Wozu braucht man mehr als einen Identitätsprovider?

In der Diskussion um den Wirtschaftportalverbund kam immer wieder die Frage auf, ob das USP der einzige IdP sein wird.
Wenn das USP das Ziel hat IdP für alle KMU und einen Teil der großen Unternehmen zu werden, und das USP als IdP im W-PV für B2B-Transaktionen gewünscht ist, stellt sich die Frage, wozu man dann noch andere IdP benötigt.
Die Antwort ist, kurz gefasst, die Notwendigkeit der Wahlfreiheit. Ausführlich begründet ist der Identitätsprovider (IdP) ist eine kritische Stelle im System, weil man ihm in folgenden Punkten vertrauen muss:

  • Bestätigungen von Authentifizierungen und Attributen werden nur für den Benutzer ausgestellt, der sich tatsächlich authentifiziert hat. (Problem: Eine Insider könnte einen Angriff ausführen, bei dem ein Bestätigung für eine unberechtigte dritte Person ausgestellt wird.)
  • Die Dienste werden nach einheitlichen, transparenten Regeln allen Service-Providern und Benutzern langfristig zur Verfügung gestellt, mit einem langfristig berechenbaren Entgeltmodell. Der IdP ist Teil des W-PV, dessen Teilnehmer des über ein definiertes Abstimmungsverfahren die Möglichkeit haben das Regelwerk des W-PV zu gestalten und fortzubilden. (Problem: Ein Monopol-IdP würde Dienste einschränken, einstellen, nicht den Regeln des W-PV anpassen oder unerwartet verteuern und damit die Investitionen in den Verbund gefährden)
  • Die in den Logdateien aggregierten Authentifizierungen von Benutzern bei Service Providern werden nicht nach Mustern ausgewertet, die Rückschlüsse über das wirtschaftliche Verhalten des Benutzers zulässt. (Problem: aus eine großen Anzahl von Daten könnte über Data Mining Wissen über den Benutzer extrahiert werden, das seiner Privatsphäre angehört.)

Darüber hinaus kann/wird es sein, dass Benutzer und Serviceprovider ein vielfältiges Angebot an Preisen, Service Levels, Haftungszusagen und -beschränkungen und technischen Protokollen vom IdP benötigen, die von einem einzelnen Anbieter nur schwer abgedeckt werden können.
Durch die Möglichkeit mehr als einen IdP im Verbund zu haben können die Teilnehmer den IdP entsprechend ihres Vertrauens und der sonstigen Anforderungen wählen.