Al hilo de la publicación, más de tres años después de la última, de una nueva versión de WS-Federation, merece la pena hacer un breve análisis comparativo del estado del arte de esta tecnología y de SAML 2.0. Un buen punto de partida es este documento elaborado por el Gobierno de Dinamarca de cara a la adopción de una tecnología de federación de identidad. El documento es de lectura recomendada a pesar de estar en inglés, ya que más allá de lo interesante de su contenido, se trata de un análisis serio realizado por una entidad externa, lo que garantiza su neutralidad.

A modo de resumen, he aquí las principales conclusiones del estudio.

Cumplimiento de requisitos funcionales.

Los requisitos básicos que se planteó el Gobierno danés para comenzar el análisis fueron los siguientes:

• Posibilidad de uso de un sistema de autenticación común para todas las entidades involucradas.
• Single sign-on federado entre todas las entidades.
• Establecimiento de una infraestructura que sirva como base para la gestión de la identidad y los accesos en fases posteriores.
• Soporte para la interacción entre diferentes sistemas de control de autenticidad.

El estudio concluye que ambas tecnologías verifican estos requisitos, aunque WS-Fed más a nivel teórico (no existen aun experiencias en producción).

Disponibilidad de productos comerciales.

A excepción de Microsoft, todos los fabricantes en el mundo de la gestión de identidad disponen de productos que soportan SAML 2.0 o están en vías de hacerlo. Un pequeño subconjunto de estos soporta también el Passive Profile (es decir, web SSO) de WS-Fed.

Uso en producción en el sector público.

Existen varias referencias en producción con SAML 2.0: el Sikkerhetsportal noruego, el portal de la ciudad de Estocolmo, el portal del ciudadano en Francia o el portal del Servicio Nacional de Salud de UK (el mayor proyecto TI de Europa), entre otras. Los autores no han podido encontrar ninguna con WS-Federation, aunque asumen que habrá en un futuro cercano.

Comentarios de los analistas.

Tanto Gartner como Burton piensan que SAML 2.0 y WS-Federation se solapan y no son interoperables. En lo referente a requisitos específicos para federación de identidades, ambos recomiendan SAML 2.0.

Basado en estándares.

SAML 2.0 es un estándar de OASIS desde la primavera de 2005.

WS-Fed fue publicado en 2003 originariamente, pero aun no ha sido enviado a ningún organismo para su estandarización.

Interacción con otros estándares ya en uso.

Los autores identifican dos tecnologías fundamentales:

• XACML para la transmisión de información sobre derechos de acceso.
• SPML para la gestión del ciclo de vida de las identidades (i.e., provisión).

Existen protocolos descritos en XACML que explican su uso conjunto con SAML. Asimismo, se han desarrollado perfiles para la transmisión de información SPML a través de SAML. WS-Fed no dispone de ningún método descrito para el uso conjunto de estas tecnologías.

Desarrollo futuro del estándar.

Se espera una consolidación de ambas tecnologías en el futuro, aunque según los autores parte con ventaja SAML, debido a su mayor extensión en la actualidad.

Certificación de cumplimiento/interoperabilidad por algún organismo certificador.

Liberty Alliance dispone de pruebas de certificación para productos comerciales SAML 2.0. Actualmente no existe una entidad certificadora para productos que soporten WS-Federation.

Estas son las principales conclusiones del estudio, el cual, en mi opinión, es una descripción bastante exacta de la situación actual de ambas tecnologías.