Identificador privado de usuario en adAS SSO
Archivado en la categoría (adAS, Identidad Digital, Privacidad) por Teresa
Publicado el 11-01-2017

Un identificador privado de usuario permite tracear la actividad de dicho usuario en una aplicación determinada, sin necesidad de conocer ningún dato adicional sobre la identidad del usuario y que tampoco pueda ser utilizado para adivinar su identidad. Pero aun así sirva para informar a la organización del usuario de un evento o incidencia relacionado con el usuario y que dicha organización pueda saber qué usuario es.

Este identificador debe cumplir las siguientes características:

  • Persistente: debe ser el mismo para una misma aplicación durante un tiempo de vida considerable, que le permita a dicha aplicación identificar al usuario en su lógica de negocio durante el tiempo necesario
  • Privado: no debe permitir averiguar quién es el usuario y qué actividad realiza en otras aplicaciones
  • Único: debe ser el mismo valor siempre para una misma aplicación, no permitiendo reutilizar su valor para otros usuarios

En muchos sistemas este identificador privado es conocido como el atributo eduPersonTargetedID. Una generación correcta de valor para este atributo debe contemplar una cadena alfanumérica opaca generada en base a datos que identifiquen al usuario y a la propia aplicación a la que trata de acceder el usuario. Por ejemplo:

MD5( «SEMILLA/».$ID_USUARIO.»/».$ID_APLICACIÓN)

Al utilizar una función de resumen (en el ejemplo MD5 ) nos permite generar una cadena alfanumérica que no es reversible a su valor original.

En adAS 1.6.0o las fuentes de datos tipo «Información de adAS» permiten generar identificadores privados de usuario, para lo cual utiliza el identificador del usuario en el Proveedor de Identidad, es decir, aquel atributo que hayamos indicado en el módulo de autenticación que queramos utilizar como identificador de usuario dentro de adAS SSO, y el identificador opaco del Proveedor de Servicio. Este identificador opaco es un valor aleatorio generado por adAS SSO cuando se añade un Proveedor de Servicio (SP) en el SSO y no es modificado durante todo su ciclo de vida, ni en un cambio de ID de entidad del SP.

Para enviar un identificador privado de usuario en una política de emisión de atributos de un SP, debemos definir el atributo de la siguiente manera:

eduPersonTargetedID = self::nocachedFirstHookDB(‘ADASINFO’, ‘ADAS_PRIVATE_USER_ID’)

Donde ADASINFO es el identificador de una fuente de datos tipo «Información de adAS».

Gracias a este atributo ‘ADAS_PRIVATE_USER_ID’, adAS SSO nos generará siempre un valor cumpliendo las características de persistente, privado y único, para cada par (ID usuario en adAS SSO, ID opaco SP) o si hubiera algún problema no devolvería ningún valor, pudiendo así la aplicación informar del problema.

Escribe un comentario

You must be logged in to post a comment.