OpenID Connect posibilita identidad en línea
03 March, 2014
category: Seguridad en Internet, Seguridad lógica
Los estándares de identidad no son atractivos. La biometría, los sistemas y aplicaciones de encriptación que permiten una autenticación de alta seguridad acaparan mucha atención, pero los estándares que hacen que todas esas tecnologías funcionen en internet constituyen una necesidad.
OpenID es una de esas tecnologías subyacentes y OpenID Connect, la última versión del estándar, ha sido ratificado como un estándar oficial por los miembros de la fundación OpenID. Internet y las compañías móviles han implementado OpenID Connect en todo el mundo, incluyendo Google, Microsoft, Deutsche Telekom, Salesforce, Ping Identity, el Instituto de Investigaciones Nomura, operadores de redes móviles, y otras empresas y organizaciones. El estándar será incorporado en los productos comerciales e implementado en las bibliotecas de código abierto para implantaciones globales.
El equipo que ha ayudado a crear OpenID Connect está compuesto por rivales. Google, Microsoft y otros, todos competidores que trabajan por lograr resolver el problema de la identidad digital, señala Don Thibeau, director ejecutivo de la Fundación OpenID. Los operadores móviles también participan con la asociación comercial global para operadores móviles GSMA, y sus 650 operadores de redes móviles respaldan OpenID Connect.
La idea básica tras el estándar es la interoperabilidad. Thibeau afirma que “la interoperabilidad está en el corazón de una Internet más segura, protectora de la privacidad y centrada en el usuario”.
Cómo funciona
Desde la perspectiva del consumidor puede que OpenID Connect no parezca muy diferente con respecto a otros sistemas de identidad federada. “Si usted tiene una cuenta que soporte OpenID Connect, puede utilizarla para registrarse en otros sitios”, señala Mike Jones, director de Asociaciones para Identidad en Microsoft.
Un consumidor se conecta a un proveedor de identidad, sea una red social, comercio electrónico u otro tipo de sitio que utilice OpenID Connect, y podrá entonces emplear esa identidad en cualquier lugar. Pero antes de entregar cualquier información personal al otro sitio en que se conecte, OpenID Connect se asegura que el consumidor conozca qué información está dando. “El proveedor de identidad sabe que a usted se le está pidiendo que dé cierta información a la parte de confianza, y va a preguntar si usted está de acuerdo, como mismo se pregunta cuando se va a instalar una nueva aplicación”, explica Jones.
En esencia, OpenID Connect está diseñado para intercambiar mensajes de identidad en toda una gama de casos de uso, dice Jones. OpenID Connect funcionará de la misma forma cuando se está sentado en una estación de trabajo, usando un dispositivo móvil, o accediendo a información de la nube o de una red segura.
El estándar también está enfocado hacia la privacidad. Aunque puede utilizarse para acceder a múltiples sitios, no se usa el mismo identificador para todos los sitios, explica Jones. “Si estoy iniciando sesión en un sitio, puede que me reconozca por un determinado número, mientras que en otro sitio será un número diferente”.
Las especificaciones también pueden escalar en varios niveles de seguridad, habilitando diferentes niveles de seguridad en dependencia del sitio, aclara Jones.
Pese a que acaba de ratificarse, OpenID Connect ya lleva un tiempo en uso. Google tiene OpenID Connect incorporado dentro de Android, dice Tim Bray, antiguo gurú de identidad de Google y cofundador de la especificación XML.
“Hemos configurado en Android una API para que una aplicación pueda hacer una consulta y recibir un token de identidad”, explica. “La envía al sistema back-end a modo de un ‘sí’, este mensaje fue enviado por alguien con una identidad”.
Todo esto puede hacerse en un dispositivo móvil sin que el usuario tenga que estar reingresando su nombre de usuario y contraseña. “OpenID Connect le da fácil acceso para utilizar confirmaciones criptográficas que digan que la persona fue autenticada y que quería compartir esa información con la aplicación”, añade Bray. “Una vez que la aplicación tiene la confirmación, usted puede hacer cualquier cosa con ella”.
Mientras Google implementó OpenID Connect sobre Android, Deutsche Telekom lo está implantando para sus subscriptores de Internet, informa Torsten Lodderstedt, experto en gestión de identidad de propietario de producto en Deutsche Telekom. El segundo mayor proveedor de correo electrónico de Alemania tiene el propósito de ser proveedor de identidad y está utilizando OpenID Connect como el eje central.
Deutsche Telekom introdujo OpenID Connect a mediados de 2013 y lo integró con PATH, un sitio de red social. El gigante de telecomunicaciones también está trabajando para proporcionarle a los clientes la habilidad de utilizar también en otros sitios su identidad de Deutsche Telekom.
El Instituto Tecnológico de Massachusetts también implementó OpenID Connect y está explorando muchos usos potenciales del estándar. El instituto tiene una larga historia de trabajo con tecnología de autenticación y desarrolló el protocolo Kerberos en la década de 1980, el cual fue el motor para Microsoft Windows 2000, expresa Thomas Hardjono, orientador técnico y director ejecutivo del consorcio Kerberos en MIT.
El consorcio fue fundado originalmente para hacer el mantenimiento del código Kerberos, pero desde entonces se reorientó hacia los datos personales y los estándares emergentes en la gestión de identidad. Fue entonces que OpenID Connect captó la atención del consorcio.
El instituto comenzó a probar el estándar y tiene planes de implantarlo para el uso de la aplicación móvil del MIT, señala Hardjono. “Queremos utilizar OpenID Connect como el mecanismo de autenticación para esas aplicaciones que no son críticas”, observa.
La aplicación del MIT le permite a los estudiantes acceder a diferentes servicios del centro. Esos servicios no son necesariamente los más seguros, pero aún así requieren una credencial para acceder a ellos, por ejemplo, información sobre la disponibilidad de la lavandería, el comedor estudiantil y otras fuentes de datos, añade Hardjono.
A largo plazo el MIT pretende utilizar el sistema con un solo inicio de sesión (single sign-on) y federación para el acceso a servicios externos al instituto, explica Hardjono. Al principio pudiera ser algo tan sencillo como permitir que se envíen transcripciones a un empleador, pero eventualmente puede abarcar más. “La dirección de correo electrónico del MIT se mantiene de por vida”, aclara. “Una versión ampliada de ello puede ser que el MIT se convierta en proveedor de identidad”.
Conveniente para los desarrolladores
OpenID 2.0, la versión anterior a Connect, también tenía amplio uso, pero Connect es más conveniente para los desarrolladores, apunta Bray. “Existían problemas en cuanto a interoperabilidad”. Pero Connect ha sido diseñado para brindar más facilidad de trabajo con los desarrolladores web.
Para Deutsche Telekom ha sido más fácil integrar las aplicaciones con OpenID Connect que con OpenID 2.0. “Da soporte a toda la integración de Oauth que antes no era posible”, explica Lodderstedt. OAuth 2.0 define una autenticación, autorización y arquitectura de política consistentes y flexibles para los servidores web, las aplicaciones y dispositivos móviles que tratan de comunicarse con APISs de nube. OpenID Connect crea el fundamento para estándares de identidad abierta y seguridad como OAuth 2.0 y TLS, conocido también como SSL o “https”. Como resultado tiene la ventaja para los desarrolladores de ser más fácil de implementar que otros protocolos de identidad, permitiendo una implantación más sencilla sin sacrificar seguridad.