A pesar de que la frase "identidad federada" o "federación de identidades" está en boca de todos, aún hay muchas dudas y malentendidos sobre el concepto y la tecnología que hay debajo, sobre todo porque creo que hay poca documentación que proporcione un nivel de entrada asequible a este mundo. Voy a intentar aportar mi granito de arena sobre ello...

Todo el mundo posee identidad digital, es decir, una serie de datos asociados a su persona y que le definen ante diferentes instancias, como por ejemplo nombre, apellidos, NIF, teléfono, correo electrónico, etc. Solo que ninguno tenemos una identidad digital, sino que tenemos decenas de ellas: una en la empresa para la que trabajamos, una en nuestra compañía de telefonía móvil, una en nuestro banco, una asociada a nuestra tarjeta de crédito, una para nuestra tarjeta de viajero frecuente en alguna línea aérea, etc.

Supongamos que eres el presidente de tu propia compañía de telecomunicaciones y que planeas lanzar un nuevo servicio que incremente los ingresos de la empresa, digamos un servicio que permita consultar el buzón de voz por Internet. Para hacer esto, habrás de utilizar conjuntamente toda una serie de servicios ya existentes: ventas, provisión, soporte técnico, facturación, etc. y que además están externalizados a otras empresas u otras unidades de negocio dentro de tu compañía. Con estas premisas comienzas a elaborar la descripción del nuevo servicio.

En primer lugar, tu nuevo servicio de buzón de voz online deberá ser capaz de usar el resto de servicios mencionados de forma que tu cliente perciba un único servicio. Sin embargo, dicho cliente probablemente tenga diferentes identificadores de usuario y contraseñas para la autenticación en cada uno de esos servicios y además tu no querrás suministrar datos de tus clientes a tus empresas colaboradoras externas, por motivos de negocio. Lo que necesitas es poder decirle a los diferentes poseedores de los servicios (partners o unidades de negocio internas): "Este cliente es quien dice ser (yo os lo aseguro). Dejadle utilizar el servicio correspondiente".

Para poder hacer esto, todos los participantes deben convenir una serie de reglas y protocolos para comunicarse y además fijar ciertos niveles de seguridad en las comunicaciones, privacidad de los datos del cliente y cumplimiento de las normativas legales correspondientes (no querrías que lanzar tu nuevo servicio te llevara directamente a la cárcel).

El primer enfoque que uno puede imaginar es implementar integraciones punto a punto entre los diferentes proveedores; es fácil deducir que esto es muy complejo y costará mucho dinero, además de ser un planteamiento incapaz de crecer o de responder a cambios de forma ágil, especialmente si las infraestructuras de TI de los proveedores son muy diferentes entre sí.

Por tanto, se hace indispensable algún tipo de procedimiento automatizado. Si pensamos en como funciona un servicio de fax, tendremos la clave: uno teclea el número de fax y pulsa un botón; las máquinas hacen el resto, negociando como intercambiarán la información en función de sus respectivas capacidades.

Es decir, necesitamos algo que posibilite a los distintos sistemas de gestión de identidad de los participantes negociar automáticamente, basándose en sus capacidades, como se intercambiarán ciertos datos de identidad de los usuarios (obviamente no el identificador de usuario y la contraseña), garantizando en el proceso la seguridad, privacidad de los datos y el cumplimiento de la ley. Esto es exactamente lo que permite la federación de identidades.

La identidad federada facilita de esta forma a las compañías crear nuevas oportunidades de negocio (nuevos servicios) que incrementen sus ingresos, ahorrando de paso costes al facilitar la externalización de aquellos servicios necesarios pero fuera del núcleo de su negocio y aumentando la satisfacción de los clientes haciéndoles la vida más fácil.

Sun dispone de una solución completa para desplegar infraestructuras de identidad federada:

• Sun Access Manager proporciona control de acceso a las aplicaciones basado en políticas y proporciona autenticación y single-sign on entre ellas, tanto en entorno intranet como extranet (esto es, entre los distintos partners).
• Sun Identity Manager permite realizar la provisión de cuentas de usuario en los diferente sistemas.
• Sun Directory Server Enterprise Edition proporciona un repositorio LDAP altamente escalable para los datos de los usuarios
• Sun Federation Manager posibilita extender el entorno de identidad federada a aquellos partners que requieran una solución sencilla y de bajo coste.

En sucesivos posts profundizaré en aspectos técnicos de la identidad federada: como se enlazan mis diferentes identidades entre sí, como se garantiza la privacidad de mis datos y como se consigue desplegar servicios de forma segura y con single-sign on entre ellos.