Presentació de José Manuel Macías, de RedIRIS, a la sessió 3: Futur i reptes de les federacions d'identitat dins la Jornada d'identitat federada: UNIFICA'T!.

1. Jornada de identidad federada: ¡UNIFICATE!
Barcelona, 16 de mayo de 2018
Retos de las
federaciones de
identidad
José Manuel Macías Luna
jmanuel.macias@rediris.es

2. De qué voy a hablar…
• Un poco de historia
• Modelos de federación
• Interfederación
• Iniciativas en curso
• Retos de las federaciones de identidad

3. Un poco de historia…

4. Todo comenzó con directorios…
• 1988: X.500 (conjunto de
estándares)
• 1988-1989: COSINE Project
• Piloto PARADISE (interconexión de
directorios a nivel internacional)
• 1990: Primer directorio a nivel
español
• 1993: recomendación ITU-T (11/93)
• ≈1994-95: LDAP como “X.500-lite”
• http://www.openldap.org/pub/
umich/ldap.pdf
• ≈1996-1997: DANTE NameFLOW
(directorio internacional)
Paradise' (Piloting An inteRnationAl DIrectory SErvice).
Informe de mayo de 1991

5. También fueron los esquemas…
• 1994-1995: X.500 → LDAP
• convivencia ≈ 2001
• 2000: Esquema inetOrgPerson
• 2001: Esquema eduPerson
• 2001-2002: Esquemas PAPI e
IRIS
• 2002: Esquema eduOrg
• 2006: Esquema SCHAC

6. …y por fin, los estándares de federación y
software que los implementaban
• 2000: Proyecto Shibboleth
• 2001: Protocolo PAPI
• 2002: SAML 1.0
• 2003: SAML 1.1
• 2003: Shibboleth IdP 1.0
• 2005: SAML 2.0
• 2005: OpenId 1.0
• 2006: OpenId 2.0
• 2006: oAuth
• 2012: oAuth 2.0
• 2014: OpenId Connect
Revista EPI: Año 2001, Vol. 10, Número 11

7. Federation.
This term is used in two senses in SAML:
a) The act of establishing a relationship between two entities [Merriam].
b) An association comprising any number of service providers and identity
providers.
Glossary for the OASIS Security Assertion Markup Language (SAML) V2.0
una definición de federación

8. Federation.
This term is used in two senses in SAML:
a) The act of establishing a relationship between two entities [Merriam].
b) An association comprising any number of service providers and identity
providers.
Glossary for the OASIS Security Assertion Markup Language (SAML) V2.0
una definición de federación
plural entities
1 a : being, existence; especially : independent, separate, or self-contained existence
b : the existence of a thing as contrasted with its attributes
2 : something that has separate and distinct existence and objective or conceptual reality
3 : an organization (such as a business or governmental unit) that has an identity separate
from those of its members

9. Modelos de federación: hub&spoke
• Un elemento central, por
el que pasan todas las
peticiones
• Tanto SPs como IdPs sólo
conectan directamente
con el hub
• Facilita la adopción de
nuevos protocolos
• Ejemplos: SIR, SIR2,
UNIFICAT, WAYF.dk,
SURFConext

10. Modelos de federación: mesh
• Conexiones directas SP-
IdP sin hub central
• Servicio de
descubrimiento en el SP
• Como elemento central:
registro de metadatos
• Ejemplos: InCommon, UK
Federation, SWITCH AAI,
CAF

11. Interfederación
• eduGAIN interconecta, a nivel
internacional, recursos (1900
proveedores) e identidades
(+2500 IdPs) de más de 50
federaciones

12. algunas iniciativas en curso…
• SIRTFI: Marco de Confianza para respuesta a incidentes de seguridad.
• https://refeds.org/sirtfi
• Entity Categories:
• R&S v.1.3: Liberación de atributos a Proveedores de Servicio que cumplan
ciertos requisitos
• https://refeds.org/category/research-and-scholarship
• CoCo v. 2.0: Envío de datos personales para el propósito de acceso federado
a recursos, en el marco de la nueva regulación europea (GDPR)
• https://wiki.refeds.org/display/CODE/
Data+Protection+Code+of+Conduct+Home
• Perfiles:
• Autenticación de múltiple factor: https://refeds.org/profile/mfa
• SAML2int: https://kantarainitiative.github.io/SAMLprofiles/saml2int.html

13. Retos…

14. Retos de las federaciones de identidad:
facilitar la vida al usuario
• El usuario debería tener
una forma intuitiva y
universal de localizar a su
institución
• El usuario debería tener
facilidades también para
localizar los recursos

15. Retos de las federaciones de identidad:
garantizar la seguridad
• Ser prescriptores de buenas prácticas en
seguridad de la información, e ir por delante
en adopción de estándares de cifrado,
deprecando aquellos que quedan obsoletos.
• Estar al tanto de amenazas. Proteger el
software que protege las comunicaciones,
e incorporar tecnologías que aumenten la
seguridad en el acceso a la información.

16. Retos de las federaciones de identidad:
explicar siempre qué está ocurriendo
• El usuario debe ser el centro de toma de decisiones cuando
haya datos que puedan considerarse de carácter personal

17. Retos de las federaciones de identidad:
adopción de nuevos estándares
• OIDC es claro favorito para
sustituir a SAML
• Grupo específico sobre
federaciones OIDC en REFEDS
• Pero hay otros estándares que
jugarán cada uno su papel
• Se trata también de llegar a
ámbitos distintos al WebSSO
• Y estos estándares tendrán que
convivir con los actuales

18. Retos de las federaciones de identidad:
mantener el ritmo
• Cada vez mayor complejidad
• Se requiere un grado de
especialización bastante alto
• Curva de aprendizaje alta.
Dificultad para encontrar
perfiles suficientemente
completos
• El acceso a servicios en la nube
eleva la importancia del acceso
federado y exige más de éste
• También, el acceso a recursos que antes no existían, y no
necesariamente recursos web

19. ¡muchas gracias!