Funzionamento del protocollo

L'intero identity metasystem prevede nel rapporto sitoweb/utente sostanzialmente due flow di funzionamento, molto simili tra loro. Nel primo non è presente un Security Token Server per la parte del Relying Party, ma il sito web stesso che riceve il token e autentica l'utente.

Come si vede dall'immagine, l'utente naviga all'interno di un sito finché giunge ad una pagina protetta e viene rediretto alla pagina di login (1). Il browser effettua quindi una seconda chiamata GET per ottenere la pagina login che contiene l'HTML per inserire le credenziali con l'attuale sistema e/o degli appositi tag HTML per Windows CardSpace (2) che specificano i claim richiesti. All'utente viene chiesto mediante l'interfaccia standard di selezionare la card che intende utilizzare (3) e in base ad essa viene contattato il Security Token Server dell'identity provider per ottenere dapprima tramite WS-MetadataExchange le policy di dialogo e successivamente tramite WS-Trust il security token (4). Il client, ricevuto il token, lo invia tramite POST su connessione HTTPS al Relying Party che lo autentica e che rilascia un cookie temporaneo per la navigazione, come oggi già avviene.

Nel secondo scenario invece anche il Relying Party dispone di un STS che riceve il security token, autentica l'utente ritornando così un nuovo token contenente informazioni personalizzate che verrà poi passato al sito web. Questa seconda architettura permette di avere un server dedicato all'autenticazione e non limitato solo ad HTTP e all'iterazione con i browser, ma anche utilizzabile per comunicazioni tra applicazioni standalone verso webservice o webservice verso webservice. Questa tecnologia è infatti a disposizione di WS-Security per avere un'infrastruttura di sicurezza facile da usare e standard per i servizi esposti. Windows Communication Foundation implementa tutte queste tecnologie e possiamo quindi creare webservice che facciano uso di Security Token, mentre con Windows Presentation Foundation possiamo creare applicazioni che mediante le card usufruiscono di un servizio.

Contenuti dell'articolo

• Pagina 1
  • Identity metasystem
• Pagina 2
  • Card, SecurityToken e Claims
• Pagina 3
  • Funzionamento del protocollo
• Pagina 4
  • Scenario di utilizzo con Internet Explorer 7
• Pagina 5
  • Conclusioni