Card, SecurityToken e Claims

Windows CardSpace dispone di una sezione apposita (raggiungibile tramite pannello di controllo) per la gestione delle card installate. Quest'ultime si distinguono in self-issued card, cioè create dall'utente stesso, o managed card, rilasciate da un'identity provider. Le managed card possono essere protette tramite username/password o smartcard, sono distribuite tramite file di estensione .crd (basati su XML) e non contengono nessuna informazione in modo diretto, ma permettono di contattare l'identity provider per il rilascio dei dati. Una volta che le card sono installate, possiamo proteggerle tramite PIN così da evitare che in caso di furto fisico del PC qualcuno possa usarle impropriamente. Possiamo inoltre farne un backup o esportarle su file .crds, proteggerle con una password e installarle così su altre macchine sulle quali ne faremo uso.
Il pannello di amministrazione si presenta quindi così:

Chiedere informazioni all'identity provider vuol dire ottenere un security token, criptato con chiave asimettrica, firmato digitalmente e facente uso di tecniche di timestamp per impedire il suo riutilizzo, contenente una serie di claim. I claim sono le singole informazioni, come il nome, il cognome, l'indirizzo o qualsiasi altra informazione che il security token server (STS) è in grado di dare.
Per definire i claims (identificati univocamente con un uri) che un security token possiede viene utilizzato il Security Assertion Markup Language (SAML). Questo permette di rendere le card molto simili al mondo reale in termini di funzionalità, così per esempio una card rilasciata da una banca può contenere verosimilmente il numero della carta di credito oppure una carta digitale contenere il proprio codice fiscale.
Le managed card contengono quindi una serie informazioni importanti per il loro utilizzo:

• Un'immagine Gif o Jpeg della carta ed il nome che verranno mostrati all'utente;
• Uno o più security tokens e i claims che essi contengono e che possono essere richiesti all'identity provider;
• Uno o più endpoint del STS tramite i quali ottenere i security tokens;
• L'endpoint dalla quale ottenere le policy di dialogo;
• La data di creazione della card;
• Un identficativo univoco generato dall'identity provider legato esclusivamente alla singola carta.

L'ambiente unificato di selezione delle card permette inoltre di contrastare fortemente il fenomeno del phishing, poiché ogni utilizzo della carta dev'essere confermato dall'utente, ogni primo utilizzo verso un nuovo relying party viene accompagnato dalla visione delle informazioni del certificato e l'intera interfaccia gode di un isolamento simile alla sessione di logon di Windows o all'User Account Control di Windows Vista, che impedisce ad eventuali spyware o virus di interferire o rubare informazioni.

Contenuti dell'articolo

• Pagina 1
  • Identity metasystem
• Pagina 2
  • Card, SecurityToken e Claims
• Pagina 3
  • Funzionamento del protocollo
• Pagina 4
  • Scenario di utilizzo con Internet Explorer 7
• Pagina 5
  • Conclusioni