PTYOC - AA-RR (Authentication and Authorization Requester-Responder)


Este proyecto persigue la definición de un sistema capaz de generar peticiones y respuestas entre los elementos de autenticación y de autorización de una infraestructura distribuida (Authentication and Authorization Infrastructure, AAI). Este sistema estará orientado a validar la interoperabilidad (o al menos, proporcionar una indicación acerca de ella) de los componentes de una determinada AAI con los de otra, con el objetivo de facilitar la fiederación de las mismas y ofrecer a los usuarios la posibilidad de mantener una identidad digital única.

El sistema se construirá bajo los siguientes principios:

  • El uso de metadatos para describir los requisitos de una determinada AAI en tanto que formatos, atributos, etc.
  • El empleo de, al menos, los dos formatos de intercambio de datos sobre los que existe un consenso más amplio: SAML sobre SOAP/HTTP y SPOCP nativo sobre TCP.
  • La capacidad de emplear, cuando se requiera, conexiones TLS.

El AA-RR deberá ser capaz de emular tres clases de elementos:

  1. Fuentes de atributos, capaces de emitir datos acerca de un determinado usuario una vez se ha autenticadp. Estos elementos son, básicamente, capaces de aceptar peticiones de elementos de la clase 2 y responder con los atributos requeridos.
  2. Consumidores de atributos. Estos elementos realizan peticiones a los de la clase 1 y llevan a caba una decisión sobre la autorización para realizar cierta acción para un determinado usuario en función de la respuesta recibida.
  3. Motores de autorización. Estos elementos son capaces de decidir acerca de una petición realizada por un elemento de clase 2 a partir de una definición de política instalada en su configuración. Pueden responder con un valor binario ("si/no") o incluir datos adicionales relativos a la decisión que han llevado a cabo.

El AA-RR permitirá a los desarrolladores de nuevos elementos integrados en una AAI una rápida evaluación de su capacidad de conexión con otros elementos complementarios de la misma AAI o de otras.

Más datos

Design of a AA Requester-Responder. Publicado como resultado del grupo TF-AACE de TERENA.