jueves dic 14, 2006

Federación de cuentas en Liberty

El término "federación de identidades" es, paradójicamente, uno de los principales causantes de la dificultad en entender los conceptos relacionados con la identidad federada y es debido a que se trata de una mala traducción del inglés "identity federation". Si en su lugar dijéramos "asociación de identidades" o "enlace entre identidades" dispondríamos de un nombre mucho más descriptivo.

La asociación entre las cuentas que un usuario determinado posee en diferentes sitios es el fundamento de los servicios que es posible construir usando las especificaciones de Liberty Alliance. En ellas, en concreto en el Identity Federation Framework (ID-FF), se explica como es posible establecer dichos enlaces sin intercambio de información sensible entre los participantes. Vamos a ver cómo funciona este mecanismo supuestamente mágico de relacionar las cuentas.

La idea de federar las cuentas es obtener una identidad única, de forma que todos los participantes perciban al usuario como una entidad homogénea y no como un conjunto de porciones de información sin relación entre ellas. El mecanismo que Liberty proporciona para ello se denomina identificador opaco y consiste en un código alfanumérico sin significado propio que representa el enlace o asociación entre la cuenta del usuario en un Service Provider y la que posee en el Identity Provider. Como se aprecia en la figura, el IdP es el único que posee todos los identificadores y conoce por tanto las relaciones entre cuentas. De esta forma un SP es capaz de hacer referencia al usuario sin conocer de él más que sus propios datos, nunca los albergados en otros proveedores (salvo que el propio usuario lo consienta, pero eso es otra historia de la que hablaremos en el futuro).

Todo esto, junto con el hecho de que los identificadores pueden ser incluso, si se desea, de un solo uso (es decir, se crea uno nuevo en cada autenticación) para impedir que un SP pueda trazar los accesos de un usuario, garantiza la privacidad de los datos. Además, las federaciones (asociaciones) son establecidas por el propio usuario la primera vez que se requieren (posiblemente camufladas como algún tipo de acuerdo de condiciones de servicio, por ejemplo) y también pueden ser revocadas por él en cualquier momento. Existen mecanismos para federar las cuentas de forma masiva entre todos los proveedores, pero no son estándar y dependen por tanto del producto comercial que se escoja (por ejemplo, Sun Access Manager y Sun Federation Manager disponen de una funcionalidad denominada bulk federation que consigue precisamente esto).

About

alfonso

Search

Archives
« abril 2014
lunmarmiéjueviesábdom
 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
    
       
Hoy