Información general del Proveedor de Identidad

Un proveedor de identidad Persona (IdP) es un dominio que firma y certifica directamente la identidad de sus usuarios. Como las identidades Persona están basadas en direcciones de correo electrónico, es un paso natural para cualquier dominio que ofrezca correo electrónico convertirse en IdP.

Si usted tiene un nombre de dominio, puede convertirse en un IdP de Persona implementando el soporte para el protocolo BrowserID.

El documento de apoyo IdP

Los dominios anuncian su capacidad de actuar como IDPs mediante la publicación de un documento de apoyo en /.well-known/browserid. Este documento formateado con JSON contiene tres valores:

  • public-key: La parte pública de la clave de cifrado del dominio.
  • authentication: La página del dominio para pedir a los usuarios que inicien sesión.
  • provisioning: La página del dominio para certificar la identidad de los usuarios.

Los sitios web utilizan la clave pública para verificar la autenticidad de las aserciones de identidad de los usuarios.

Los navegadores utilizan los valores autenticación y aprovisionamiento para obtener la certificación de identidad de los usuarios.

Para obtener más información, incluyendo cómo los dominios pueden delegar en otros IdP, véase la /.well-known/browserid documentation.

Cómo interactúan los navegadores con los IDPs

Para demostrar cómo los navegadores y los IDPs interactúan, veamos qué pasa la primera vez que alice@example.com utiliza Persona para iniciar sesión en un sitio web.

  1. El navegador de Alice obtiene el documento de soporte de https://example.com/.well-known/browserid.
  2. El navegador de Alice carga de manera invisible la página de aprovisionamiento d'example.com, pidiéndole que firme una clave pública certificando la identidad de Alice.
  3. Antes de firmar la clave, example.com necesita pruebas de que el usuario realmente es Alice, así que le indica al navegador que ella necesita autenticarse.
  4. El navegador de Alice le muestra a Alice la página de autenticación de example.com y ella inicia sesión, estableciendo una nueva sesión a example.com.
  5. El navegador de Alice vuelve a cargar la página de aprovisionamiento y de nuevo le pide que firme la clave pública que certifica la identidad de Alice.
  6. La página de aprovisionamiento puede verificar la identidad de Alice inspeccionando la sesión recién creada. Satisfecha, firma un certificado que contiene la clave pública de Alice, su dirección de correo electrónico, y una fecha de caducidad del certificado.

Durante la vigencia del certificado firmado, el navegador de Alice puede crear aserciones de identidad válidos para alice@example.com cada vez que quiere acceder a un sitio web con Persona.

Los pasos 3-5 pueden ser omitidos si Alice ya tiene una sesión válida con example.com, por ejemplo, si ha iniciado sesión en el correo web o un portal de intranet.

Cómo interactúan los sitios web con los IDPs

Supongamos que Alice quiere acceder a 123done.org. Su navegador genera y firma una aserción de identidad que contiene el certificado de más arriba y que presenta como prueba de su identidad.

Al comparar la firma de la aserción de identidad de Alice con la clave pública en el interior del certificado firmado, 123done puede estar seguro de que el certificado ha sido emitido para la misma persona que ha generado la aserción de identidad. Sin embargo, 123done aún debe comprobar que el certificado es válido examinando la firma.

Como el certificado ha sido emitido para alice@example.com, 123done coge el documento de soporte de https://example.com/.well-known/browserid. Extrae la clave pública y la compara con la firma del certificado de Alice. Si la clave coincide con la firma, 123done sabe que el certificado es legítimo y puede finalmente permitir que Alice inicie sesión.

Tenga en cuenta que 123done no "ha llamado nunca por teléfono a casa" o ha revelado de ninguna otra manera la identidad de Alice cuando ella ha iniciado sesión. Tan sólo ha necesitado pedir un simple documento a example.com que además puede ser guardado en la memoria caché.

Seguridad y confianza

El protocolo BrowserID, y por tanto Persona, se basan en técnicas estándar de criptografía de clave pública.

Puede consultar nuestra documentación sobre los conceptos criptográficos que hay detrás de cómo funcionan los IdP de Persona o puede leer los detalles sobre cómo están implementados los IDPs.

Etiquetas y colaboradores del documento

Etiquetas:
Colaboradores de esta página: sembrestels
Última actualización por: sembrestels,