сервисам, что маловероятно, бесчисленные леса продолжат функционировать в открытых «облачных» IaaS-инфраструктурах. Однако разработчики будут все больше смещать фокус в сторону «облачных» служб в ущерб локальным приложениям.
Это также означает, что ИТ-специалисты должны иметь представление о новых стандартах, по крайней мере, в части настройки и поддержки. Чем лучше вы сможете разъяснить особенности изменившегося мира своему руководству, тем выше будет ваша ценность как профессионала.