actuales Tecnologías futuras en Identidad Digital Elena Lozano Rosch RedIRIS Jornadas de Identidad Digital Octubre 2010, Sevilla

Transcripción

1 actuales Tecnologías futuras en Identidad Digital Elena Lozano Rosch RedIRIS Jornadas de Identidad Digital Octubre 2010, Sevilla

2 2

3 password Propietario Servidor - + mandapostalesatusamigos.com + Manda postales a tus amigos Principal Contacto Postales Introduce Cliente tu nombre y contraseña de GMAIL para enviar postales a tus amigos por su cumpleaños Postales login yomismo@gmail.com 3

4 - + mandapostalesatusamigos.com + Manda postales a tus amigos Principal Contacto Postales Introduce tu nombre y contraseña de GMAIL para enviar postales a tus amigos por su cumpleaños Postales login yomismo@gmail.com password ******* enviar postal 4

5 - + mandapostalesatusamigos.com + Manda postales a tus amigos Principal Contacto Postales Es el cumpleaños de... Postales pepito OK Cancel 5

6 - + mandapostalesatusamigos.com + Manda postales a tus amigos Principal Contacto Postales Es el cumpleaños de... Postales pepito OK Cancel 6

7 para enviar postales a tus amigos por su cumpleaños login yomismo@gmail.com password ******* enviar postal Almacenaje Seguro? 7

8 para enviar postales a tus amigos por su cumpleaños Manda postales a tus amigos login yomismo@gmail.com password ******* Principal Contacto Postales enviar postal Introduce tu nombre y contraseña de GMAIL para enviar postales a tus amigos por su cumpleaños Postales - + mandapostalesatusamigos.com login + yomismo@gmail.com Manda postales a tus amigos password ******* Principal Contacto Postales Cliente Introduce tu nombre y contraseña de GMAIL para enviar postales a tus amigos por su cumpleaños Postales enviar postal Servidor login yomismo@gmail.com password ******* enviar postal 8

9 para enviar postales a tus amigos por su cumpleaños login yomismo@gmail.com password ******* enviar postal Calendario 9

10 10

11 password Propietario Servidor - + mandapostalesatusamigos.com + Manda postales a tus amigos Principal Contacto Postales Introduce Cliente tu nombre y contraseña de GMAIL para enviar postales a tus amigos por su cumpleaños Postales login yomismo@gmail.com 11

12 - + mandapostalesatusamigos.com + Manda postales a tus amigos Principal Contacto Postales Postales Ve a GMAIL y danos permiso para enviar las postales a tus amigos ir a gmail 12

13 La aplicación mandapostalesatusamigos.com quiere acceder a sus calendarios. Acceda a su cuenta para permitir el acceso 13

14 La aplicación mandapostalesatusamigos.com quiere acceder a sus calendarios. Acceda a su cuenta para permitir el acceso permitir denegar 14

15 La aplicación mandapostalesatusamigos.com quiere acceder a sus calendarios. Acceda a su cuenta para permitir el acceso permitir denegar 15

16 16

17 Arquitectura OAuth2 Propietario del Recurso Aplicación Cliente Servidor de Autorización Servidor de Recursos 17

18 Flujo de Autorización de OAuth2 Petición de Autorización al Usuario 18

19 Flujo de Autorización de OAuth2 App. Cliente Petición de Autorización Autorización de Acceso Propietario del Recurso Autorización de Acceso: -Código de Autorización -Aserción -Credenciales del Propietario del Recurso depende de Perfiles! Servidor de Autorización Servidor de Recursos 19

20 Flujo de Autorización de OAuth2 Obtención del Token de Acceso 20

21 Flujo de Autorización de OAuth2 App. Cliente Credenciales de Cliente + Autorización de Acceso + Scope Token de Acceso [ + Token de Refresco] Propietario del Recurso Servidor de Autorización Servidor de Recursos 21

22 Flujo de Autorización de OAuth2 Obtención del Recurso 22

23 Flujo de Autorización de OAuth2 T. Vida Token de Acceso Tiempo de Vida < Autorización = de Acceso T. Vida Token de Refresco Propietario del Recurso Servidor de Autorización App. Cliente Token de Acceso Recurso Protegido Servidor de Recursos 23

24 Perfiles de OAuth2 Web Server User Agent Native Application Autonomous 24

25 Perfil Autónomo: Aserciones <saml:assertion xmlns:saml="urn:oasis:names:tc:saml:2.0:assertion" xmlns:xs=" xmlns:xsi=" ID="b07b804c-7c29-ea f3d6f7928ac" Autorización de Acceso: Version="2.0" IssueInstant=" T09:22:05Z"> -Código de Autorización <saml:issuer> <saml:conditions NotBefore=" T09:17:05Z" -Aserción NotOnOrAfter=" T09:27:05Z"> <saml:audiencerestriction> <saml:audience> </saml:audiencerestriction> </saml:conditions> <saml:authnstatement AuthnInstant=" T09:22:00Z" SessionIndex="b07b804c-7c29-ea f3d6f7928ac"> <saml:authncontext> <saml:authncontextclassref> urn:oasis:names:tc:saml:2.0:ac :classes:passwordprotectedtransport </saml:authncontextclassref> </saml:authncontext> </saml:authnstatement> <saml:attributestatement> SAML2 o PAPI -Credenciales del Propietario del Recurso 25 spuc=urn:mace:terena.org:schac:persona luniquecode:es:rediris:sir:mbid:{md5} 6c94bjdf4f80a3be7ef0w36sad7a262c, cn=elena Lozano Rosch, mail=elena.lozano@rediris.es sho=rediris.es

26 Perfil Autónomo: Aserciones App. Cliente Petición de Autenticación Aserción spuc=urn:mace:terena.org:schac:persona luniquecode:es:rediris:sir:mbid:{md5} 6c94bjdf4f80a3be7ef0w36sad7a262c[...] Proveedor de Identidad Servidor de Autorización Proveedor de servicio Servidor de Recursos 26

27 Perfil Autónomo: Aserciones App. Cliente Credenciales de Cliente + Aserción + Scope Token de Acceso [ + Token de Refresco] Proveedor de Identidad Servidor de Autorización Servidor de Recursos 27

28 28

29 OAuth2lib 29

30 OAuth2lib App. Cliente Servidor de Autorización Servidor de Recursos Integración con sistemas federados Conexión con Servidores Dar formato a la respuesta Políticas de Autorización según aserciones Secretos entre Servidores App. Cliente registrada Scopes registrados Secretos entre Servidores Scopes Registrados Obtención de recursos 30

31 SIR OAuth2 Protocol Environment 31

32 erúbrica 32

33 33

34 Aplicaciones Contenedores Clientes 34

35 User-Managed Access (UMA) - Registro dinámico entre Auth Server y Cliente - Puede aceptar tokens de distintos Auth Server => Relación dinámica entre Servidores - A r get a 35 The a

36 IETF Draft for HTTP Authentication based on SAML and X

37 Conclusiones

38 Flexible 38

39 Cuanto más ligero, mejor 39

40 Seguridad 40

41 Privacidad 41

42 Gracias!

43 Elena Lozano Rosch