Panoràmica dels Proveïdors d'Identitat

Un proveïdor d'identitat Persona (IdP) és un domini que signa i certifica directament la identitat dels seus usuaris. Com les identitats Persona estan basades en direccions de correu electrònic, és un pas natural per a qualsevol domini que ofereixi correu electrònic convertir-se en IdP.

Si vostè té un nom de domini, pot esdevenir un IdP de Persona implementant el suport per al protocol BrowserID.

El document de suport IdP

Els dominis anuncien la seva capacitat d'actuar com a IdPs mitjançant la publicació d'un document de suport a /.well-known/browserid. Aquest document formatat amb JSON conté tres valors:

  • public-key: La part pública de la clau de xifrat del domini.
  • authentication: La pàgina del domini per demanar als usuaris que iniciïn sessió.
  • provisioning: La pàgina del domini per certificar la identitat dels seus usuaris.

Els llocs web utilitzen la clau pública per verificar l'autenticitat de les assercions d'identitat dels usuaris.

Els navegadors utilitzen els valors autenticació i aprovisionament per obtenir la certificació d'identitat dels usuaris.

Per obtenir més informació, incloent com els dominis poden delegar a d'altres IdP, vegeu la /.well-known/browserid documentation.

Com interactuen els navegadors amb els IdPs

Per demostrar com els navegadors i els IdPs interactuen, vegem què passa el primer cop que alice@example.com utilitza Persona per iniciar sessió en un lloc web.

  1. El navegador d'Alice obté el document de suport de https://example.com/.well-known/browserid.
  2. El navegador d'Alice carrega de manera invisible la pàgina d'aprovisionament d'example.com i li demana que signi una clau pública certificant la identitat d'Alice.
  3. Abans de signar la clau, example.com necessita proves de que l'usuari realment és Alice, així que li indica al navegador que ella necessita autenticar-se.
  4. El navegador d'Alice li mostra a Alice la pàgina d'autenticació d'example.com i ella inicia sessió, establint una nova sessió a example.com.
  5. El navegador d'Alice torna a carregar la pàgina d'aprovisionament i de nou li demana que signi la clau pública que certifica la identitat d'Alice.
  6. La pàgina d'aprovisionament pot verificar la identitat d'Alice per la inspecció de la nova sessió. Satisfeta, signa un certificat que conté la clau pública d'Alice, la seva adreça de correu electrònic, i una data de caducitat del certificat.

Durant la vigència del certificat signat, el navegador d'Alice pot crear assercions d'identitat vàlids per alice@example.com cada vegada que vol accedir a un lloc web amb Persona.

Els passos 3-5 poden ser omesos si Alice ja té una sessió vàlida amb example.com, per exemple, si ha iniciat sessió al correu web o a un portal d'intranet.

Com interactuen els llocs web amb els IdPs

Suposem que Alice vol accedir a 123done.org. El seu navegador generara i signara una asserció d'identitat que conté el certificat de més amunt i que presenta com a prova de la seva identitat.

En comparar la signatura de l'asserció d'identitat d'Alice amb la clau pública a l'interior del certificat signat, 123done pot estar segur de que el certificat li ha estat emès a la mateixa persona que ha generat l'asserció d'identitat. No obstant això, 123done encara ha de comprovar que el certificat és vàlid examinant la signatura.

Com que el certificat ha estat emès per a alice@example.com, 123done agafa al document de suport de https://example.com/.well-known/browserid. N'extreu la clau pública i la compara amb la signatura del certificat d'Alice. Si la clau coincideix amb la signatura, 123done sap que el certificat és legítim i pot finalment permetre que que Alice iniciï sessió.

Tingueu en compte que 123done no "ha trucat mai per telèfon a casa" o d'una altra manera ha revelat la identitat d'Alice quan ella ha iniciat sessió. Tan sols ha necessitat demanar un simple document a example.com que a més pot ser guardat a la memòria cau.

Seguretat i confiança

El protocol BrowserID, i per tant Persona, es basen en tècniques estàndard de criptografia de clau pública.

Pot consultar la nostra documentació sobre els conceptes criptogràfics que hi ha darrera de com funciona un IdP de Persona o pots llegir més detalls de com estan implementats els IdPs.

Document Tags and Contributors

 Contributors to this page: teoli, sembrestels
 Last updated by: teoli,