13 Alfonso Gonzalez

785 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
785
On SlideShare
0
From Embeds
0
Number of Embeds
27
Actions
Shares
0
Downloads
14
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

13 Alfonso Gonzalez

  1. 1. Identidad 2.0 Alfonso González Sun Microsystems 8-oct-2007
  2. 2. Agenda Fede ración de iden ade s d ● S e guridad en servicios we b ● Libe r We b S e rvice s Frame w o rk Tokens y WS -S e c uri
  3. 3. Federación de identidades
  4. 4. Primero fue el Single Sign-on web Aplicaciones WAM · AuthN Portal · AuthZ · SSO
  5. 5. Ventajas Visión unifi c ada de los servicios , e s de c ir, de la compañía ● Mejo r expe rienc ia de usuario ● Mayor seguridad ● Efic ie nc ia: nuevos s e rvicios , adminisac ión ● Re duc c ión de coss ● La cuestión es: ¿C ómo extender estas ventajas a un entorno ● de trabajo extranet con partners?
  6. 6. Objetivo: eliminar 'silos' de identidad
  7. 7. ¿Qué es la federación de identidades? S u objevo primario cons e guir la au ac ión única e nc ● (S ingle Sign-on) e ne un conjun sio s we b afiliados de S e basa en una relación de confi a ene e
  8. 8. o s anz ● Co ns is e n la unión o enlace “virtual” en diferen s e las ● porcione s de la iden dad de un usuario (típicamen c ue ntas de acc e s o ) que es tán repar e ne dichos das s io s afiliados – El término “virtual” hace referencia a que no se inrcamb ian da privados de l usuario para s e s table c e r esta asociación
  9. 9. Identidad centralizada vs. federada Idendad y perfi s e n un le Idendad y perfi s e n si s le o ● ● repos irio ce nal dis ns C o ns o lidación en reposi io r S in con l cenalizad o o ● ● único Enlaza enrnos muy diverso s ● C o no l cenalizad o Exns ible a la ex t ane ● ● Idóne o e n enrno c o rpo ravo ● Proveedor Gobiern Banco Central o Viajes Seguros Retail Telco Servicio de Identidad Federada Servicio de Identidad Centralizada
  10. 10. Estándares Liber A
  11. 11. ance i ● WS -Fede rao n ● – Aun no estándar, impulsado por Microsoft e IBM – Inrorpe rable con Liber Ope n-ID, PAPI, etc. ● – Po pulare s e n enrnos e duc avo s (PAPI) o Web 2.0 (Ope n-ID)
  12. 12. ¿Qué es Liberty Alliance? Liberty Alliance es el único organismo a nivel global que se encarga de definir e impulsar estándares tecnológicos abiertos y nuevos modelos de negocio para la gestión de la identidad federada www.projectliberty.org
  13. 13. Principales miembros Una alianza en comp añías (más de 150) para guiar el desarro
  14. 14. de es tándare s e o c no lógico s que permitan cons arqui turas bas adas e nw e b s e rv ic e s c o n uir c ide ndad federada Miembros de mayor rango:
  15. 15. Principales actividades Des arro
  16. 16. o de es pe c ific ac ione s ● – “Liber Fede rao n” -- bas ada en SAML (OASIS) – “Liber We b S e rvice s ” -- in e s uc tura para la consc ión de web a uc s e rvice s e inrface s e s pe c ífic as Tratamien de aspe c s de negocio relacionado s ● – Temas ge né ricos : le gale s , riesgo , e tc. – Mercado s ve rc ale s : Mobile, 401k, ... G uías para cumplimiende norma as v ● – Co ntacs c o n organismos reguladores tanpúblicos c o mo privados – Doc ume ntación sobre ‘mejores prác as ’ e n cuan a privacidad de los c das Cumplimien de l estándar: inr-ope rabilidad ● – Ase guramien de un mercado de producc e rfic ado s , pero s manniendo la compe nc ia – Más de 25 producs c e rfic ado s
  17. 17. El papel de Sun Catalizado r del proyecLiber A
  18. 18. ance i ● – C o ndado r en sepe mb re de 2001 – Miembro de l Comité Direcvo de la alianza Primera compañía en implementar las espe c ific ac ione s ● e n un produco me rcial y primer produce rfic ado c c “Liber Inrope rable ”: Sun Access Manager Líde r en el desarro
  19. 19. de SAML o ● – OASIS SS TC Chair Elevada, y cre c ie n , inve rsión in na en Gesó n de r ● Idendad y r s o po r de la no logía a nivel e c c o rpo ravo – Proye c Ope nS S O/Ope nFede rao n
  20. 20. Especificaciones de Liberty Liberty Identity Services Interface Specifications (ID-SIS) Liberty Identity Federation Proporciona servicios web concretos para facilitar la inter- Framework (ID-FF) operabilidad: personal identity profile, alertas, calendario, monedero, contactos, localización geográfica, presencia, etc. Federación de identidad y Liberty Identity Web Services Framework gestión de sesiones: (ID-WSF) ●Enlace entre cuentas Proporciona un entorno de creación de de web services ●SSO basados en identidad: intercambio de atributos sujetos ●Single Log-out a permisos, descripción y descubrimiento de servicios y los perfiles de seguridad asociados Especificaciones basadas en estándares de la industria: (SAML, SOAP, WSS, XML, etc.)
  21. 21. El concepto de Círculo de Confianza Identity Provider • Entidades de confianza • Infraestructura de autenticación Acme • Mantiene únicamente las credenciales SCorp SP1 de autenticación • Ofrece servicios de valor añadido (opcional) IDP 1 XXX SP3 Foo SP N Service Providers / Afiliaciones Bar • Ofrecen servicios a los usuarios finales Círculo de Confianza • No tienen por qué invertir en infraestructura de autenticación • Acuerdos de negocio • SLAs
  22. 22. Federación de identidades Co no lada por el ● juanperez usuario ID 1: GtvFCD34oIPFgTRs IdP ID 2: 5TC904KDJ7463H3 Exis n opcione s ● de federación “en bloque ” (no c o n mp ladas e n Liber) El “iden ado r fic SP1 ● o pac o ” (O p a q u e jperez4 jp123456 ID: 5TC904KDJ7463H3 ID: GtvFCD34oIPFgTRs Han d le r) e s e l Nombre: Juan Perez SP 2 Nombre: Juan Perez email: jperez4@sp2.com único da Dirección: Gran Vía, 13 ... ... c o mp ardo e ne IdP y SP
  23. 23. Tecnología fundamental: SAML S e c u rity A s s e rtio n Ma rku p La n g u ag e ● Des arro
  24. 24. ado por OASIS (oasis-ope n.o rg) ● Estándar para in rcamb io de información sobre ● s e guridad Facilita la in gración de aplicaciones ● S e basa en el in rcamb io de “ase rcione s ” para la ● au nc ac ión y au rización de usuarios y manejo de aibus Uso s : ● – S S O e s tándar – Fede ración de iden dade s de no de Liber
  25. 25. Ejemplo: Single Sign On Exis n varios profi s e n c ión del modelo de acces o le n ● Co mo e je mp lo s e muesa el Browser Ar t Profi fac le ● – Hace uso de redirecciones HTTP (302) y SOAP ene los provee do res Navegador Service Identity web Provider Provider Petición de acceso a servicio Redirección al IdP Petición de autenticación Página de Login Se crea la Autenticación aserción, Artefacto referenciada por el artefacto, y se Petición de URL + Artefacto guarda Petición de autenticación + Artefacto Aserción Canal El SP guarda la El usuario accede al servicio SOAP aserción
  26. 26. Seguridad en entornos de Web Services
  27. 27. Planteamiento del problema Contexto seguro Web Services Web Services Intermediario Client (WSC) Provider (WSP)
  28. 28. Aproximaciones Tokens ● – WS -Inrope rabili Tokens – Libe r S e c uri Tokens Liber We b S e rvice s Framewo rk ●
  29. 29. Security Tokens Liber S e c uri Tokens ● – X.509 Token Issuing/ – Be are rToken Validation – S AMLToken – ... We b S e rvice s -Inrope rabili ● Bas ic S e c uri Profile S e c uri Tokens Web Services Web Services – Use rName Client (WSC) Provider (WSP) – X.509 – S AML-Holder-Of-Key – S AML-Sende rVouche s – ...
  30. 30. Liberty Web Services Framework ID-WSF permic o ns uir servicios we b que neces in ● manejar la iden dad, jun c o n los clien s ade c uado s para su invocación G aranza seg uridad estándar exe mo a exe mo para la ● invoc ac ión dew e b s e rv ic e s Propo rciona solucione s para ● – Aunc ac ión – Pro c c ión de los mensajes – Des c ubrimien e invocac ión – Po líc as – Proc o los de inrcamb io de das
  31. 31. Ejemplo: Personal Profile Service Es uno de los se rvicios incluidos c o mo e s tándar deno ● de l Iden S e rvice s Inrface Spe c ific ao n (ID-SIS) de Liber Pe rmi o b ne r das de un usuario ● Opc ionalme n , puede solicitarse aurización expres a ● de l usuario en el momen n que un proveedor solici e los das al Personal Profi Service le
  32. 32. Ejemplo: Personal Profile Service IdP Discovery Service 1.- El WSC solicita al DS la oferta de servicios del usuario, junto con las credenciales necesarias para 1 la invocación Personal Profile 2 Web Services Service Client SP 2.- El WSC solicita el 2 dato al Personal SP Interaction Profile Service 1 Service
  33. 33. Ejemplo: Personal Profile Service IdP Discovery Service 4.- El Interaction Service solicita información adicional Personal al usuario Profile Web Services Service 4 Client 3.- El WSC es SP redirigido al 2 SP Interaction Service Interaction 1 Service 3
  34. 34. Ejemplo: Personal Profile Service IdP Discovery Service 6.- El PPS suministra el dato pedido al WSC y éste lo muestra al usuario solicitante Personal Profile 6 Web Services Service 6 Client 5 SP 2 Interaction SP 5 1 Service 5.- El usuario suministra al Interaction Service las credenciales solicitadas y éste le redirige de nuevo al PPS
  35. 35. ¡Gracias! alfonso.gonzalez@sun.com

×