miércoles nov 22, 2006
- Lanzamiento de Sun Access Manager 7.1
- Servicios web en Liberty
- Identidad federada en PHP
- Nuevos servicios de Sun para Gestión de Identidad
- SAML vs. WS-Federation
- Federación con PAPI y Sun Access Manager
- Federación de cuentas en Liberty
- El enfoque modular de la gestión de identidad
- Evento SistelDay 2006, Sevilla
- Federación/Liberty: Conceptos básicos
- Proyecto Open SSO: Open Federation ya disponible
- Identidad federada: Qué es y para qué sirve
Suscripción entradas
Las visitas de hoy a la página: 11
miércoles nov 22, 2006
Liberty Alliance define dos grupos de especificaciones relacionadas con la federación de identidades:
- Identitity Federation Framework (ID-FF).
- Identity Web Services Framework (ID-WSF) e Identity Services Interface Specification (ID-SIS).
ID-FF fue la primera especificación Liberty en aparecer y define los roles de las entidades participantes en un entorno de identidad federada, así como los protocolos necesarios para efectuar las operaciones siguientes:
- Federación (asociación) de cuentas.
- Single Sign-on.
- Single Log-out.
- De-federación de cuentas.
El concepto fundamental en ID-FF es el círculo de confianza (Circle of Trust), un conjunto de entidades (compañías, departamentos, admones. públicas, etc.) que han firmado un acuerdo de negocio para suministrar una serie de servicios a sus usuarios comunes, basado en una relación de confianza entre ellos, en principio a efectos de la autenticación de dichos usuarios.
Es fundamental entender que este acuerdo previo, en el que probablemente se contemple la definición de qué servicios concretos se ofrecerán a los usuarios del círculo de confianza, es un paso fundamental, sin el cual no es posible utilizar los estándares tecnológicos definidos por Liberty Alliance. En otras palabras, la confianza a la que se hace alusión en el término se sustenta en este acuerdo rubricado entre los participantes.
Los participantes en el círculo de confianza son, además de los propios usuarios, de dos tipos (ver diagrama a continuación):
- Identity Provider (IdP): dispone de toda la infraestructura necesaria para la autenticación de los usuarios federados en el círculo de confianza, aunque no necesita ningún dato privado de los mismos, salvo las credenciales necesarias para autenticarlos. El resto de entidades participantes depositan su confianza en él respecto a la validez de la autenticación de los usuarios.
- Service Provider (SP): ofrece servicios conjuntos con otros participantes como él, pero delegando toda la autenticación en el IdP y manteniendo una infraestructura Liberty mínima.
Para el acceso de los usuarios, Liberty define dos conceptos:
- Liberty-enabled Client: aplicación que es capaz de comunicarse con el IdP que el usuario desea usar para autenticarse.
- Liberty-enabled Proxy: es un proxy HTTP (habitualmente un gateway WAP) que emula un cliente como el anterior.
Comentarios: