2. Evolución OpenID
2005
protocolo original desarrollado por Brad Fitzpatrick, que
estaba trabajando en Six Apart, un proveedor de blogs
2006
OpenID Authentication 1.1
Yadis 1.0 (Yet another distributed identity system)
OpenID Simple Registration Extension 1.0
2007
OpenID Authentication 2.0 (versión actual)
OpenID Attribute Exchange 1.0
2008
OpenID Provider Authentication Policy Extension 1.0
3. Que es OpenID
Estándar de identificación digital
descentralizado
Puede ser verificado por cualquier servidor que
soporte el protocolo.
A diferencia de otras arquitecturas
Single Sign-On, OpenId no especifica el
mecanismo de autenticación.
Solo necesitan disponer de un identificador
creado en un servidor que verifique OpenID,
4. Que es OpenID
Autenticación de Perfil Simple (Single Profile
Authentication)
One ID, aceptado en cualquier lugar
Un protocolo
Like HTTP, no es un API
Un estandar abierto
Código abierto, Nadie es propiertario (pero tiene
una Fundación que prove un framework legal)
5. El Problema
Muchos sitios Web, muchas cuentas
Faceboo
k
Twitter
Email Message
Boards
Blogs
MyUCSC
Bank
Accounts Calendar
G
am
ing
E-Commerce
Social
Bookmarking
Photo
Sharing
8. OpenId Connect in Azure
https://login.microsoftonline.com/{tenant}/.well-known/openid-configuration
9.
10. Proveedores OpenID
Estos son sitios que le darán fe de otros sitios.
Google.com/profiles/(your username)
(your blog name).blogger.com
Yahoo.com (or generate a unique URL at
openid.yahoo.com)
Flickr.com/(your username)
(your username).livejournal.com
Myspace.com/(your username)
(your username).wordpress.com
Openid.aol.com/(your username)
Windows
Live TBA 2010
14. Ventajas
El usuario decide quién va a ser su proveedor de
identidad, facilitando el SSO
Evita generar cuentas distintas en cada servicio
Las aplicaciones no tienen que implementar la gestión
de credenciales
Es un mecanismo totalmente descentralizado no se
necesita dar de alta ni establecer asociaciones entre el
proveedor de identidades y los proveedores de servicios
Posibilita cualquier tipo de autenticación contraseñas,
certificados, biometría
J
15. Amenazas para OpenID
El protocolo OpenID ha tenido muchas críticas en
cuanto a la seguridad y efectividad del mecanismo
Tras un auge, a partir de la versión 2.0, en la que
aparecieron multitud de OPs…
Hasta la aparición de las redes sociales y sus
necesidades de autenticación
Facebook y Google apuestan abiertamente por OpenID
17. OpenID - Intercambio de
Datos
Además de la autenticación, OpenID también puede
utilizarse para el intercambio de datos
SReg (Simple Registration Extension)
extensión que permite suministrar los datos básicos
necesarios para registrar una cuenta en un servicio:
nombre completo, alias, email, sexo, fecha de nacimiento, idioma,
código postal, país y zona horaria
AX (Attribute Exchange)
es una extensión a OpenID que permite el intercambio de
datos entre el RP y el OP
los datos a intercambiar y el tipo de los mismos se definen en
base a esquemas
ej.: http://schema.openid.net/contact/email
18. PKI
Una infraestructura
es una combinación de hardware, software, y
políticas y procedimientos de seguridad, que
permiten la ejecución con garantías de
operaciones criptográficas, como el cifrado, la
firma digital, y el no repudio de transacciones
electrónicas. de clave pública
19. Significado PKI
El término PKI se utiliza para referirse tanto a
la autoridad de certificación y al resto de
componentes, como para señalar, de manera
más amplia y a veces confusa, al uso de
algoritmos de clave pública en
comunicaciones electrónicas. Este último
significado es incorrecto, ya que no se
requieren métodos específicos de PKI para
usar algoritmos de clave pública.
20. Componentes PKI
La autoridad de certificación: es la encargada de emitir y
revocar certificados. Es la entidad de confianza que da
legitimidad a la relación de una clave pública con la
identidad de un usuario o servicio.
La autoridad de registro : es la responsable de verificar el
enlace entre los certificados (concretamente, entre la
clave pública del certificado) y la identidad de sus
titulares. Los repositorios: son las estructuras
encargadas de almacenar la información relativa a la
PKI
21. More Resources
. Los dos repositorios más importantes son el
repositorio de certificados y el repositorio de
listas de revocación de certificados. En una lista de
revocación de se incluyen todos aquellos certificados
que por algún motivo han dejado de ser válidos antes
de la fecha establecida dentro del mismo certificado.
La autoridad de validación (o, en inglés, VA,
Validation Authority): es la encargada de comprobar
la validez de los certificados digitales. La
autoridad de sellado de tiempo (o, en inglés, TSA,
TimeStamp Authority): es la encargada de firmar
documentos con la finalidad de probar que existían
antes de un determinado instante de tiempo. Los
usuarios y entidades finales son aquellos que poseen
un par de claves (pública y privada)
22. More Resources
OpenID Foundation: www.openid.net
Wikipedia Entry:
http://en.wikipedia.org/wiki/OpenID
Google Research into OpenID User Experience:
http://sites.google.com/site/oauthgoog/UXFedLogin/su
Concerns About Open ID:
http://www.tbray.org/ongoing/When/200x/2007/02/24/
and
http://www.readwriteweb.com/archives/the_troubles_w
23. Ejemplo de firma Digital
Avanzada
Desde Java
Se busca obtener un archivo XML
Encontrar el ID sobre el cual aplicar la firma
Y Firmar
El XML resultante incluira la clave publica,
El algoritmo de firma y el certificado digital
x509