Korean Identity Management(KIM)

title; Recapping the Catalyst user-centric interop
link; http://identityblog.burtongroup.com/bgidps/2007/08/recapping-the-c.html

지난 6월에 개최된 Catalyst 컨퍼런스에서 User-Centric Identity Interop가 열렸다는 내용은 지난 번에 소개드렸습니다. 관련 스펙과 결과 또한 소개했죠. 행사를 주최한 버튼 그룹에서 이번 상호운용성 시험 결과 및 도출된 이슈에 대해 포스팅하였습니다.

상호운용성 시험에는 24개의 단체 및 개인, 7개의 IS(Identity Selector), 12개의 IDP, 25개의 SP가 참여했습니다. IDP가 IS에게 토큰을 발행하는 절차, IS가 직접 만든 토큰 또는 IDP에서 발급받은 토큰을 이용하여 SP에 로그인하는 절차가 테스팅되었습니다.

The participants brought 7 Identity Selectors to the interop event:

• 3 Higgins selectors, Ian Brown's Safari plugin selector, the Microsoft Windows Cardspace selector, an early version of an upcoming version of the Microsoft Windows CardSpace selector, the XMLDAP.org selector.

12 Identity Providers were tested during the interop event; again in alphabetical order, these were:

• Bandit Wag IDP, FuGen's Test IDP, the Higgins IDP, IBM IDP, the Internet2 Shibboleth IDP, Kim Cameron's Identityblog HumanPresent IDP, Microsoft Age STS IDP, Microsoft's Windows Live Labs IDP, the Ping Identity SignOn.com IDP, the Verisign IDP, the WSO2 IDP, the XMLDAP IDP,

25 Relying Parties were tested during the interop event; these were:

• 2 Bandit RPs, the BMC RP, the CA RP, the FuGen Social Photos RP, the Higgins RP, the IBM RP, the Internet2/University of Washington RP, 2 Kim Cameron Identityblog RPs, 2 Windows Live Labs RPs, the Microsoft Age STS RP, the Microsoft Fabrikam Friends RP, the NetMesh RP, 2 Pamela project RPs (one for Joomla, one for Wordpress), the Oracle RP, the Ping Identity RP, the Sxip Access RP, the Verisign RP, 2 WSO2 RPs, the XMLDAP RP, the CardSpaceDemos.com FriendsWithCards RP

대부분의 테스팅은 성공적으로 수행되었다고 합니다. 100%가 아니라는 말이죠. 테스팅 과정에서 여러가지 문제가 발생하였는데, 대부분은 스펙을 좀 더 상세하게 명세하면 해결될 문제들입니다. 하지만 암호화 알고리즘이나 일관적인 UX 제공은 스펙으로 해결되기 어렵습니다. 특히 제품마다 다른 철학과 구동방식, UI를 가지기 때문에 일관적인 UX 제공은 어려울 것 같네요.

1. Claim 유효성 검증 절차와 관련된 스펙 없음.
2. Claim의 네임스페이스 문제
3. 요청한 내용과 실제 발급받은 token 내용이 다른 경우
4. Card 생성 및 import 절차와 관련된 스펙 없음
5. saml, base64, xml cononicalization, soap 라이브러리 호환성으로 인한 문제
6. IDP 인증서 관련 문제
7. 암호화 알고리즘 문제(ex. US export controls)
8. IDP와 SP간의 시간 비동기화 문제
9. 일관적인 사용자 경험(UX)을 제공하지 못함

user-centric id 관리 분야는 급격하게 진행되고 있지만 실제로 사용자가 실감할 수 있는 단계는 아닙니다. cardspace가 가장 활성화되기 쉬운 위치에 있지만, .NET 프레임워크와 IE7이라는 제약사항이 단점입니다. 기업에서 적용하기에는 더 많은 시간이 걸릴 것 같네요.

While it is still fair to say that user-centric identity technology is in its infancy, if progress continues at this rate the technology should be ready for enterprise adoption within a year.