El servicio de token de seguridad ( STS ) es un componente central de estándar abierto multiplataforma de la especificación del marco de infraestructura de inicio de sesión único de servicios web WS-Trust del grupo OASIS . cf. [1] [2] Dentro de ese marco de identidad basado en reclamos , un servicio de token seguro es responsable de emitir, validar, renovar y cancelar tokens de seguridad . Los tokens emitidos por los servicios de token de seguridad se pueden usar para identificar al titular del token en los servicios que se adhieren al estándar WS-Trust. El servicio de token de seguridad proporciona la misma funcionalidad que OpenID, pero a diferencia de OpenID no está gravada por patente. Junto con el resto del estándar WS-Trust, la especificación del servicio de token de seguridad fue desarrollada inicialmente por empleados de IBM , Microsoft , Nortel y VeriSign .
En un escenario de uso típico que involucra un servicio web que emplea WS-Trust, cuando un cliente solicita acceso a una aplicación, la aplicación no autentica al cliente directamente (por ejemplo, validando las credenciales de inicio de sesión del cliente con una base de datos interna). En cambio, la aplicación redirige al cliente a un servicio de token de seguridad, que a su vez autentica al cliente y le otorga un token de seguridad. El token consta de un conjunto de registros de datos XML que incluyen varios elementos relacionados con la identidad y la pertenencia al grupo del cliente, así como información sobre la vida útil del token y el emisor del token. El token está protegido contra la manipulación con una sólida criptografía. Luego, el cliente presenta el token a una aplicación para obtener acceso a los recursos proporcionados por la aplicación. Este proceso se ilustra en el caso de uso del Lenguaje de marcado de aserción de seguridad (SAML), que demuestra cómo se puede utilizar el inicio de sesión único para acceder a los servicios web.
El software que proporciona servicios de token de seguridad está disponible en numerosos proveedores, incluido Apache CXF de código abierto , así como soluciones de código cerrado de Oracle (para interactuar con servicios de autenticación respaldados por una base de datos Oracle ) y Microsoft (donde STS es un componente central de Windows Identity Foundation y Active Directory Federation Services ). Si bien los servicios de token de seguridad se ofrecen normalmente como servicios web utilizados junto con otros servicios web, también existen kits de desarrollo de software (SDK) para aplicaciones nativas (como clientes de almacenamiento en la nube). [3]
Ver también
Referencias
- ^ Nadalin, Anthony; Goodner, Marc; Turner, David; Barbir, Abbie; Ganquist, Hans, eds. (1 de febrero de 2008), "Security Token Service Framework" , WS-Trust 1.4 , Burlington, MA: OASIS.
- ^ "Servicio de token de seguridad" . Red de desarrolladores de Microsoft . Consultado el 15 de mayo de 2014 .
- ^ "Servicio de token de seguridad de AWS" . Amazon.com. 2011-06-05 . Consultado el 15 de mayo de 2014 .