Le basi per un Common Identity Framework
Per chi come me sta lavorando assiduamente sull’inserimento del modello claims-based nelle attuali architetture dei clienti non può perdere il post e relativo documento di Kim Cameron dal titolo : “Proposal fo a Common Identity Framework: A User-Centric Identity Metasystem” scritto da Kim Cameron, Reinhard Posch e Kai Rannenberg tutti nomi molto conosciuti nell’ambito dell’Identity Management (come potrete leggere dal post di Kim). (download : PDF o DOC)!!!
In questo documento vengono esplicitati i principi base su cui si può fondare un Identity Metasystem capace di integrare e razionalizzare la gestione delle identità indipendentemente dagli stack tecnologici utilizzati. Il tutto, ovviamente, in conformità delle principali leggi sulla sicurezza e sorpattutto sulla privacy. Vi assicuro che questo documento è di estrema utilità perchè evidenzia con chiarezza i principali “blocchi” architetturali e relative dipendenze.
Tra l’altro questo documento è stato inserito nel libro The Future of Identity in the Information Society un trattato che raccoglie ricerche effettuate in vari stati europei sull’identificazione dei cittadini, le ID cards, gli impatti delle leggi sulla privacy e tutti gli aspetti di computer forensics legate ai crimini informatici basati sul furto di identità.
Tre sono gli aspetti di questo whitepaper che mi hanno aiutato (più di tutto) a formalizzare meglio alcuni aspetti del lavoro che sto facendo in questo periodo sulla claims-based security: la suddivisione architetturale fatta tramite gli abstract services, la tassonomia dei claims e il concetto di Data Minimization. Con la definizione degli abstract services si riesce ad avere una visione olistica dell’architettura di un Identity Metasystem senza entrare nei tecnicismi che inevitabilmente vengono introdotti quando si lavora con un determinato vendor/prodotto. Nel documento questi servizi vengono presentati come astratti perchè rappresentano le funzioni di base dell’architettura e successivamente i vendor potranno realizzare i propri sistemi reali calando questa visione astratta nei propri modelli.
Stiamo quindi parlando di abstract services come il Primordial Claim Abstract Service, Registration Abstract Service, Claims Provider Abstract Service, Claims Selector Abstract Service, Claims Approver Abstract Service, Resource Matching Abstract Service.
La tassonomia dei claims invece diventa utilissima quando si lavora a livello architetturale alla definizione dei claims gestibili in azienda e relativa suddivisione per applicazione:
Type of Claim |
Comment |
Examples |
Static |
What we have traditionally called “properties” and “attributes” of the subject – static within some window of time |
National identifiers and employee numbers Date of Birth Name Address |
Relationship |
Subject is in some relationship with another subject (and open-ended model with multiple sources and viewpoints) |
Member of arbitrary group Member of assigned role Relationship to another subject (e.g. Personal Assistant or Parent) Mandate (e.g. trustee) Acting-as / On-behalf-of relationships |
Derived |
Claims that convey minimum necessary information by deriving it from facts but not releasing the facts |
Over 21 or Under 16 University Student Person in Drug Trial Unmarried Female in 20’s |
Capability |
Authentication and authorization both based on claims transformation. Capabilities are determined by relying party within a defined scope |
Can-read-calendar Can-access-write-operation Denied-update-in-given-scope |
Contextual Claims |
Factors useful in evaluating the security presentation. |
Authentication technology, location, time |
Infine gli aspetti di Data Minimization ci permettono di focalizzare quali sono gli ambiti in cui è necessario garantire il minor numero di informazioni personali degi utenti come le collezioni, aggregazioni, storage, retention,replication, distribution,linkage…
Un documento quindi che NON si piò NON leggere se si lavora nel campo dell’ Identity Management !!!
--Mario