Apresentação sbseg

Manaus, 12 de Novembro de 2013

UM MECANISMO AGREGADOR DE ATRIBUTOS MEDIADO PELO CLIENTE ALINHADO AO PROGRAMA DE EGOV.BR

Por: Marcondes Maçaneiro

Orientadora: Michelle Silva Wangham, Dra.

Universidade Vale do Itajaí – UNIVALI

Curso de Mestrado Acadêmico em Computação Aplicada – MCA

Um Mecanismo Agregador de Atributos Mediado Pelo Cliente Alinhado ao Programa de eGov.br

Marcondes Maçaneiro e Michelle Wangham

2

Problematização

Uso de Múltiplos IdPs podem trazer vantagens para os usuários

Segurança de seus dados

Em aplicações e-Gov, o usuário já possui múltiplos IdPs

Cenário: Professor quer comprar cartões de estacionamento da

prefeitura.

Prefeitura oferece descontos especiais para funcionários e professores

municipais

• (i) que é professor em uma instituição da rede de ensino municipal;

• (ii) que é proprietário de um veículo

• (iii) que é titular de um cartão de crédito

Múltiplos IdPs



3

Problematização

Necessita-se de mecanismo agregador de atributos capaz de coletar e

unir os atributos dos usuários disponibilizados em múltiplos IdPs

Terceira parte confiável (proxies). (CHADWICK et al., 2010; HOELLRIGL et

al., 2010; VOSSAERT et al., 2010;).

o proxy mantem o controle das informações

pode rastrear os acessos de usuário

o que pode comprometer a sua privacidade

Um mecanismo agregador de atributos deve inviabilizar o rastreamento

das ações dos usuários e dos seus atributos de identidade.

mecanismo agregador endo executado no próprio cliente

• abordagem conhecida como mediada pelo cliente



4

Introdução

Solução proposta

desenvolvimento de um mecanismo agregador de atributos, mediado

pelo cliente, que garanta a privacidade dos cidadãos em seus acessos a

serviços de governo eletrônico

Premissa: estratégia nacional de gestão identidades federadas e

centrado no usuário

• Na federação governamental, um cidadão terá atributos espalhados

por diversos provedores de identidade (múltiplos IdPs)

cliente ativo (privacidade aos usuários), executável no ambiente

operacional do usuário

protocolo SSL e assinaturas digitais

garantia da autenticidade dos atributos enviados aos SPs



5

SAML

O SAML é um framework baseado em XML usado para comunicar a

autenticação do usuário, seus direito, e seus atributos.

Permite a geração de afirmações de identidades, direitos e atributos

informados pelos usuários, ou uma organização parceira na troca de

informações entre aplicativos coorporativos.

O SAML é um protocolo flexível e extensível

Liberty Aliance – Iniciativa Kantara;

Shibboleth; e

WS-Security - OASIS

Em 2005, foi lançada a especificação do SAML versão 2.0 que fortalece a

construção de federações.



6Modelo Agregador de Atributos Proposto

Visão Geral



7

XML Schemas - Request



8

XML Schemas - Response

v



9Modelo Agregador de Atributos Proposto

Detalhamentos

Modo Transitório Dinâmico (Implementado sem SSO no IdP)

Modo Permanente Dinâmico (Prova de Conceito SSO nos IdPs)

Single Sign On

Modo Permanente Estático

Single Sign On

Política de Liberação de Atributos



10

Cenário para Aplicação do Mecanismo

Emissão de Passaporte

11

2

3

4

5

6



11Modelagem do Protótipo

Ferramentas e Técnicas Utilizadas

SAML (IdP e SP)

Java WebStart (Cliente Ativo)

SimpleSAMLPHP (IdP)

PHP (SPDCA, Provedor de Cliente Ativo, IdP, SP)

Serviço Web e REST (IdP, SP, Cliente Ativo)

XML Schema (padronização da interação CA e SP)

Indicar quais atributos devem ser agregados (SP para CA)

XML com as asserções SAML retornadas de cada IdP (CA para SP)



12

Avaliação dos Resultados da Pesquisa de Satisfação



13

Avaliação dos Resultados da Pesquisa de Satisfação



14

Autenticação SSO nos IdPs



15

Cliente Ativo – Java Web Start

Manaus, 12 de Novembro de 2013

UM MECANISMO AGREGADOR DE ATRIBUTOS MEDIADO PELO CLIENTE ALINHADO AO PROGRAMA DE EGOV.BR

Por: Marcondes Maçaneiro

Orientadora: Michelle Silva Wangham, Dra.

Universidade Vale do Itajaí – UNIVALI

Curso de Mestrado Acadêmico em Computação Aplicada – MCA

Apresentação sbseg

Documents

Transcript of Apresentação sbseg