e-Role

Descripción del proyecto

Identidad electrónica basada en Roles

La gestión de identidades es uno de los campos de la seguridad de ICT en los que más se ha trabajado y más novedades se han introducido en los últimos años.

Hoy en día, la identidad es realizada desde un enfoque centrado en el usuario: la e-administración se enfoca en la ciudadanía, el e-negocio se enfoca en los clientes privados, etc.

Para las organizaciones, los principales problemas en torno a la identidad son dos:

  • Se debe administrar una gran complejidad: un gran número de diversos usuarios, equipos, divisiones, empresas, aplicaciones, servicios, intranet, extranet, papeles, funciones, etc.
  • Ellos están cambiando continuamente: frecuentes reorganizaciones, fusiones y adquisiciones; personas que cambiaron de función en su trabajo; cambios de regulación internacionales, europeos o nacionales, etc.

Nos dirigimos al diseño de una solución que tenga la capacidad de conectar sistemas de identidad existentes y futuros en un metasistema de identidades. Este metasistema, o sistema de sistemas, debería reforzar las funcionalidades de los sistemas que lo constituyen, proporcionando interoperabilidad entre ellos, y permitiendo la creación de un interfaz de usuario consistente para todos ellos.

Las mejoras resultantes beneficiarán a todo el mundo, haciendo de Internet un sitio más seguro, ayudando a la e-colaboración, combatiendo el phising, y resolviendo otros retos de identidad digital.

Objetivos

Esta plataforma servirá como una base de comunicación para la gestión de las crisis en Europa:

  • Mejorar la competitividad en el campo de gestión de identidades y la seguridad.
  • Responder a las necesidades en cuanto a identidad no resueltos en los trabajos existentes a día de hoy.
  • Añadir nuevas funcionalidades a la capa identidad para proporcionar una dimensión orientada a la organización.
  • Desarrollar características alrededor de la seguridad y la identidad que complementen los desarrollos realizados en paralelo en otros proyectos de colaboración.
  • Estimular la colaboración entre usuarios, integradores e investigadores en este campo estratégico.

e-Role propondrá trabajar los roles en la capa de identidad en las cinco direcciones, que aparecen en la siguiente imagen:

imagen de puzzle del proyecto eRole

  • Añadir la noción de función en identidad: la idea es centralizar la noción función en la capa de identidad para poder tratarlo en cada servicio.
  • Añadir la noción de perfil virtual de usuario en identidad: esta noción está particularmente adaptada al control de puestos donde una responsabilidad 24/24 es requerida.
  • Mejorar la vía del modelado de roles adaptando herramientas de ingeniería de roles y conceptos existentes a las grandes organizaciones.
  • Permitir el suministro multidominio un suministro inteligente entre dominios administrados independientemente.
  • Permitir al usuario gestionar sus roles.

Retos tecnológicos

Función en identidad

Imagen representativa de la evolución del proyecto E-ROLE

La visión de e-Role viene de una evolución natural del paradigma de identidad, en el que la noción de función es trasladada desde la capa de servicios a la capa de identidad. La capa de identidad será capaz de tratar la gestión de las funciones usadas por el usuario de forma que la gestión no sea realizada por los servicios. Los servicios tratarán sólo con las funciones. La capa de identidad descubrirá la traslación usuario/función para temas de auditoría de forma que sea posible reconocer qué usuario está detrás de cada función que ha usado un servicio. Además, los servicios no implementarán capacidades de función, sino que e-Role las proporcionará.

La siguiente figura muestra la visión e-Role, trasladando la gestión de la función desde el servicio a la capa identidad y permitiendo a los servicios considerar sólo la función y no al usuario en sí mismo. Esta novedad beneficiará a los servicios que no tendrán que gestionar a los usuarios y todo lo que conlleva: gestión de la base de datos de usuario, asignación de usuarios, gestión de roles, atribución de roles, etc. Esto beneficiará al personal de administración gracias a la centralización de la gestión del rol y la función.

Perfil virtual de usuario

Imagen representativa de la delegación de la gestión de la identidad

Un nuevo cambio en la noción de función es considerar el perfil virtual de usuario. Usuarios individuales de un sistema tienen uno o más roles para actuar dentro de una organización.

Alguno de estos roles requieren la constante presencia online de un usuario humano, que suministre al sistema y a la organización las capacidades de entendimiento humano y la toma de decisiones. Sin embargo, los requisitos de una presencia online pueden no ser fáciles de asegurar. Los enfoques actuales requieren procedimientos organizacionales muy complejos a través de los cuales la organización trata de asegurar la continua presencia online humana realizando las tareas asociadas con el rol.

La carga de la organización puede aliviarse asegurando que existe al menos un usuario online que completa los roles requeridos. Esto se puede conseguir moviendo la tarea de gestión de usuarios online y roles en el sistema de información en vez de confiando en los servicios. Mover la gestión de roles al sistema puede conseguirse mediante la creación del concepto de perfil virtual de usuario. La siguiente figura ilustra la situación.

La gestión normal de usuarios está en la capa de identidad y el perfil virtual de los usuarios es gestionado por la capa de gestión del contexto y el rol específico.

La capa incluye gestión inteligente de roles y la información requerida por el usuario humano cumpliendo el rol. La delegación del rol incluye la transferencia necesaria de acceso a las aplicaciones, el estado de las aplicaciones y otra información contextual necesaria.
Actualmente, esta transferencia no puede ser hecha automáticamente y requiere gran esfuerzo por parte de los servicios. Dicha delegación puede ser requerida debido a una temporal o permanente indisponibilidad del usuario.

Socios del proyecto

Asociación Innovalia