hit counter
Identity Metasystem & Windows CardSpace: 4a puntata - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Identity Metasystem & Windows CardSpace: 4a puntata

Identity Metasystem & Windows CardSpace: 4a puntata

  • Comments 1
  • Likes

... continua dalla 3a puntata:

L’utente al centro: l’Identity Selector

E’ proprio l’ultimo aspetto funzionale dell’IDMS che differenzia in modo univoco questa architettura dalle altre che già provano a risolvere il problema della federazione di identità. Diversamente da tali modelli (ad esempio quello proposto da Liberty Alliance), l’IDMS è un modello che pone l’utente al centro della dinamica di scambio delle informazioni pertinenti alle proprie identità digitali, lasciando a lui la piena autonomia di valutare le informazioni che gli vengono richieste dal sito che chiede di identificarlo, autenticarlo e autorizzarlo, e di consentire il relativo rilascio delle stesse informazioni.

L’esperienza tipica dell’utente in uno scenario basato su parti in grado di comunicare tramite l’IDMS è fatta dai seguenti passi:

1. L’utente naviga sul sito (Relying Party) che gli chiede di autenticarsi. Il sito propone, accanto alla tradizionale richiesta di credenziali deboli (username & password), anche un bottone di “Logon tramite Information Cards”.

2. La selezione di questo bottone scatena l’apertura, sul computer dell’utente, di una finestra (“Identity Selector”) che propone un set di immagini, del tutto simili a carte di credito (le “information cards”) che di fatto rappresentano le identità digitali memorizzate presso gli Identity Provider.

3. Mettendo in relazione i claims richiesti dal Relying Party con quelle in grado di essere fornite dalle Information Cards, il selettore di identità è in grado di proporre solo quelle che sono in grado di soddisfare questa transazione.

4. L’utente sceglie l’Information Card che desidera usare

5. Dietro le quinte questa scelta dell’utente produce una richiesta (autenticata) di un Security Token che contenga i claims richiesti dal Relaying Party verso l’identity Provider selezionato.

6. L’Identity Provider provvede a comporre un Security Token con i claims richiesti e a restituirlo al computer dell’utente che ora è in grado, su richiesta, di mostrare in dettaglio le diverse informazioni che si stanno per fornire al Relying Party.

7. Se l’utente acconsente, tali informazioni sono fornite al Relying Party che provvede a identificare, autenticare e autorizzare sulla base dei claims ricevuti.

clip_image002

 

clip_image002[6]

Il futuro già realizzato: Windows CardSpace

La piattaforma Microsoft ha già inserito nativamente l’Identity Selector nel suo più recente sistema operativo: il .NET Framework 3.0 già incluso in Windows Vista infatti aggiunge il componente Windows CardSpace che realizza l’interfaccia utente per interagire con l’IDMS. Le piattaforme diverse da quella Microsoft possono liberamente realizzare il proprio Identity Selector, e vi sono esempi pratici già realizzati in tal senso (il blog di Kim Cameron rappresenta una fonte indispensabile per aggiornamenti su questo tema). Identity Provider e Relying Party sono realizzabili su qualsiasi piattaforma. Anche l’interoperabilità con Liberty Alliance e altri modelli è parte di un processo di convergenza definito sotto il nome di “Progetto Concordia”. Quindi emerge che la tecnologia e le condizioni necessarie per la realizzazione dell’IDMS ci sono già tutti e non resta altro che raggiungere il più ampio consenso possibile per incentivare una estesa adozione di questo modello di interoperabilità delle identità digitali, per dare finalmente ad Internet quel livello di identità di cui finora era sprovvista.

Ulteriori informazioni sono disponibili al sito Microsoft http://msdn2.microsoft.com/en-us/netframework/aa663320.aspx , a cui va doverosamente aggiunto l'indispensabile blog Vibro. NET del mio amico Vittorio Bertocci, Senior Technical Evangelist di Microsoft Corporation.

Comments
  • (Ancora un altro post per darvi prova della mia esistenza in vita... anche se latitante sul blog: ho

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment