Archivado en la categoría (adAS, Identidad Digital, Privacidad) por Teresa
Publicado el 11-01-2017

Un identificador privado de usuario permite tracear la actividad de dicho usuario en una aplicación determinada, sin necesidad de conocer ningún dato adicional sobre la identidad del usuario y que tampoco pueda ser utilizado para adivinar su identidad. Pero aun así sirva para informar a la organización del usuario de un evento o incidencia relacionado con el usuario y que dicha organización pueda saber qué usuario es.

Este identificador debe cumplir las siguientes características:

  • Persistente: debe ser el mismo para una misma aplicación durante un tiempo de vida considerable, que le permita a dicha aplicación identificar al usuario en su lógica de negocio durante el tiempo necesario
  • Privado: no debe permitir averiguar quién es el usuario y qué actividad realiza en otras aplicaciones
  • Único: debe ser el mismo valor siempre para una misma aplicación, no permitiendo reutilizar su valor para otros usuarios

En muchos sistemas este identificador privado es conocido como el atributo eduPersonTargetedID. Una generación correcta de valor para este atributo debe contemplar una cadena alfanumérica opaca generada en base a datos que identifiquen al usuario y a la propia aplicación a la que trata de acceder el usuario. Por ejemplo:

MD5( «SEMILLA/».$ID_USUARIO.»/».$ID_APLICACIÓN)

Al utilizar una función de resumen (en el ejemplo MD5 ) nos permite generar una cadena alfanumérica que no es reversible a su valor original.

En adAS 1.6.0o las fuentes de datos tipo «Información de adAS» permiten generar identificadores privados de usuario, para lo cual utiliza el identificador del usuario en el Proveedor de Identidad, es decir, aquel atributo que hayamos indicado en el módulo de autenticación que queramos utilizar como identificador de usuario dentro de adAS SSO, y el identificador opaco del Proveedor de Servicio. Este identificador opaco es un valor aleatorio generado por adAS SSO cuando se añade un Proveedor de Servicio (SP) en el SSO y no es modificado durante todo su ciclo de vida, ni en un cambio de ID de entidad del SP.

Para enviar un identificador privado de usuario en una política de emisión de atributos de un SP, debemos definir el atributo de la siguiente manera:

eduPersonTargetedID = self::nocachedFirstHookDB(‘ADASINFO’, ‘ADAS_PRIVATE_USER_ID’)

Donde ADASINFO es el identificador de una fuente de datos tipo «Información de adAS».

Gracias a este atributo ‘ADAS_PRIVATE_USER_ID’, adAS SSO nos generará siempre un valor cumpliendo las características de persistente, privado y único, para cada par (ID usuario en adAS SSO, ID opaco SP) o si hubiera algún problema no devolvería ningún valor, pudiendo así la aplicación informar del problema.

(0) Comments    Read More   
Archivado en la categoría (Identidad Digital, PAPI) por Elena
Publicado el 11-08-2014

En los últimos grupos de trabajo de Rediris, a través de la ponencia Actualidad del servicio SIR, se dio a conocer el próximo futuro de la federación SIR.

La actual federación cuenta tanto con IdP’s y SP’s conectados a través de multiprotocolos (PAPI, SAML, OpenID, etc) y en su línea de vida está pendiente una reestructuración, por lo que muchas entidades se verán afectadas.

Uno de los principales cambios afectará a la actual integración multiprotocolo, eliminándola y permitiendo únicamente «usar SAML2 como protocolo intrafederación».

Si tu institución será una de las afectadas por no contar con un IdP que permita una integración con SAML te recomendamos que te pongas en contacto con nosotros para un cambio totalmente transparente para tus usuarios. Contamos con experiencia en IdP’s SAML, recomendándote el más adecuado para tu organización.

De la misma forma, contamos con múltiples servicios para tus aplicaciones PAPI, ayudándote a actualizarlas hacia otros protocolos, mejorarlas y/o gestionarlas.

Adelántate al futuro y asegúrate un cambio sencillo, fácil y transparente.

 

(0) Comments    Read More   
Archivado en la categoría (Identidad Digital) por Elena
Publicado el 16-09-2013

El otro día escuché en la radio una nota publicitaria sobre no sé que móvil que ya contaba con la última actualización de no sé que sistema operativo. Si, no me enteré nada bien del anuncio, pero será que me quedé congelada al escuchar «actualización» y «sistema operativo». Si ya hay que sufrir con ser «la informática de la familia» y tener que configurar la TDT cada vez que alguien toca sin querer cierto botón, ya sólo me faltaba asegurar que «el nuevo móvil que me han regalado y por fin tengo guasap» esté actualizado al nuevo y molón SO.

Al parecer, la sociedad se ha acostumbrado a palabras como smartphone, bases de datos, login, gigas, megas reales, sistema operativo, actualización de sistema operativo, etc. Y es que llevar ya un ordenador en el bolsillo que encima te permite llamar por télefono si tienes ganas de calentarte la oreja, ha acabado por familiarizar las TIC.

Dicho el preámbulo, el kit de este post llega ya. La familiaridad de las TIC ha hecho que «la informática de la familia que montó una empresa que se dedica a una cosa muy rara pero que le va muy bien» pueda ya medio explicar «esa cosa rara» y dejar las comillas olvidadas :)

Hace tiempo, un buscador llamado Google que daba cuentas de correo empezó a comprar y añadir otros servicios. Algunos de estos servicios contaban ya con usuarios existentes a los que se respeta su acceso y los usuarios propios les permite el nuevo acceso con esas cuentas ya existentes para el correo. La lógica aplastante evitó que fuera necesario crear nuevos usuarios para esas nuevas aplicaciones. Si el usuario ya tenía una cuenta «google» debía acceder a esas webs con la misma cuenta.

Por lo tanto, gracias a querer una cuenta de correo puedo gestionar mis videos, mis fotos, mi red social, tener un blog, compartir archivos, guardar rutas de todo el mundo, etc. Y todo ello, autenticándome una única vez en uno de esos servicios. No hace falta que me dé de alta en ningún sitio, puedo acceder con mi cuenta.

En este sentido, se ha permitido que los usuarios estén acostumbrados a un acceso fácil a cualquier aplicación. Y con fácil me refiero a no tener que tener múltiples cuentas de usuario, no tener que poner sus credenciales en cada página web a la que se accede, reutilizar cuentas ya existentes, etc.

Para contar con ese escenario es necesario que todos esos servicios formen parte de un SSO (Single Sing On), dónde estos servicios o páginas web se denominan SP (Service Provider) y gracias a un protocolo de comunicación (SAML, CAS, PAPI, uno propio, etc) se integran con el IdP, que realiza la autenticación y atribución necesaria para que el usuario acceda a una determinada página web.

Dicho de una forma rápida. Y sin que se entienda nada. Pero si recuperamos el ejemplo de antes y no introducimos ningún término técnico, cualquier usuario de internet te dice (con más o menos gracia): «Ah, si! Es verdad que pongo mi correo y mi contraseña sólo en un sitio y ya todas las páginas web me enseñan mis cosas». Y preguntándoles por el trabajo, te suelen decir «Ufff… En el trabajo tengo 5 cuentas de usuario diferente para 4 cosas, porque hay una web que tengo dos usuarios diferentes según lo que quiera hacer».

Y es que en el mundo laboral el SSO aún no ha encontrado su lugar. Hay que aclarar que contar con las mismas cuentas y contraseñas en los diferentes servicios no es tener un SSO.

Desde PRiSE ayudamos a dar ese paso de inmersión del SSO en cualquier organización. Si ya disfrutas de las ventajas de un SSO en tu tiempo de ocio sin ser consciente, ¿por qué no lo aprovechas también en tu profesión?

Contamos con muchos casos de éxito de implantación de SSO, integrando aplicaciones de múltiples tecnologías en infraestructuras diversas. ¡Ponte en contacto con nosotros!

Y recogiendo por última vez el ejemplo de Google (válido también para Microsoft), logramos que el SSO de tu empresa pueda comunicarse sin problemas con el SSO de Google, integrando así todos los servicios de éste con los de tu empresa bajo una única cuenta para cada uno de tus usuarios.

(0) Comments    Read More   
Archivado en la categoría (Eventos, Identidad Digital, PRiSE) por Elena
Publicado el 13-07-2013

REUNA y PRiSE coinciden en el gran éxito de las jornadas sobre Identidad Digital que tuvieron lugar en Santiago de Chile el pasado mes de junio.

El primer día tuvo lugar la jornada de difusión sobre Gestión de Identidad Federada a la que asistió personal de 38 instituciones de educación superior, centros de investigación y entidades de gobierno.

Se presentaron conceptos relativos a la Identidad Digital y los escenarios de un sistema SSO y las federaciones que permiten el acceso a múltiples recursos de forma compartida.

Tras la jornada de difusión se impartió taller práctico a un total de 15 profesionales de 14 instituciones de todo Chile. El objetivo del taller fue la integración de SP’s en una federación con un IdP shibboleth y la comparativa del mismo escenario contando como IdP el producto adAS-federación, una solución mucho más fácil y flexible.

Taller técnico

PRiSE agradece al equipo de REUNA y Cincel por la confianza en nuestra experiencia y conocimiento.

Nota de prensa de REUNA:

http://www.reuna.cl/index.php/es/noticias-nuestros-socios/2354-jornada-de-difusion-organizada-por-reuna-congrego-a-las-principales-instituciones-academicas-y-de-investigacion-nacionales

(0) Comments    Read More