El blog de los empleados
de Telefónica I+D

La denominada en el ámbito TIC como “Federación de Identidad o Identificación Única” proporciona los mecanismos para que una organización pueda aceptar usuarios que ya han sido autenticados en otras organizaciones y otorgarles acceso sin tener que gestionar de nuevo su identidad y sus credenciales. Su futura instauración promete revolucionar la forma de relacionarse en el mundo de los servicios.

Uno de los mayores problemas de la red, actualmente, es la consideración de los sitios como sitios independientes con funciones y servicios independientes. Sitios que obligan a los usuarios a registrarse y autentificarse de forma individual en cada uno de ellos. Esto hace que los usuarios reduzcan su seguridad al emplear siempre los mismos datos, o que simplemente apunten las credenciales de los sistemas al alcance de cualquiera.

Las infraestructuras federadas solucionan parte de este problema al permitir tener una única identidad alojada en un IdP (Identity Provider), que será aceptada en uno o más proveedores de servicio o SP (Service Provider). El conjunto formado por uno o más IdP’s y uno o más SP’s recibe el nombre de federación, y se caracterizan por tener una relación de confianza entre sus miembros, permitiendo la comunicación y validación de los datos del usuario de una manera segura.

Identidad digital

Se define identidad digital como el conjunto global de atributos que corresponden a un usuario repartidos entre distintas cuentas de usuario en distintos sistemas. Esta información incluye datos de distinta índole, como nombre, números de teléfono, número del D.N.I., dirección, información bancaria, etc. Es decir, para el usuario la identidad digital es la suma de datos sensibles a su persona, como pueden ser sus datos personales, académicos o financieros. Hoy día la identidad digital representa la capacidad para conocer a actores que forman parte de distintas organizaciones para gestionar mejor los servicios produciendo un resultado más satisfactorio para todos los implicados.

El problema creado por la dispersión actual de las distintas partes que forman la identidad digital de un usuario está en que actualmente es el usuario el responsable de mantener toda esa información de forma coherente y consistente. Es el usuario el responsable de recordar el par usuario-contraseña para cada uno de los sistemas, es el usuario quién debe administrarla para asegurarse de que cada sitio mantiene información actualizada.

La federación de identidades digitales intentará mitigar gran parte de estos problemas, evitando a los usuarios gran parte de la complejidad de mantener los distintos sistemas que forman su identidad digital.

Single Sign On (SSO)

Hasta la fecha, uno de los grandes objetivos de los desarrollos Web ha sido el Single Sign On (SSO), o lo que es lo mismo, la forma en que un usuario se autentifique una única vez en la red de una organización y que dicha identidad sea reconocida por todos los sistemas.

Dentro de cada organización existen distintos sistemas que mantienen su propia base de datos de usuarios y precisan autenticación para cada usuario que necesita acceder a dichos sistemas. Es por tanto una necesidad minimizar que los usuarios dispongan de distintos identificadores (y credenciales) para acceder a todos los servicios y que una vez que se hayan autenticado en uno de los sistemas tengan acceso al resto para los cuales se encuentren autorizados.
Esto se consigue gracias al uso de tecnologías basadas en estándares como SAML.

Federación de Identidad

Antes de que la autentificación por medio de SSO pueda ser usada, el usuario tiene que tener enlazadas las cuentas en sistemas dentro de un círculo de confianza, estando autentificado ya en un sistema. Este es el proceso de federación, y a través de él el proveedor de identidad y el proveedor de servicio crean un identificador único y seguro para referirse al usuario en sus comunicaciones, es por lo tanto, un proceso clave en el funcionamiento de la identidad federada.

La siguiente figura muestra el proceso de federación de identidades en Shibboleth:

Iniciativas y Estándares para Federación de Identidades

• Liberty Alliance. En estos momentos es la iniciativa que cuenta con mayor respaldo en la definición de un marco común para la gestión de identidad. Se trata de una iniciativa industrial en la que participan más de 160 empresas, entre ellas, los más destacados como Sun, IBM, Novell, Oracle, Ericsson, Nokia, HP, SAP, NEC. En el caso de operadoras de telecomunicaciones son miembros NTT, France Telecom, Vodafone, Deutsche Telekom y Telefónica Móviles.
• WS-Federation. promovida por IBM, Microsoft y Verisign, y apoyada por el consorcio W3C, que se encuentra en una fase de especificación más retrasada que Liberty o Shibboleth. Se trata de una serie de especificaciones (hasta siete) que persiguen exactamente los mismos objetivos que la Liberty Alliance. Se han iniciado esfuerzos para encontrar un camino de convergencia entre WS-Federation y Liberty.
• SAML (Security Assertion Markup Language) es un lenguaje estándar, basado en XML, que permite el intercambio de datos de autenticación y perfiles de autorización entre distintos dominios, es decir entre distintos IdP’s y SP’s. SAML es un lenguaje definido por OASIS.

Implementaciones

• Shibboleth. Es un proyecto de la National Science Foundation Internet2 Middleware Initiative. Ha definido una arquitectura y una implementación de código abierto. Su objetivo es desarrollar una solución abierta, basada en estándares, con el fin de cubrir las necesidades que tienen las organizaciones para intercambiar información sobre sus usuarios de forma segura y salvaguardando la privacidad. Algunas organizaciones han puesto en marcha esfuerzos para crear arquitecturas y estructuras propias que permitan a Shibboleth trabajar con ellas.
• PAPI. Punto de Acceso a proveedores de información. Es una propuesta de RedIris para el acceso ubicuo a recursos de información. PAPI es un sistema que permite la autenticación y autorización de usuarios a través de una red de servicios Web. Sus principales características son la implementación de “single sign on” y la capacidad de actuar como "proxy de reescritura transparente al usuario". Actualmente se encuentra en desarrollo los mecanismos que lo hagan compatible con Shibboleth.
• OpenID. Aunque no se trata de una solución de identidad federada propiamente dicha ya que no especifica el mecanismo de autenticación, entre otros motivos, si que resulta de interés comentarlo ya que es un sistema de identificación digital descentralizado. Mediante OpenID un usuario puede identificarse en una página web a través de una URL y puede ser verificado por cualquier servidor que soporte el protocolo. Cuenta con el apoyo de Google, IBM, Microsoft, VeriSign y Yahoo entre otros.
• Sun Java System Access Manager. Es parte del nuevo Sun Java Enterprise System. Se trata de la solución de software de infraestructura empresarial de Sun. Es un sistema de control de acceso web, SSO y federación de identidades. Sun Java Enterprise System se compone de los productos Sun Access Manager, Sun Identity Manager, Sun Directory Server Enterprise Edition y Sun Federation Manager.
• Open SSO. Es la iniciativa a través de la cual Sun libera el código fuente de Sun Access Manager y Sun Federation Manager, con el objetivo de ofrecer a la comunidad un entorno de control de acceso, autenticación, single sign on e identidad federada open source.

Conclusiones

Como principal conclusión hay que destacar que la Gestión de la Identidad es un tema en plena evolución, de tal manera que los grandes fabricantes de software apuestan por la incorporación a su cartera de productos de soluciones de identidad federada. Distintos fabricantes han lanzado o tienen previsto lanzar productos de identidad federada basadas en Liberty.

• Sun, como impulsor de la Liberty Alliance, cuenta con un producto que incorpora los estándares más recientes de dicha asociación. Sin embargo actualmente los productos carecen de madurez. Otras carencias importantes en su versión actual es que el producto está ligado a otros productos de Sun.
• Resulta necesario avanzar hacia una identidad de cliente única en el mundo Internet. Actualmente cada organización gestiona sus usuarios como un universo separado, produciéndose situaciones en las que servicios de la misma entidad se han desarrollado independientemente del resto.
• Es necesario esperar a una mejora en la estabilidad de los productos, mejora en el soporte y documentación. Por ello, el conocimiento de estos productos está muy centralizado en los desarrolladores, siendo difícil la resolución de problemas y el desarrollo de software basado en ellos.
• La tecnología para proporcionar la federación de identidad está poco madura en general. Por ejemplo PAPI (RedIRIS) es utilizado en distintos organismos españoles (y alguna universidad extranjera) pero no está extendido fuera del ámbito académico. La existencia de soluciones diferentes (como Shibboleth, openID o Sun Access Manager) puede crear un problema de incompatibilidad de acceso a distintos servicios, aunque existen desarrollos y líneas de investigación para integrar distintas plataformas (por ejemplo entre PAPI y Shibboleth).

Referencias

1. Liberty Alliance Project
2. PAPI
3. Shibboleth
4. OpenID
5. Sun Java System Access Manager
6. OpenSSO
7. SAML