Wellvibe

La empresa estadounidense Wellvibe, ubicada en el estado de Ohio, gestiona el servicio Wellvibe, un portal médico de detección y seguimiento orientado a trabajadores. Éste utiliza el servicio de formulario de evaluación de riesgos para la salud, de la empresa Wellsource.

Scenario

En el escenario inicial, Wellvibe tenía que enviar una lista de usuarios a Wellsource con el objetivo de informarles de qué usuarios tienen permisos para utilizar dicho servicio de formulario de evaluación de riesgos para la salud.

Este modelo ofrece una serie de inconvenientes tanto para Wellvibe como para sus usuarios, ya que además de los problemas técnicos y operativos del envío actualizado constante de la lista de usuarios válidos, éstos tendrán que recordar un nuevo par usuario/contraseña.

Wellvibe contactó con PRiSE para realizar una adaptación en el portal Wellvibe, con el objetivo de que utilice el interfaz SAML 2 que ofrece Wellsource. De esta forma, no sería necesario enviarles la lista de usuarios válidos sino que permitirá el acceso al formulario de evaluación de riesgos para la salud gracias a la aserción SAML 2 que Wellvibe les enviará en el intento de acceso.

End Scenario

La solución desplegada se basaba en instalar un simpleSAMLphp, el cual estaría configurado como un proveedor de identidad que entiende SAML 2, y conectarlo con Wellvibe. El envío de la aserción SAML 2, que representa la identidad digital del usuario, se realiza a través del binding HTTP POST. Dicha aserción incluye tanto el identificador del usuario como sus atributos, de cara a que el framework de seguridad de Wellsource lo evalúe y muestre el formulario en caso de que cumpla todas las condiciones establecidas.

Para establecer la relación de confianza entre Wellvibe y Wellsource a través de aserciones SAML 2, éstos tendrán que intercambiar sus claves públicas, de cara a que dichas aserciones sean firmadas digitalmente y se pueda probar la procedencia de ellas.