CEIC Junta de Andalucía

La Consejería de Economía, Innovación y Ciencia de la Junta de Andalucía va contactar amb les empreses PRiSE i Opentia per a que dissenyessin una solució completa a una problemàtica en concret: enviar informació entre dues aplicacions conforme a estàndars i reduïr els casos a on s'envien parells nom d'usuari/paraula de pas.

La tecnologia que s'adaptava perfectament a aquest cas era SAML 2 ja que permitiem transferir informació entre aplicacions d'una manera estàndar.

Com no existia, en el moment de començar el projecte, un Proveïdor d'Identitat disponible en la conselleria, es va optar per desenvolupar un Servei de Token de Seguretat (STS) conforme a l'estàndard WS-Trust 1.4 publicat per OASIS. Aquest servei rebria missatges de Petició de Token de Seguretat (RequestSecurityToken), en els que les aplicacions autoritzades previament per a poder utilitzar aquest servei incluirien assercions SAML no signades i rebrien a canvi aquestes asercions SAML signades pel STS.

Escenario

El missatge que enviaria una aplicació al STS per a demanar que es signi una aserció SAML inclou un parell Nom d'usuari/Paraula de lpas. Com els missatges al STS son missatges SOAP, aquest parell es transemitria utilitzant el perfil Username token de Web Services Security (WS-SEC) i sempre sota canal segur HTTPS. A mesura que vagi augmentant l'ús del STS dintre de la propia conselleria ja s'analitzaria incloure altres tipus d'autenticació o mecanismes de confiança entre aplicacions i el STS.

A més, en aquest projecte es va incloure la definició de 5 perfils per a la transmisió d'informació mitjançant SAML 2 que depèn del mètode d'autenticació de l'usuari.

Aquests perfiles indiquen el format de les asercions SAML depenent del tipus d'autenticació en l'aplicació que vol solicitar que es signi una aserció SAML, sent els següents:

  • Perfil nom d'usuari i clau
  • Perfil certificat digital X.509
  • Perfil certificat digital X.509 procesat pt @firma
  • Perfil NIF i localitzador
  • Perfil NIF