OpenID lanza pruebas de autocertificación y registro de marco de confianza
27 April, 2015
category: Seguridad en Internet
La importancia de los estándares está bien establecida. Asegurar que los sistemas y componentes de diferentes fabricantes trabajen conjuntamente es algo esencial. En el mundo de la identidad existen estándares establecidos desde hace mucho tiempo, pero eso no quiere decir que no hayan sufrido su cuota de problemas. Por una parte, hay programadores que han alterado ligeramente las especificaciones, lo cual afecta la interoperabilidad. Y por otra parte, hay productos y sistemas que pueden someterse a laboratorios de prueba de terceros para su certificación, proceso que es costoso y toma tiempo.
Ahora la Fundación OpenID Foundation quiere permitir una fácil interoperabilidad de OpenID Connect y ha anunciado un programa de autocertificación para el estándar, que asegura que aquellos que lo implementan se adhieran a la especificación, señala Don Thibeau, presidente de Open Identity Exchange.
Open Identity Exchange también lanzó OIXnet, un registro en línea de marcos de confianza y sistemas de identidad. Es un registro desarrollado por líderes globales en los diferentes sectores industriales para permitir transacciones en Internet en altos volúmenes, velocidad y variedad.
Mike Jones, Microsoft
Hace más de seis años Mike Jones, un arquitecto de estándares de Microsoft, convenció al gigante de la computación que participara en la certificación SAML con Liberty Alliance, que ahora es la Iniciativa Kantara. La compañía estaba sacando un producto que usaba la especificación, y él le dijo a los ejecutivos que sería una buena cosa desde el punto de vista de la ingeniería. “Podemos garantizar que nuestros productos van a funcionar, en lugar de hacer que el cliente tenga que confrontar y sortear pequeños problemas”, añade. Ahora SAML es visto como algo con lo cual es difícil trabajar y a través de los años los programadores han hecho cambios, de modo que hay diferentes implementaciones que no siguen siendo interoperables.
OpenID Connect ha creado soporte para los actuales desarrolladores web que utiliza las más recientes estructuras de datos, dice Jones. Incluso antes que OpenID Connect fuera ratificada oficialmente hace más de un año, se realizaron pruebas de interoperabilidad de servidor que aseguraran que una implementación trabajaba con la otra, explica Jones. “Tomamos una docena de diferentes implementaciones y vemos si podemos comunicarse entre ellas y hacer ciertas cosas”, añade.
Coincidiendo con estas pruebas de interoperabilidad, la Universidad Umea de Sweden recibió una subvención del Proyecto GEANT, una institución europea de educación e investigación, para apoyar las identidades interoperables, explica Jones. La universidad tomó parte del dinero de la subvención y creó software para probar las implementaciones de funciones de OpenID Connect. Entre las pruebas de interoperabilidad y el proyecto en Europa, la Fundación OpenID decidió ampliar los ensayos, dice Jones. Entonces la fundación otorgó fondos para pagarle a UMEA para adaptar el software de pruebas de interoperabilidad y crear un programa formal de certificación. “La gente participaría en los aspectos de la prueba que desearan, pues tenía sentido que tuvieran que recibir una cobertura completa de la especificación”, explica. La prueba está funcionando y le permite a los proveedores cargar el código y ejecutarlo contra el protocolo. El panel da retroalimentación en forma de luces roja, amarilla y verde. Una vez que un sistema tiene todas las luces verdes, el proveedor firma una certificación de que cumple los requisitos. El acuerdo legal, junto con todos los detalles de las pruebas, se colocan de conjunto en el sitio para que todos lo revisen. “Todo el mantra ha sido mantener las cosas sencillas dejando que la gente ejecute su propia prueba”, explica Jones. “Esto es diferente de las pruebas SAML en que los participantes de Liberty Alliance tenían que pagar un importe de cinco dígitos a un tercero para que realizara la prueba”. Google, Microsoft, ForgeRock, Ping Identity, el instituto de investigación Nomura y PayPal fueron los primeros líderes de la industria en participar en el programa de Certificación OpenID Connect y certificar que sus implementaciones están en conformidad con uno o más de los perfiles del estándar OpenID Connect. “La interoperabilidad entre sistemas es lo que se necesita para dar soporte a un vibrante ecosistema de identidad”, afirma Eve Maler, vicepresidenta de innovación y tecnología emergente en ForgeRock. “La gestión de relación de identidad se basa en identidades seguras y portátiles, y eso significa que diferentes sistemas requieren comunicarse entre sí”.
Aunque esta es una autoprueba, las compañías tienen que tomarla en serio ya que está en juego la reputación de la compañía, señala Andre Boysen, promotor de identidad digital de SecureKey. La empresa tiene todos sus productos compatibilizados con OpenID Connect. “Uno pone su negocio y su credibilidad en juego, los negocios que hacen eso es porque están comprometidos con ello, explica. “Es tiempo de que las organizaciones que soportan OpenID Connect digan abiertamente ‘Aquí se usa OpenID Connect’. Cuando hagan eso, las transacciones van a comenzar a fluir”.
Las identidades seguras portátiles son de crucial importancia en el mercado de pagos, dice Raj Mata, director senior de gestión de productos para la plataforma de pagos de PayPal. “Desde el punto de vista del consumidor, sin importar donde me encuentre, la identidad tiene que funcionar sin problemas para todos”, explica. “Además, ahora tenemos la seguridad de que la persona con la que estamos colaborando ha pasado la prueba completa. Esto eleva la seguridad e interoperabilidad”.
La confianza que estas pruebas le ofrecen a los socios es lo que las hace importantes, señala Eric Sachs, director de gestión de productos para Identidad en Google. El gigante de búsquedas ha estado trabajando con OpenID durante unos siete años de modo que los titulares de cuentas en Google puedan utilizar sus identidades en otros sitios. “Adondequiera que vayamos, un sitio o un propietario de aplicación, para añadir Google, siempre hay algún nivel de confianza”, explica. “Esto sigue desarrollando la confianza y se van involucrando más sitios web y aplicaciones”.
Google estará certificado con OpenID Connect para caso de uso de consumidor y empresarial, dice Sachs. El kit de herramientas de identidad de Google apunta a permitir que los sitios web y las aplicaciones consuman el login de Google para los sitios. Google también ayuda a la parte empresarial, especialmente a los que tienen empleados utilizando aplicaciones y servicios basados en nube, sobre los cuales el departamento informático puede que no tenga conocimiento. Esa “informática en la sombra” termina por crear problemas de seguridad a las empresas, explica Sachs. Google actúa como un proveedor de identidad para las empresas y este nuevo sistema de pruebas permitirá confiar en otros servicios, de modo que los empleados pueden utilizar la identidad empresarial de Google.
OIXnet
Don Thibeau, OpenID
El registro OIXnet le dará transparencia a los servicios e implementaciones OpenID Connect, señala Thibeau. Registrarse ha de permitir descubrir los marcos de identidad de confianza que garantizarán la interoperabilidad. “Las transacciones de confianza son los motores de los servicios en línea”, manifestó Thibeau, presidente de OIX. “Al igual que un sello de aprobación de productos de un laboratorio de aseguradores, OIXnet es un registro en línea neutral y abierto que permite un nivel similar de confianza y descubrimiento a escala de Internet para una amplia variedad de marcos de confianza”. La Fundación OpenID fue la primera en utilizar OIXnet, registrando certificaciones OpenID de implementación por los miembros, incluyendo Google, Microsoft, ForgeRock, Ping Identity, PayPal y el Instituto de Investigación Nomura. En la segunda fase de la inscripción en el Registro OIXnet, los proveedores de marcos de confianza, como la Asociación SAFE-BioPharma Association y SecureKey, registrarán requerimientos comerciales legales y de interoperabilidad técnica en OIXnet.
La idea del registro data de varios años atrás, explica Peter Alterman, director de operaciones de Safe-BioPharma. Cuando él estaba en el Instituto Nacional de Salud se produjo un debate acerca de la creación de un registro autovalidado de atributos y en qué forma estos serían utilizados y expresados. OIXnet no es exactamente eso, pero es un inicio bien aproximado, añade Alterman. “No hay una vía que sea directa, hay muchas formas de hacerlo que compiten entre sí sin que exista un claro triunfador”, dice Alterman. “Un registro de lo que la gente está haciendo y de cómo lo hacen, es la próxima meta. Es una forma de ir avanzando.” SAFE-BioPharma registrará sus estándares de identidades digitales y firmas para su marco de confianza en OIXnet. SecureKey también registrará su marco de confianza SecureKey Concierge en el registro. SecureKey Concierge es un servicio que los canadienses utilizan para acceder a los servicios públicos en Canadá en los que se requiere una alta seguridad. Los bancos canadienses, que ya tienen establecidas relaciones sólidas y fiables con los canadienses, son los vínculos de confianza para el servicio. Los bancos estan bien situados para crear confianza para los consumidores en línea con las organizaciones gubernamentales.