13 alfonso gonzalez
DESCRIPTION
TRANSCRIPT
Identidad 2.0Alfonso GonzálezSun Microsystems
8-oct-2007
Agenda● Fede ración de identidade s● S e guridad en servicios we b
> Liberty We b S e rvice s Framework> Tokens y WS -Se curity
Federación deidentidades
Primero fue el Single Sign-on web
PortalWAM· AuthN· AuthZ· SSO
Aplicaciones
Ventajas
● Visión unificada de los servicios , e s de c ir, de la compañía● Mejor experienc ia de usuario● Mayor seguridad● Efic iencia: nuevos s e rvicios , administrac ión● Reduc c ión de costes● : La cuestiónes ¿Cómoextenderestasventajasaunentorno
?de trabajoextranet conpartners
Objetivo: eliminar 'silos' de identidad
¿Qué es la federación de identidades?
● Su objetivo primario fue cons e guir la autenticac ión única (S ingle Sign-on) e ntre un conjunto de sitio s we b afiliados
● Se basa en una relación de confianza entre ello s● Cons iste en la unión o enlace “virtual” entre las diferentes porcione s de la identidad de un usuario (típicamente cue ntas de acc e s o ) que es tán repartidas e ntre dichos s itio s afiliados– El término “virtual” hace referencia a que no se
intercamb ian datos privados de l usuario para e s table c er esta asociación
Proveedor Central
Servicio de Identidad Centralizada
BancoGobiern
o
Seguros
Telco
Viajes
Retail
Servicio de Identidad Federada
Identidad centralizada vs. federada
● Identidad y perfile s en sitio s distintos
● S in control centralizado● Enlaza entornos muy diverso s● Extens ible a la extrane t
● Identidad y perfile s en un repos itorio ce ntral
● Cons o lidación en repositorio único
● Control centralizado● Idóne o en entorno corporativo
Estándares
● Liberty Alliance● WS -Fede ration
– Aun no estándar, impulsado por Microsoft e IBM– Interorpe rable con Liberty
● Ope n-ID, PAPI, etc.– Populare s en entornos e duc ativo s (PAPI) o Web 2.0 (Ope n-ID)
¿Qué es Liberty Alliance?
Liberty Alliance es el único organismo a nivel global que se encarga de definir
e impulsar estándares tecnológicos abiertos y nuevos modelos de negocio para la gestión de la identidad federada
www.projectliberty.org
Miembros de mayor rango:
Principales miembrosUna alianza entre comp añías (más de 150) para guiar el desarrollo de es tándare s te cno lógico s que permitan construir arquitec turas bas adas en w e b s e rv ic e s con ide ntidad federada
Principales actividades
● Des arrollo de es pe c ificac ione s– “Liberty Fede ration” -- bas ada en SAML (OASIS)– “Liberty We b S e rvice s ” -- infrae structura para la construcc ión de web
s e rvice s e interface s e s pe c íficas● Tratamiento de aspe ctos de negocio relacionado s
– Temas ge né ricos : le gale s , riesgo , e tc.– Mercado s ve rticale s : Mobile , 401k, . . .
● Guías para cumplimiento de normativas– Contactos con organismos reguladores tanto públicos como privados– Docume ntación sobre ‘mejores prácticas ’ en cuanto a privacidad de los
datos● Cumplimiento de l estándar: inter-ope rabilidad
– Ase guramiento de un mercado de productos c e rtificados , pero manteniendo la competencia
– Más de 25 productos c e rtificado s
El papel de Sun
● Catalizador del proyecto Liberty Alliance– Cofundador en septie mbre de 2001– Miembro de l Comité Directivo de la alianza
● Primera compañía en implementar las espe c ificac ione s en un producto come rcial y primer producto c e rtificado “Liberty Interope rable ”: SunAccessManager
● Líder en el desarrollo de SAML– OASIS SS TC Chair
● Elevada, y crec iente , inve rsión interna en Gestión de Identidad y fue rte s opo rte de la tecno logía a nivel corporativo– Proye cto Ope nSS O/Ope nFede ration
Liberty Identity Federation
Framework (ID-FF)
Federación de identidad y gestión de sesiones:●Enlace entre cuentas●SSO●Single Log-out
Liberty Identity Services Interface Specifications (ID-SIS)
Proporciona servicios web concretos para facilitar la inter-operabilidad: personal identity profile, alertas, calendario, monedero, contactos, localización geográfica, presencia,
etc.
Liberty Identity Web Services Framework (ID-WSF)
Proporciona un entorno de creación de de web services basados en identidad: intercambio de atributos sujetos a permisos, descripción y descubrimiento de servicios y
los perfiles de seguridad asociados
Especificaciones basadas en estándares de la industria: (SAML, SOAP, WSS, XML, etc.)
Especificaciones de Liberty
SP3
Acme
Foo
XXX
SP1
SP NBar
SCorp
IDP 1
Identity Provider• Entidades de confianza• Infraestructura de autenticación• Mantiene únicamente las credenciales de autenticación• Ofrece servicios de valor añadido (opcional)
Service Providers / Afiliaciones• Ofrecen servicios a los usuarios finales• No tienen por qué invertir en infraestructura de autenticación
Círculo de Confianza• Acuerdos de negocio• SLAs
El concepto de Círculo de Confianza
Federación de identidades
SP1
SP 2
IdP
jp123456ID: GtvFCD34oIPFgTRsNombre: Juan PerezDirección: Gran Vía, 13. . .
jperez4ID: 5TC904KDJ7463H3Nombre: Juan Perezemail: [email protected]. . .
juanperezID 1: GtvFCD34oIPFgTRsID 2: 5TC904KDJ7463H3
● Contro lada por el usuario
● Existen opcione s de federación “en bloque ” (no contempladas en Liberty)
● El “identificador opaco ” (Op aq u e Hand le r) e s e l único dato compartido e ntre IdP y SP
Tecnología fundamental: SAML
● S e c u rity A s s e rtio n Ma rku p La n g u ag e● Des arrollado por OASIS (oasis-ope n.o rg)● Estándar para intercambio de información sobre s e guridad
● Facilita la integración de aplicaciones● Se basa en el intercambio de “ase rcione s ” para la
aute nticac ión y autorización de usuarios y manejo de atributos
● Uso s :– SS O e s tándar– Fede ración de identidade s de ntro de Liberty
Ejemplo: Single Sign On
Aserción
Petición de autenticación + Artefacto
Navegadorweb
ServiceProvider
IdentityProvider
Petición de acceso a servicio
Redirección al IdP
Petición de autenticaciónPágina de Login
AutenticaciónSe crea la aserción, referenciada por el artefacto, y se guarda
Artefacto
Petición de URL + Artefacto
El usuario accede al servicio El SP guarda la aserción
Canal SOAP
● Existen varios profile s en función del modelo de acces o● Como e jemplo se muestra el Browser Artifact Profile
– Hace uso de redirecciones HTTP (302) y SOAP entre los provee do res
Seguridad en entornos de Web Services
Planteamiento del problema
IntermediarioWeb ServicesClient (WSC)
Web ServicesProvider (WSP)
Contexto seguro
Aproximaciones
● Tokens– WS -Interope rability Tokens– Liberty S e curity Tokens
● Liberty We b S e rvice s Framework
Security Tokens
● Liberty S e curity Tokens– X.509– Be are rToken– SAMLToken– . . .
● We b S e rvice s -Interope rability Bas ic S e curity Profile S e curity Tokens– Use rName– X.509– SAML-Holder-Of-Key– SAML-Sende rVouche s– . . .
Token Issuing/Validation
Web ServicesClient (WSC)
Web ServicesProvider (WSP)
Liberty Web Services Framework
● ID-WSF permite construir servicios we b que neces iten manejar la identidad, junto con los clientes ade cuado s para su invocación
● Garantiza seguridad estándar extre mo a extre mo para la invocac ión de w e b s e rv ic e s
● Propo rciona solucione s para– Autenticac ión– Prote c c ión de los mensajes– Des cubrimiento e invocac ión– Po líticas– Protoc o los de intercamb io de datos
Ejemplo: Personal Profile Service
● Es uno de los se rvicios incluidos como e s tándar dentro de l Identity S e rvice s Interface Spe c ification (ID-SIS) de Liberty
● Pe rmite o btener datos de un usuario● Opc ionalme nte , puede solicitarse autorización expresa
de l usuario en el momento en que un proveedor solicite los datos al Personal Profile Service
Ejemplo: Personal Profile Service
SP1
SP 2
IdPDiscovery
Service
PersonalProfileService Web Services
Client
1.- El WSC solicita al DS la oferta de servicios del usuario, junto con las credenciales necesarias para la invocación
2.- El WSC solicita el dato al Personal Profile Service
1
2
InteractionService
Ejemplo: Personal Profile Service
SP1
SP 2
IdPDiscovery
Service
PersonalProfileService Web Services
Client3.- El WSC es redirigido al Interaction ServiceInteraction
Service
4
4.- El Interaction Service solicita información adicional al usuario
3
Ejemplo: Personal Profile Service
SP1
SP 2
IdPDiscovery
Service
PersonalProfileService Web Services
Client
6.- El PPS suministra el dato pedido al WSC y éste lo muestra al usuario solicitante
InteractionService
5
5.- El usuario suministra al Interaction Service las credenciales solicitadas y éste le redirige de nuevo al PPS
665
