La garantía de identidad en el contexto de la gestión de identidad federada es la capacidad de una parte para determinar, con cierto nivel de certeza, que se puede confiar en una credencial electrónica que representa a una entidad (humana o máquina) con la que interactúa para efectuar una transacción. pertenecen realmente a la entidad.
En el caso de que la entidad sea una persona, la garantía de identidad es el nivel en el que se puede confiar en que la credencial que se presenta es un representante de la persona a la que se emitió y no a otra persona. Los niveles de garantía (AL o LoA) son los niveles de confianza asociados con una credencial, medidos por la tecnología, los procesos y las declaraciones de políticas y prácticas asociadas.
Descripción
La garantía de identidad, en un contexto en línea, es la capacidad de una parte que confía para determinar, con cierto nivel de certeza, que se puede confiar en que una afirmación de una identidad particular hecha por alguna entidad es realmente la identidad "verdadera" del reclamante. Las afirmaciones de identidad se realizan presentando una credencial de identidad a la parte que confía . En el caso de que la entidad sea una persona, esta credencial puede adoptar varias formas, que incluyen: (a) información de identificación personal como nombre, dirección, fecha de nacimiento, etc .; (b) un proxy de identidad como nombre de usuario, identificador de inicio de sesión (nombre de usuario) o dirección de correo electrónico; y (c) un certificado digital X.509 .
La garantía de identidad se refiere específicamente al grado de certeza de una afirmación de identidad hecha por un proveedor de identidad al presentar una credencial de identidad a la parte que confía. Para emitir esta afirmación, el proveedor de identidad debe primero determinar si el reclamante posee y controla un token apropiado , utilizando un protocolo de autenticación predefinido . Dependiendo del resultado de este procedimiento de autenticación, la aserción devuelta a la parte que confía por el proveedor de identidad permite a la parte que confía decidir si confiar o no en que la identidad asociada con la credencial realmente "pertenece" a la persona que presenta la credencial.
El grado de certeza que puede tener una parte que confía sobre la verdadera identidad de alguien que presenta una credencial de identidad se conoce como nivel de garantía (AL). Un documento de 2006 del Instituto Nacional de Estándares y Tecnología de EE. UU. Describe cuatro niveles de garantía . [1] El nivel de garantía se mide por la solidez y el rigor del proceso de verificación de identidad, la solidez del token utilizado para autenticar la declaración de identidad y los procesos de gestión que le aplica el proveedor de identidad. Estos cuatro niveles fueron adoptados por los gobiernos del Reino Unido, Canadá y Estados Unidos para los servicios gubernamentales electrónicos.
Propósito
Para realizar negocios en línea, las entidades deben poder identificarse de manera remota y confiable. En la mayoría de los casos, sin embargo, no es suficiente que la credencial electrónica típica (generalmente un par de nombre de usuario y contraseña básicos o un certificado digital) simplemente afirme "Soy quien digo que soy, créanme". Una parte que confía (RP) debe poder saber con cierto grado de certeza que la credencial de identidad electrónica presentada realmente representa a la persona que presenta la credencial. En el caso de las credenciales autoemitidas, esto no es posible. Sin embargo, la mayoría de las credenciales de identidad electrónicas son emitidas por proveedores de identidad (IdP): el administrador de la red del lugar de trabajo , un servicio de redes sociales , un administrador de juegos en línea, una entidad gubernamental o un tercero de confianza que vende certificados digitales. La mayoría de las personas tienen varias credenciales de varios proveedores. Cuatro audiencias se ven afectadas por la transacción, y la confianza inherente en la misma:
- Usuarios de credenciales de identidad electrónicas,
- Entidades que dependen de las credenciales emitidas por proveedores de identidad electrónica (IdP),
- Proveedores de servicios de IdP y auditores o asesores que revisan los procesos comerciales de los IdP, y
- Las partes que confían (RP) confían en las credenciales de identidad electrónicas proporcionadas por los IdP
Los diferentes IdP siguen diferentes políticas y procedimientos para emitir credenciales de identidad electrónicas. En el mundo empresarial, y especialmente en el gobierno, cuanto más confiable es la credencial, más estrictas son las reglas que rigen la prueba de identidad, la gestión de credenciales y el tipo de credenciales emitidas. Pero mientras que diferentes IdP siguen sus propias reglas, cada vez más usuarios finales (a menudo llamados suscriptores) y servicios en línea (a menudo llamados partes de confianza) desean confiar en las credenciales existentes y no emitir otro conjunto de ID de usuario / contraseñas u otras credenciales para usar para acceder un servicio. Aquí es donde el concepto de identidad federada cobra importancia. La identidad federada proporciona a los IdP y a las partes que confían un conjunto común de convenciones de confianza de identidad que trascienden las redes, los usuarios o los proveedores de servicios de identidad individuales, de modo que una parte que confía sepa que puede confiar en una credencial emitida por IdP 'A' en un nivel de garantía. comparable a un estándar común, que también será acordado por los IdP 'B', 'C' y 'D'
Implementaciones específicas e implementaciones propuestas
Australia
Países Bajos
DigiD es un sistema mediante el cual las agencias gubernamentales holandesas pueden verificar la identidad de una persona a través de Internet, un tipo de pasaporte digital para instituciones gubernamentales.
Polonia
En una iniciativa conjunta entre los Ministerios de Interior , Asuntos Digitales y Salud , se introducirán nuevas tarjetas de identificación con chip a partir del primer trimestre de 2019, que reemplazarán las tarjetas de identidad existentes durante un período de diez años. [2]
Reino Unido
El programa de garantía de identidad del Reino Unido, GOV.UK Verify, es proporcionado por el Servicio Digital del Gobierno junto con proveedores de identidad del sector privado. GOV.UK Verify es un servicio de garantía de identidad federado basado en estándares para respaldar la transformación digital del gobierno central y local. El servicio permite a los ciudadanos utilizar un modelo de identidad federado para demostrar que son quienes dicen ser cuando se registran en los servicios gubernamentales. Los usuarios pueden elegir un proveedor de garantía de identidad entre una variedad de proveedores certificados y pueden optar por registrarse con uno o más de estos proveedores. El servicio está activo desde mayo de 2016. [3]
Estados Unidos
El gobierno de los Estados Unidos publicó por primera vez un borrador de un Marco de Evaluación de Credenciales de Federación de Autenticación Electrónica (CAF) en 2003, con la publicación final en marzo de 2005. [4]
El grupo de trabajo de garantía de identidad de la Iniciativa Kantara (IAWG) se formó en 2009. Continuó el Marco de Garantía de Identidad de Liberty Alliance , que se basó, en parte, en el Marco de Confianza de la Asociación de Autenticación Electrónica y la CAF, para permitir la interoperabilidad entre los sistemas de autenticación electrónica. Definió un marco de confianza en torno a la calidad de las reclamaciones emitidas por un IdP basado en el lenguaje, las reglas comerciales, los criterios de evaluación y las certificaciones. El trabajo comenzó dentro de Liberty Alliance a principios de 2007, y el primer borrador público se publicó en noviembre de 2007, con la versión 1.1 lanzada en junio de 2008. El Grupo de Expertos en Aseguramiento de Identidad dentro de Liberty Alliance trabajó con el UIT-T (a través de ITU-T SG17Q6 Grupo de trabajo por correspondencia sobre X.EAA sobre armonización y estandarización internacional del Marco de garantía de identidad --- el trabajo comenzó en septiembre de 2008); ISOC (ISO SC27 29115 Armonización con el marco de garantía de identidad, entre otras contribuciones); y la American Bar Association (colaboración para desarrollar un modelo de acuerdo comercial para la identidad federada).
El Marco de Garantía de Identidad de la Iniciativa Kantara (IAF), publicado en diciembre de 2009, detalla los niveles de garantía y el programa de certificación que llevan el Marco al mercado. La IAF consta de un conjunto de documentos que incluye una publicación de descripción general , el glosario de la IAF , un documento resumido de niveles de garantía y un esquema de evaluación de garantía (AAS) , que abarca el programa de evaluación y certificación asociado, así como varios documentos subordinados, entre otros. ellos los criterios de evaluación de Servicio (SAC) , que establece los criterios de referencia para la conformidad general de la organización, los servicios de identidad a prueba, la fuerza de credenciales, y servicios de administración de credenciales contra el cual se evaluaron todos los CSP. Varias organizaciones, incluidas Wells Fargo y Fidelity Investments , han realizado varias presentaciones sobre la aplicación del Marco de garantía de identidad , y también se encuentran disponibles estudios de casos sobre Aetna y Citigroup .
En 2009, el Intercambio de Información de Salud del Sureste de Michigan (SEMHIE) adoptó el Kantara IAF. [5]
Consorcio Mundial de la red
Los identificadores descentralizados (DID) son un tipo de identificador que permite una identidad digital descentralizada y verificable.
Ver también
Referencias
- ^ William E. Burr, Donna F. Dodson y W. Timothy Polk (abril de 2006). "Directriz de autenticación electrónica" (PDF) . Publicación especial 800-63 Versión 1.0.1 . Instituto de Estándares y Tecnología de EE. UU. doi : 10.6028 / NIST.SP.800-63v1.0.2 . Consultado el 10 de noviembre de 2013 .
- ^ "Postes para tener nuevas tarjetas de identificación con chip: informe" . Polskie Radio dla Zagranicy . Consultado el 18 de diciembre de 2017 .
- ^ "¿Qué es la garantía de identidad? - Servicio digital gubernamental" . gds.blog.gov.uk . Consultado el 22 de noviembre de 2020 .
- ^ "Marco de evaluación de credenciales de federación de autenticación electrónica" (PDF) . Consejo Federal de CIO. 16 de marzo de 2005. Archivado desde el original (PDF) el 15 de noviembre de 2008 . Consultado el 10 de noviembre de 2013 .
- ^ "El intercambio de información sanitaria de Michigan adopta el marco de garantía de identidad de la iniciativa Kantara" . 24 de septiembre de 2009 . Consultado el 9 de enero de 2011 .