La identidad basada en notificaciones es una forma común de que las aplicaciones adquieran la información de identidad que necesitan sobre los usuarios dentro de su organización, en otras organizaciones e Internet. [1] También proporciona un enfoque coherente para las aplicaciones que se ejecutan en las instalaciones o en la nube . La identidad basada en reclamaciones abstrae los elementos individuales de identidad y control de acceso en dos partes: una noción de reclamaciones y el concepto de emisor o autoridad. [2]
Identidad y reclamos
Una afirmación es una declaración que un sujeto, como una persona u organización, hace sobre sí mismo o sobre otro sujeto. Por ejemplo, la declaración puede referirse a un nombre, grupo, preferencia de compra, etnia , privilegio, asociación o capacidad. El sujeto que hace el reclamo o reclamos es el proveedor. Las reclamaciones se empaquetan en uno o más tokens que luego son emitidos por un emisor (proveedor), comúnmente conocido como servicio de token de seguridad (STS). [2]
El nombre "identidad basada en afirmaciones" puede resultar confuso al principio porque parece un nombre inapropiado. Adjuntar el concepto de reclamos al concepto de identidad parece combinar la autenticación (determinación de la identidad) con la autorización (lo que el sujeto identificado puede y no puede hacer). Sin embargo, un examen más detenido revela que este no es el caso. Las afirmaciones no son lo que el sujeto puede y no puede hacer. Son lo que el sujeto es o no es. Depende de la aplicación que recibe el reclamo entrante mapear los reclamos de es / no es a las reglas de puede / no puede de la aplicación. En los sistemas tradicionales, a menudo existe confusión sobre las diferencias y similitudes entre lo que un usuario es / no es y lo que el usuario puede / no puede hacer. La identidad basada en afirmaciones deja clara esa distinción.
Servicio de token de seguridad
Una vez aclarada la distinción entre lo que el usuario es / no es y lo que el usuario puede / no puede hacer, es posible que la autenticación de lo que el usuario es / no es (las reclamaciones) pueda ser manejada por un tercero. Este tercero se denomina servicio de token de seguridad. Para comprender mejor el concepto de servicio de token de seguridad, considere la analogía de un club nocturno con un portero. El portero quiere evitar la entrada de clientes menores de edad. Para facilitar esto, solicita a un cliente que presente una licencia de conducir, tarjeta de seguro médico u otra identificación (el token) que haya sido emitida por un tercero de confianza (el servicio de token de seguridad), como el departamento provincial o estatal de licencias de vehículos, el departamento de salud. o compañía de seguros. El club nocturno queda así liberado de la responsabilidad de determinar la edad del cliente. Solo tiene que confiar en la autoridad emisora (y, por supuesto, hacer su propio juicio sobre la autenticidad del token presentado). Con estos dos pasos completados, la discoteca ha autenticado con éxito al cliente con respecto a la afirmación de que es mayor de edad para beber.
Continuando con la analogía, el club nocturno puede tener un sistema de membresía y algunos miembros pueden ser regulares o VIP. El portero podría pedir otra ficha, la tarjeta de membresía, que podría hacer otro reclamo; que el miembro es un VIP. En este caso, la autoridad emisora de confianza del token probablemente sería el propio club. Si la tarjeta de membresía afirma que el cliente es un VIP, entonces el club puede reaccionar en consecuencia, traduciendo el reclamo de membresía VIP autenticado a un permiso, como que se le permita al cliente sentarse en el área exclusiva del salón y recibir bebidas gratis.
Tenga en cuenta que no todos los usos del término "autenticación" incluyen la adquisición de reclamaciones. [3] La única diferencia es que la autenticación se limita a la vinculación del usuario a la información contenida sobre el usuario en el sitio de destino, ya que no se requieren datos de atributos (reclamo) para completar una autenticación. A medida que las preocupaciones por la privacidad se vuelven más importantes, la capacidad de las entidades digitales para autenticar a los usuarios sin acceso a atributos personales se vuelve cada vez más importante.
Beneficios
La identidad basada en reclamos tiene el potencial de simplificar la lógica de autenticación para aplicaciones de software individuales, porque esas aplicaciones no tienen que proporcionar mecanismos para la creación de cuentas, la creación de contraseñas, el restablecimiento, etc. Además, la identidad basada en reclamos permite que las aplicaciones sepan ciertas cosas sobre el usuario, sin tener que interrogar al usuario para determinar esos hechos. Los hechos, o afirmaciones, se transportan en un "sobre" llamado ficha de seguridad.
La identidad basada en reclamaciones puede simplificar enormemente el proceso de autenticación porque el usuario no tiene que iniciar sesión varias veces en varias aplicaciones. Un inicio de sesión único crea el token que luego se usa para autenticarse en múltiples aplicaciones o sitios web. Además, debido a que ciertos hechos (reclamos) están empaquetados con el token, el usuario no tiene que decirle a cada aplicación individual esos hechos repetidamente, por ejemplo, respondiendo preguntas similares o completando formularios similares.
Ver también
Referencias
- ^ David Chappell (febrero de 2011). "Identidad basada en notificaciones para Windows" (PDF) . Microsoft Corporation . Consultado el 28 de julio de 2011 .
- ^ a b Microsoft (3 de junio de 2011). "Documentación de la guía de control de acceso e identidad basada en reclamaciones" . Microsoft Corporation . Consultado el 28 de julio de 2011 .
- ^ IDESG. "Modelo de identidad" . Consultado el 5 de mayo de 2017 .