Interoperabilidad de Federated Identity Management

 

Microsoft Corporation

Mayo de 2004

Resumen: A medida que las empresas amplían sistemas internos a usuarios externos, es importante asegurarse de que los sistemas puedan interoperar con las aplicaciones de otras organizaciones. Los principales proveedores de soluciones de administración de identidades demostraron sus soluciones que satisfacen esta necesidad en un taller de interoperabilidad reciente. (7 páginas impresas)

Nota En este documento se describen los resultados de ese taller en el que se probaron las implementaciones de un escenario de interoperabilidad mediante el perfil de solicitante pasivo de WS-Federation basado en el conjunto de estándares de seguridad de servicios web.

Contenido

Federated Identity Management
Talleres de protocolo de servicios web
interoperabilidad del perfil del solicitante pasivo WS-Federation
Resultados y discusión del taller
Vínculos relacionados

Federated Identity Management

Para satisfacer el desafío de las tendencias actuales del sector, como el crecimiento del comercio empresarial a negocio, la mayor movilidad y la necesidad de conectividad persistente, las organizaciones amplían los sistemas internos a los usuarios externos que proporcionan conectividad a los clientes, asociados, proveedores y empleados móviles. Proporcionar conectividad eficaz y fluida requiere crear relaciones "basadas en confianza" que permitan a las organizaciones compartir de forma segura la información de identidad de un usuario. Las relaciones de confianza permiten que la información de identidad y directiva fluya entre organizaciones independientes del modelo de plataforma, aplicación o seguridad. Las relaciones de confianza deben formarse de forma rápida y eficaz para maximizar la productividad y eliminar los procesos manuales que a menudo tienen lugar hoy en día. La federación describe las disposiciones tecnológicas y empresariales necesarias para esta interconexión.

Los sistemas federados deben interoperar entre los límites de la organización y conectar procesos mediante diferentes tecnologías, almacenamiento de identidades, enfoques de seguridad y modelos de programación. Dentro de un sistema federado, las identidades y sus credenciales asociadas todavía se almacenan, son propiedad y se administran por separado. Cada miembro individual de la federación sigue administrando sus propias identidades, pero es capaz de compartir y aceptar identidades y credenciales de forma segura de los orígenes de otros miembros.

Dentro de un sistema federado, una organización necesita una forma estandarizada y segura de expresar no solo los servicios que pone a disposición de los asociados y clientes de confianza, sino también las directivas por las que ejecuta su negocio, como el que confía otras organizaciones y usuarios, qué tipos de credenciales y solicitudes acepta, y sus directivas de privacidad.

Respondiendo a esta necesidad, Microsoft está trabajando con líderes del sector para desarrollar un conjunto de especificaciones para la arquitectura de aplicaciones distribuidas que se conoce normalmente como servicios web. La arquitectura de servicios web se basa en estándares del sector, como SOAP, XML, WSDL y UDDI, y proporciona una base para ofrecer soluciones empresariales completas e interoperables para la empresa extendida, incluida la capacidad de administrar la identidad federada y la seguridad. El modelo de servicios web se basa en la idea de que los sistemas empresariales se escriben en diferentes lenguajes, con diferentes modelos de programación, a los que se accede desde muchos tipos diferentes de dispositivos. Los servicios web son un medio independiente de la plataforma y del lenguaje de la creación de sistemas distribuidos que pueden conectarse e interactuar entre sí de forma fácil y eficaz a través de Internet. Puede encontrar más información sobre los servicios web y las especificaciones de servicios web en el Centro para desarrolladores de servicios web de MSDN.

Interoperabilidad

El éxito de la arquitectura de servicios web y las aplicaciones que habilita depende de la capacidad de estas aplicaciones para interoperar en una red de confianza de empresas, asociados y servicios independientemente de la plataforma, el lenguaje de programación o la aplicación con los que interactúan. Para ello, las empresas empresariales que implementan servicios web quieren que sus aplicaciones cumplan los estándares de servicios web para garantizar la interoperabilidad. Los estándares de servicios web, incluidos SOAP, XML, WSDL y UDDI, permiten a los desarrolladores crear soluciones de servicio web que sean interoperables en varias plataformas, lenguajes de programación y aplicaciones. Una de las principales formas de confirmar que existe esta interoperabilidad, y que las especificaciones de los servicios web ofrecen estos objetivos empresariales, es a través de talleres de interoperabilidad de protocolos.

Talleres de protocolo de servicios web

Los talleres de protocolo de servicios web son una manera de implicar a la comunidad de servicios web (incluidas empresas de usuario final, ISV y otros proveedores) en el proceso de validar y refinar las especificaciones WS-*. Hay dos tipos de talleres: comentarios e interoperabilidad. Los talleres de comentarios permiten al autor de cada protocolo de servicios web compartir información en segundo plano sobre el diseño y recibir comentarios de los asistentes sobre la práctica de la implementación. Los talleres de interoperabilidad se realizan por las mismas razones y, además, permiten a las empresas probar la interoperabilidad de su implementación con otros participantes del Taller.

Una vez recopilados todos los comentarios y los resultados de la implementación de los talleres, los autores actualizan y refinan la especificación para su envío a una organización de configuración de estándares.

taller de interoperabilidad de perfiles de solicitante pasivo WS-Federation

El 29 de marzo y el 30 de marzo de 2004, los autores de la especificación de perfil de solicitante pasivo WS-Federation hospedaron un taller de interoperabilidad de dos días en el campus de Microsoft en Redmond, Washington.

El taller de dos días fue un foro abierto para empresas que tienen implementaciones basadas en la especificación de WS-Federation publicada el 8 de julio de 2003 y el perfil de solicitante pasivo de WS-Federation, también publicado el 8 de julio de 2003. Se proporcionó un documento de escenario antes del evento y se invitó a los asistentes a probar sus implementaciones del escenario con implementaciones de otras empresas. Entre los participantes del taller se incluyen IBM Corporation, Microsoft Corporation, Netegrity Inc., Oblix Inc., OpenNetwork Corporation, Ping Identity Corporation y RSA Security Inc. Puede encontrar más información sobre este y otros talleres de protocolo de servicios web en MSDN.

Especificación de WS-Federation

La especificación WS-Federation forma parte del conjunto de especificaciones de seguridad de servicios web. Define un modelo y un conjunto de mensajes para intermediar la confianza y la federación de información de identidad y autenticación en diferentes dominios de confianza.

La especificación de WS-Federation identifica dos orígenes de solicitudes de identidad y autenticación en dominios de confianza: solicitantes activos, como aplicaciones habilitadas para SOAP y solicitantes pasivos definidos como exploradores HTTP compatibles ampliamente con HTTP (por ejemplo, HTTP 1.1).

perfil de solicitante pasivo de WS-Federation

El WS-Federation perfil de solicitante pasivo es una implementación de WS-Federation y propone un protocolo estándar para cómo aplican los solicitantes pasivos (como exploradores web) el marco de federación. Dentro de este protocolo, se espera que los solicitantes de servicio web comprendan los nuevos mecanismos de seguridad y puedan interactuar con los proveedores de servicios web.

interoperabilidad del perfil del solicitante pasivo WS-Federation

WS-Federation perfil de interoperabilidad del solicitante pasivo

El WS-Federation perfil de interoperabilidad del solicitante pasivo es una restricción adicional en el perfil del solicitante pasivo con el fin de proporcionar más garantías de interoperabilidad. El perfil define un estándar para solicitar, intercambiar y emitir tokens de seguridad en el contexto de un solicitante pasivo mediante SAML (lenguaje de marcado de aserción de seguridad) como tipo de token.

El perfil de interoperabilidad del solicitante pasivo WS-Federation se creó y distribuyó a los participantes antes del taller como guía para crear implementaciones interoperables del perfil de solicitante pasivo de WS-Federation. Para probar el protocolo recomendado, los proveedores colaboraron en la creación de un escenario de implementación. Este escenario refleja la necesidad común de que las organizaciones externalicen servicios, como beneficios, a terceros, pero proporcionen acceso de marca al servicio a través de un sitio web interno (el solicitante pasivo en este escenario).

Escenario de interoperabilidad

En el escenario del taller de interoperabilidad, una empresa, Mi Empleador (ME), externaliza la administración de beneficios de los empleados a un tercero, Empresa de Beneficios (BC). Mi empresa de empleadores y beneficios han establecido confianza y directivas para una federación empresarial. Como parte de la coordinación de su federación empresarial con Benefits Company, Mi empleador acepta enviar determinados atributos específicos del usuario, junto con la solicitud de recursos a Benefits Company. La aplicación de administración de beneficios en Benefits Company requiere que existan estos atributos antes de mostrar el recurso específico que el empleado en Mi empleador ha solicitado.

El objetivo de este escenario era tres veces:

• Ilustra una federación empresarial entre una organización y un proveedor de servicios de terceros al permitir que ME externalice la administración de los beneficios de los empleados.
• Pruebe la interoperabilidad entre diferentes soluciones de proveedor creadas con los estándares descritos en el perfil de solicitante pasivo de WS-Federation.
• Obtenga la ventaja de una federación empresarial por:
  • Eliminando la necesidad de BC de administrar la identidad y las contraseñas para los empleados de ME con el fin de administrar los beneficios.
  • Proporcionar Inicio de sesión único web de confianza (SSO) para los empleados de ME al dominio BC.

Tutorial de escenarios

Un empleado de ME está en el trabajo y accede a una página del portal de beneficios internos. Si el empleado aún no ha iniciado sesión en su dominio en ME, debe hacerlo antes de conceder acceso a la página del portal de beneficios. La página del portal de ventajas muestra información pertinente para el usuario individual, o me, y tiene vínculos para administrar las ventajas del usuario.

El empleado hace clic en el vínculo de administración de beneficios y se autentica en la Empresa de beneficios con las credenciales proporcionadas anteriormente para la autenticación en la página del portal de ventajas de ME.

El empleado se presenta con una "página principal" personalizada por la aplicación de administración de beneficios que proporciona información personalizada sobre las opciones de beneficios del empleado.

Aquí una implementación de aplicación de beneficios reales permitiría a un empleado actualizar sus opciones de plan de salud y hacer clic en un vínculo para administrar su plan de salud. El empleado se muestra las diferentes opciones del plan de salud disponibles y cuánto cuesta cada plan. El empleado selecciona un nuevo plan de salud y se muestra la nueva cantidad que se va a deducir de cada cheque de pago. Se le pide al empleado que confirme esta transacción.

El empleado confirma su selección y vuelve a la "Página principal" personalizada, que ahora muestra la información actualizada del plan de salud.

Si el empleado vuelve a hacer clic en el vínculo a su plan de salud, se muestran los detalles del plan de salud que eligieron y tienen la capacidad de modificar su elección antes del final del período de inscripción.

Después de completar la transacción, el empleado hace clic en un vínculo de cierre de sesión en el sitio BC y se transfiere de nuevo a un portal interno en ME que muestra la confirmación de que el empleado se ha cerrado la sesión de la aplicación de la Compañía de beneficios.

Resultados y discusión del taller

El taller de interoperabilidad de perfil de solicitante pasivo WS-Federation demostró altos niveles de interoperabilidad entre todas las implementaciones de todos los proveedores participantes, y esto se logró mucho más rápidamente de lo esperado y con menos problemas, lo que es un signo claro de la creciente madurez de estas implementaciones.

Los clientes que implementan servicios web hoy quieren saber que sus aplicaciones cumplen con los estándares existentes y son capaces de interoperabilidad con otros productos que admiten servicios web. Las implementaciones del escenario de interoperabilidad probados en workshop demostraron la interoperabilidad entre todas las soluciones del proveedor.

Proporcionar un modelo completo, coherente y extensible para los servicios web y federated Identity Management requiere esfuerzos coordinados por proveedores de plataformas, desarrolladores de aplicaciones, proveedores de red e infraestructura y clientes. Los eventos como los recientes WS-Federation taller de interoperabilidad de perfiles del solicitante pasivo promueven una amplia participación del sector en la evolución de los estándares de servicios web y garantizan que los clientes, desarrolladores y proveedores hayan demostrado protocolos para crear servicios web que sean coherentes, confiables e interoperables en plataformas, aplicaciones y lenguajes de programación.

La interoperabilidad es, y seguirá siendo un factor creciente en las decisiones de los clientes con respecto a las implementaciones de servicios web. Para admitir la interoperabilidad en la implementación de servicios web, Microsoft recomienda:

• Siga los protocolos de implementación de servicios web establecidos. Las especificaciones de servicios web y la compatibilidad adicional con el desarrollo e implementación de servicios web se pueden encontrar en el Centro para desarrolladores de servicios web de MSDN.
• Participar en los próximos talleres de comentarios e interoperabilidad de servicios web. Haga clic para obtener más información de Workshop.
• Familiarícese con las directrices de interoperabilidad de WS-I. Puede encontrar más información sobre las directrices y otros recursos para desarrolladores de WS-I en http://www.ws-i.org/.
• Use herramientas de prueba de WS-I para confirmar que la aplicación de servicios web cumple las directrices de interoperabilidad de WS-I.

El conjunto de especificaciones de seguridad de servicios web proporciona una solución completa para Federated Identity Management, lo que permite una comunicación y colaboración seguras y eficaces entre organizaciones y usuarios externos. La creación de soluciones interoperables basadas en estándares de seguridad de WS acelerará aún más la adopción de Federated Identity Management y permitirá a los clientes implementar soluciones de servicios web con un menor costo y riesgo de implementación.

Vínculos relacionados

Consulte los siguientes recursos para obtener más información:

• Soluciones de administración de identidades y acceso de Microsoft
• Página de índice de especificaciones de seguridad de servicios web en MSDN
• Seguridad en un mundo de servicios web: una arquitectura y hoja de ruta propuestas (notas del producto), versión 1.0, abril de 2002, International Business Machines Corporation y Microsoft Corporation
• Especificación WS-Federation Language (WS-Federation), versión 1.0, julio de 2003, International Business Machines Corporation, Microsoft Corporation, BEA Systems, Inc., RSA Security, Inc., y VeriSign, Inc.
• Federación de identidades en un mundo de servicios web (notas del producto), julio de 2003, International Business Machines Corporation y Microsoft Corporation
• WS-Federation: Especificación del perfil de solicitante pasivo, versión 1.0, julio de 2003 versión 1.0, International Business Machines Corporation, Microsoft Corporation, BEA Systems, Inc., RSA Security, Inc., y VeriSign, Inc.
• WS-Federation Passive Requestty Profile (download), Febrero de 2004, Versión 0.4, International Business Machines Corporation y Microsoft Corporation
• Servicios web seguros, confiables y con transacciones: arquitectura y composición (notas del producto), septiembre de 2003, International Business Machines Corporation y Microsoft Corporation
• Talleres de protocolo de servicios web
• Lista de correo de WS-Security-Workshop
• Centro para desarrolladores de servicios web de MSDN
• Organización de interoperabilidad de servicios web (WS-I)
• Especificación del lenguaje de marcado de aserciones de seguridad (SAML), noviembre de 2002, versión 1.0

© 2004 Microsoft Corporation. Todos los derechos reservados.

Se trata de un documento preliminar y puede cambiarse sustancialmente con el tiempo. La información contenida en este documento representa la visión actual de Microsoft Corporation sobre los asuntos tratados a fecha de su publicación. Dado que Microsoft debe responder a las condiciones de mercado cambiantes, no debe interpretarse como un compromiso por parte de Microsoft y Microsoft no puede garantizar la precisión de ninguna información presentada después de la fecha de publicación.

La presentación, distribución u otra difusión de la información contenida en este documento no es una licencia, ya sea explícita o implícita, a cualquier propiedad intelectual propiedad o controlada por Microsoft y\o cualquier otro tercero. Microsoft y\o cualquier otro tercero pueden tener patentes, aplicaciones de patentes, marcas comerciales, derechos de autor u otros derechos de propiedad intelectual que abarquen la materia de este documento. El mobiliario de este documento no le concede ninguna licencia a Las patentes, marcas comerciales, derechos de autor u otra propiedad intelectual de Microsoft o de terceros. Las compañías, organizaciones, productos, nombres de dominio, direcciones de correo electrónico, logotipos, personas, lugares y eventos que se citan a modo de ejemplo son ficticios. No se pretende indicar, ni debe deducirse, ninguna asociación con compañías, organizaciones, productos, dominios, direcciones de correo electrónico, logotipos, personas, lugares o hechos reales.

Este documento y la información contenida en este documento se proporcionan sobre una base "TAL CUAL" y en la medida máxima permitida por la ley aplicable, Microsoft proporciona el documento AS IS AND WITH ALL FAULTS, y por la presente renuncia a todas las demás garantías y condiciones, ya sea expresa, implícita o legal, incluyendo, pero no limitada a, ninguna (si alguna) garantía implícita, deberes o condiciones de comerciabilidad, de idoneidad para un propósito particular, de precisión o integridad de las respuestas, de resultados, de esfuerzo profesional, de falta de virus, y de falta de negligencia, todo en lo que respecta al documento. ADEMÁS, NO HAY NINGUNA GARANTÍA O CONDICIÓN DE TÍTULO, DISFRUTE SILENCIOSO, POSESIÓN SILENCIOSA, CORRESPONDENCIA CON LA DESCRIPCIÓN O NO INFRACCIÓN DE NINGÚN DERECHO DE PROPIEDAD INTELECTUAL CON RESPECTO AL DOCUMENTO.

EN NINGÚN CASO, MICROSOFT SERÁ RESPONSABLE DE CUALQUIER OTRA PARTE POR EL COSTO DE LA OBTENCIÓN DE BIENES O SERVICIOS SUSTITUTOS, PÉRDIDAS DE BENEFICIOS, PÉRDIDA DE USO, PÉRDIDA DE DATOS, O CUALQUIER DAÑO INCIDENTAL, CONSECUENTE, DIRECTO, INDIRECTO O ESPECIAL, YA SEA BAJO CONTRATO, TORT, GARANTÍA O, DE OTRO MODO, QUE SURJA DE CUALQUIER OTRO MODO DE ESTE O CUALQUIER OTRO ACUERDO RELACIONADO CON ESTE DOCUMENTO, SI DICHA PARTE HABÍA NOTADO CON ANTELACIÓN LA POSIBILIDAD DE DICHOS DAÑOS O NO.

Los servicios web de Microsoft y Microsoft son marcas comerciales registradas o marcas comerciales de Microsoft Corporation en los Estados Unidos y/o en otros países.

Los nombres de las compañías y productos reales mencionados en el presente documento pueden ser marcas comerciales de sus respectivos propietarios.