Gestión de Identidades
Gestión de Identidades y tecnología Liberty
Cuando un usuario interactúa con un servicio a través de Internet, con frecuencia tiene que autenticar su identidad, bien porque el servicio sea de pago o porque tenga restringido su uso por cualquier otro criterio. Para ello, el usuario abre previamente una cuenta con el proveedor del servicio y establece un identificador de usuario y una contraseña, junto con un conjunto de atributos que definen la identidad y preferencias del usuario y permiten personalizar el servicio. Se llama Identidad de Red al conjunto global de atributos que establecen la identidad y el perfil de un usuario en todas las cuentas abiertas por el usuario en la red. Hoy día las cuentas de usuario están dispersas en múltiples sitios en Internet, donde se prestan servicios de forma aislada y sin cohesión entre las múltiples identidades y preferencias del usuario.
Esta proliferación incontrolada de cuentas sin relación entre si conlleva una mala experiencia de usuario y merma su confianza en los servicios telemáticos. Además, presenta serios problemas de escalado, es un freno a la expansión de los servicios de comercio electrónico y atención al ciudadano y plantea un considerable riesgo de fraude por robo de identidad.
Se entiende por Gestión de Identidades a la disciplina que trata el problema de la gestión de acceso de los usuarios a recursos de red en sus aspectos técnicos, legales y de negocio. A nivel técnico, la gestión de identidades tiene que ver con áreas como la seguridad en redes, la provisión de servicios, la gestión de clientes, el registro único de usuario y la prestación de Servicios Web.
Existen dos enfoques básicos para la gestión de identidades en servicios de red. El primero es el enfoque centralizado, donde una única entidad gestiona atributos y elementos de identificación de todos los usuarios de servicios de red y ofrece servicios de autenticación en nombre de los proveedores de servicio. Como ejemplo de este enfoque podemos citar la iniciativa .NET Passport de la empresa Microsoft. El enfoque alternativo es el descentralizado o federado, en el que los proveedores de servicios finales o de autenticación federan sus sistemas de gestión de identidades para permitir que los usuarios naveguen entre servicios sin re-autenticarse, aunque sin poner en riesgo la privacidad de los datos de usuario o la seguridad en el acceso a los servicios.
En Septiembre de 2001 se creó la Alianza Liberty con el propósito de elaborar un conjunto de estándares para Gestión de Identidades Federadas. Se trata de un consorcio de empresas, proveedores e instituciones interesadas en proporcionar estándares y directrices para gestión de identidades federadas con garantía de privacidad y seguridad para la información de Identidad de Red de los usuarios. La idea básica del proyecto es proporcionar un mecanismo abierto y estándar de Registro Único (Single Sign-on) que incluye autenticación descentralizada y autorización desde múltiples proveedores. El mecanismo de Registro Único permite a un usuario registrarse en un proveedor de servicios de gestión de identidades y que el registro se transfiera de forma transparente cuando navega hacia otros proveedores de servicio sin necesidad de autenticarse de nuevo. La infraestructura de gestión de identidades propuesta debe soportar todos los dispositivos de acceso desde los más convencionales a los más novedosos.
Fig. 1. Concepto de Círculo de Confianza.
En el enfoque del proyecto Liberty, los proveedores de servicio se asocian en Círculos de Confianza (Circles of Trust) que se apoyan en la tecnología Liberty y en acuerdos operativos donde se definen relaciones de confianza entre los proveedores (Fig. 1). Por otra parte, los usuarios pueden federar las cuentas aisladas que tienen establecidas con diferentes proveedores dentro del Círculo de Confianza. En otras palabras, un Círculo de Confianza es la federación de un conjunto de Proveedores de Servicio (SP) y Proveedores de Identidad (IdP) que tienen relaciones de negocio basadas en la arquitectura Liberty y una serie de políticas y directrices que permiten que los usuarios realicen transacciones con los proveedores de forma segura y transparente. Los Proveedores de Identidad serían proveedores de servicio dispuestos a gestionar la identidad federada de los usuarios de los servicios del Círculo de Confianza y ofrecer a los proveedores de servicio incentivos comerciales para su afiliación. Un ejemplo típico sería el de una compañía aérea como proveedor de identidad de las empresas afiliadas a su programa de fidelización.
El proyecto Liberty plantea el diseño de una arquitectura y un conjunto de protocolos que deben proporcionar soporte a la gestión de identidades federadas. El desarrollo del conjunto de estándares y recomendaciones se ha estructurado en tres fases:
Fase 1. Identity Federation Framework (ID-FF): Especificación de una serie de protocolos que permiten llevar a cabo la Federación de Identidades, el Registro Único de Entrada (Single Sign-On), la utilización de Pseudónimos globales y el Registro Único de Salida (Single Logout).
Fase 2. Identity Web Services Framework (ID-WSF). Especificación de un marco de trabajo para la construcción de Servicios Web basados en Identidad: descripción y descubrimiento de servicios, autenticación, acceso a atributos compartidos, interacción con el usuario para solicitud de directrices de privacidad, etc.
Fase 3. Identity Services Interface Specifications (ID-SIS). Definición de unos servicios específicos basados en identidad que hagan uso del marco de trabajo desarrollado en la Fase 2: perfil personal, perfil de empleado, servicios de presencia, localización, alerta, calendario, monedero, etc.
Liberty en el contexto de los servicios de Internet móvil
Entendemos aquí los servicios de Internet móvil como una adaptación de los servicios y aplicaciones de Internet al entorno de los terminales móviles con capacidad de proceso local y de conexión en red en base al protocolo IP desde redes de acceso celular de banda ancha. Se trata de servicios en parte limitados por la menor capacidad de proceso, almacenamiento y presentación de los terminales celulares, pero también más sofisticados por las capacidades de movilidad, localización y control de presencia junto con las posibilidades de aplicación de nuevos modelos de negocio innovadores o más propios de las redes privadas gestionadas por un operador que de las redes públicas como Internet. Estas características propician la aparición de nuevos servicios que pueden llegar a ser viables desde el punto de vista del negocio: servicios basados en localización, servicios P2P, servicios de pago por móvil, etc.
