OpenID
De Wikipedia, la enciclopedia libre
OpenID es un sistema de autenticación digital descentralizado, con el que un usuario puede identificarse en una página web a través de una URL (o un XRI en la versión actual) y puede ser verificado por cualquier servidor que soporte el protocolo.
En los sites que soporten OpenID, los usuarios no tienen que crearse una nueva cuenta de usuario para obtener acceso. En su lugar, solo necesitan disponer de un identificador creado en un servidor que verifique OpenID, llamado proveedor de identidad o IdP
El proveedor de identidad puede confirmar la identificación OpenID del usuario a un site que soporte este sistema.
A diferencia de arquitecturas Single Sign-On, OpenId no especifica el mecanismo de autenticación. Por lo tanto, la seguridad de una conexión OpenId depende de la confianza que tenga el cliente OpenID en el proveedor de identidad. Si no existe confianza en el proveedor, la autenticación no será adecuada para servicios bancarios o transacciones de comercio electrónico, sin embargo el proveedor de identidad puede usar autenticación fuerte pudiendo ser usada para dichos fines.
OpenID está ganando fuerza debido al anuncio de algunos sitios grandes, como Wikipedia y Technorati de la adopción de este sistema.
Tabla de contenidos |
[editar] Desarrollo
El sistema OpenID fue desarrollado originalmente por Brad Fitzpatrick de LiveJournal, aunque David Recordon de VeriSign, Josh Hoyt de JanRain y Dick Hardt de Sxip son ahora co-autores. Las futuras especificaciones de OpenID serán desarrolladas en una meritocracia basadas en la lista de distribución. Para apoyar la implantación de OpenID, un grupo de empresas anunció en agosto de 2006 un programa de contribuciones de desarrollo, ofreciendo 5000$ a los primeros diez proyectos de software libre que implemente total compatibilidad con OpenID.[1]
A partir de la versión 1.1, OpenID utiliza el protocolo de busqueda de servicios Yadis. Actualmente se está desarrollando la versión 2.0 de la Autenticación OpenID, aunque OpenID se está convirtiendo en un framework que soportará otros servicios de identificación además de la autenticación.
[editar] Terminología
Un glosario básico de los términos usados con OpenID:
- Usuario final: la persona que quiere acceder con su identidad a un site.
- Identificador: la URL o XRI elegida por el usuario final como su identificador OpenID.
- Proveedor de identidad: Un proveedor de servicios que ofrece registro de URL o XRI OpenID y proveen autenticación OpenID.
- Parte confidente: el site que quiere verificar la identidad del usuario final.
[editar] Como funciona OpenID
Un sitio web, como ejemplo.com, que quiere ofrecer acceso a sus visitantes a través de OpenID, coloca un formulario de identificación en alguna de sus páginas. Al contrario que los típicos formularios de identificación que preguntan al usuario por su nombre y contraseña, en este caso sólo existe un campo para el identificador OpenID. El sitio web puede optar por mostrar un pequeño logo OpenID junto al campo. Este formulario estará conectado a una implementación de la biblioteca cliente OpenID.
Si, por ejemplo, Alicia quiere acceder a ejemplo.com usando el identificador OpenID alicia.proveedor-openid.org que ella previamente ha registrado en el proveedor de identidad proveedor-openid.org, simplemente va a ejemplo.com y teclea alicia.proveedor-openid.org en la caja de identificación de OpenID. A partir de la versión 2.0 de la autenticación OpenID (y en algunas de las implementaciones de OpenID 1.1) Alicia también puede identificarse tecleando un i-nombre como =ejemplo.alicia o =ejemplo.comunidad*alicia.
Si el identificador es una URL, la primera cosa que debe realizar la parte (ejemplo.com) es transformarla a una forma canónica, del tipo http://alicia.proveedor-openid.org/. Con OpenID 1.0, la parte confidente solicita entonces la página web situada en dicha URL y, vía una etiqueta HTML de enlace, descubre que el servidor del proveedor es, pongamos, http://proveedor-openid.org/openid-auth.php. También descubre si debe o no usar una identidad delegada (ver más abajo). A partir de OpenID 1.1, el cliente realiza el descubrimiento de estos datos solicitando el 'documento XRDS (también llamado documento Yadis) con el tipo de contenido application/xrds+xml, que puede estar disponible en dicha URL y que siempre estará disponible a través de una XRI.
Hay dos modos mediante los cuales la parte confidente puede comunicarse con el proveedor de identidad:
checkid_immediate, el cual está orientado a la identificación automática y en el que toda comunicación entre los dos servidores se realiza como una tarea de fondo, sin que el usuario sea consciente de ello;checkid_setup, en el que el usuario se comunica directamente con el servidor proveedor usando el mismo navegador web que emplea para acceder al sitio de la parte confidente.
La segunda opción es más popular en la Web; también puede suceder que un checkid_immediate termine convirtiendose en un checkid_setup si la operación no puede automatizarse.
En primer lugar, la parte confidente y el proveedor (opcionalmente) establecen un secreto compartido, que la parte confidente se encarga de almacenar. Si se emplea checkid_setup, la parte confidente redirige el navegador web del usuario hacia el proveedor. En el ejemplo, el navegador de Alicia sería redirigido a proveedor-openid.org de manera que Alicia pudiera autenticarse contra el proveedor.
El método de autenticación puede variar, pero normalmente un proveedor OpenID pide una contraseña (y entonces posiblemente almacena la sesión del usuario usando cookies, tal y como hacen muchos sitios con autenticación basada en contraseña). En caso de que Alicia no tenga una sesión activa en proveedor-openid.org, este le solicitará su contraseña. Una vez tenga la sesión abierta el servidor la preguntará acerca de la confianza que le ofrece http://ejemplo.com/openid-retorno.php (la página designada por ejemplo.com como destino al que el usuario debería volver tras completar la autenticación para recibir los detalles de su identidad). Si ella responde positivamente, la autenticación OpenID se considera exitosas y el navegador es redirigido a la página de retorno indicada con las credenciales otorgadas. Si Alicia decide no fiarse del sitio de la parte confidente, el navegador también será redirigido, pero se notificará del rechazo a la parte confidente, de manera que ejemplo.com como contrapartida se negará a autenticar a Alicia.
Sin embargo, el proceso de login no ha terminado todavía porque en esta etapa, ejemplo.com no puede decidir si las credenciales recibidas realmente fueron recibidas desde proveedor-openid.org. Si ellos habían establecido previamente un secreto compartido, el consumidor puede validar el secreto compartido recibido con las credenciales que tuviese guardadas previamente. Cada consumidor es llamado con estado porque guarda el secreto compartido entre sesiones. En comparación, un consumidor sin estado o mudo deberá hacer una petición más a fondo (check_authentication) para asegurarse que los datos vinieron de verdad de proveedor-openid.org.
Después de que el identificador de Alicia haya sido verificado, ella será considerada registrada en ejemplo.com como alicia.proveedor-openid.org. El site puede entonces guardar la sesión o, si este es su primer registro, pedir a Alicia que introduzca información específica para ejemplo.com para terminar el registro.
[editar] Identificadores OpenID
A partir de la versión 2.0 de la autenticación OpenID (y en algunas de las implementaciones de OpenID 1.1), hay dos tipos de identificadores: URLs y XRIs.
[editar] URLs
Hay dos formas de obtener una URL OpenId valida que pueda ser usada para registrarse en todos los sitios que soporten OpenID.
- Primero, usar una URL existente que tu controles (como tu blog o página personal), y si sabes editar HTML, podrás insertar los tags OpenID apropiados en el código siguiendo las instrucciones de las especificaciones de OpenID. Comentar que usando un subdominio podrás hacer que tu OpenID sea mas fácil de escribir, pero no es necesario.
- Segundo, registrar tu identificador OpenID con un proveedor de identidades. Estos ofrecen la posibilidad de registrar URLs (habitualmente terceros niveles de dominio) configuradas automáticamente para ser utilizadas con servicios de autenticación OpenID.
[editar] XRIs
Los XRIs son un nuevo sistema de identificación en Internet, diseñado específicamente para identidades digitales de dominio cruzado. Los XRIs son de dos formas i-nombres e i-numeros que son habitualmente registrados simultáneamente como equivalentes. Los I-nombres son reasignables (parecidos a nombres de dominio), mientras que los i-numeros nunca son reasignados. Cuando un i-nombre XRI es usado como un identificador OpenID, este es resuelto inmediatamente por el i-numero equivalente (el elemento CanonicalID de un documento XRDS). Este i-numero es el identificador OpenID almacenado por la parte confidente. De esta manera el usuario y la parte confidente están protegidos contra los cambios de identidad que podrían suceder con una URL basada en un nombre DNS reasignable.
[editar] Referencias
- ↑ Yo quiero mi OpenID site de la comunidad, incluyendo programas de colaboración (ver colaboradores)
[editar] Enlaces externos
- OpenID openid.net (en inglés)
- identity.eastmedia.com — Recursos técnicos para interesados en OpenID y Identity 2.0 (en inglés)
- Activar OpenID — recursos para usuarios y desarrollaydores de OpenID (en inglés)
- Lista de sites Proveedores de Identidad (en inglés)
- Extensión MediaWiki - extensión oficial para que MediaWiki soporte OpenID (en inglés)
