Federaciones de identidad: otros casos de uso


El uso masivo de federaciones de identidad en los entornos académicos y de investigación, principalmente europeos, que se va extendiendo poco a poco (ver el mapa que mantiene REFEDS, el grupo de federaciones de identidad académicas de TERENA), responde a una necesidad principal: usuarios que quieren acceder a recursos mediante el usuario/password institucional. Estos recursos, desde proveedores de publicaciones científicas (Elsevier, Metapress, ...) a proveedores de servicios en la nube, tienen algo en común: todos son accesibles a través de un navegador, haciendo muy simple la integración con las federaciones de identidad a través de protocolos estandarizados como SAML2.

Sin embargo, esta funcionalidad, aunque cubre las necesidades de una mayoría de los usuarios, no cubre todos los escenarios que se producen en nuestra comunidad. En concreto, se han estudiado a escala europea las necesidades de las "comunidades científicas" (traducción literal de "scientific communities", generalización utilizada para identificar grupos de investigadores de distintas organizaciones unidos en torno a una misma disciplina científica, proyecto de investigación o e-infraestructura), habiéndose identificado que su trabajo sería más simple con una gestión de identidad y unas funcionalidades de federación de identidad específicas.

¿Cuáles son estas comunidades científicas? Por ejemplo el CERN (para física de altas energías), el proyecto ELIXIR (para ciencias de la vida), los proyectos CLARIN, DARIAH, CESSDA o DASISH (para el área de humanidades)... Muchos actores relevantes de la investigación europea identificaron, tras una serie de reuniones de trabajo, las necesidades que tienen en materia de federaciones de identidad. El resultado fue el denominado "FIM paper", publicado en abril de 2012.

¿Qué tipo de requisitos tienen, que no están disponibles en las federaciones de identidad actuales?. Por ejemplo, y sin ser exhaustivo, los siguientes:

  • Acceso federado fuera del navegador - por ejemplo, al usar el protocolo SSH
  • Niveles de seguridad de la autenticación (LoA) - trasladar cómo se ha autenticado el usuario: con usuario/contraseña, certificado digital, etc.
  • Que los proveedores de identidad sean flexibles en la emisión y definición de atributos, y que estos atributos sean homogéneos en todos los países
  • ...

Las federaciones de identidad académicas no tardaron en recoger el testigo, y desde TERENA y GÉANT se han creado grupos de trabajo para dar respuesta a estos requisitos de manera coordinada. Un ejemplo del trabajo que se está realizando en este sentido fueron los talleres organizados en Helsinki a principios de octubre de 2013, organizados por CSC y el proyecto ELIXIR, donde se juntaron 3 iniciativas:

  • VAMP (Virtual organisation Architectural Middleware Planning), taller para compartir experiencias sobre herramientas orientadas al trabajo colaborativo en comunidades científicas, así como para debatir sobre propuestas de futuro
  • FIM4R (Federated Identity Management 4 Research), grupo de trabajo específico formado por los autores del "FIM paper" y miembros de federaciones de identidad académicas
  • REFEDS (Research and Education FEDerations), es un grupo de representantes de federaciones de identidad académicas a nivel mundial, bajo el paraguas de TERENA

En los enlaces asociados a VAMP y FIM4R pueden verse las presentaciones de los eventos y algunos resúmenes de las discusiones. Desde RedIRIS estamos siguiendo con mucho interés estas discusiones y participando activamente en algunas iniciativas, con el objetivo de estar preparados cuando haya que integrar nuevas capacidades en el Servicio de Identidad de RedIRIS (SIR).