Compartir a través de


AppFabric Access Control

El servicio de Control de acceso (AppFabric Access Control)  permite generar una autorización federada entre aplicaciones y servicios, sin la programación complicada que, por lo general, se requiere para proteger aplicaciones que atraviesan los límites de la organización.

Al admitir un sencillo modelo declarativo de reglas y reclamos, las reglas del Control de acceso pueden configurarse con facilidad y flexibilidad para cubrir varias necesidades de seguridad y distintas infraestructuras de administración de identidades.

A continuación puede verse el esquema de funcionamiento del Control de acceso de la plaforma Azure.


Figura 1.- AppFabric Access Control

No se puede decir que este componente de la plataforma Azure sea de uso común en la gran mayoría de las aplicaciones Azure, pero si que es de gran utilidad en las ocasiones en las que orquestar servicios y comunicarlos entre sí es la principal labor que tiene que realizar la aplicación.

Terminología

A modo de resumen, se comentan algunos de los términos que se emplean cuando se habla de Access Control.

Identidad: El término identidad suele emplearse para referirse al conjunto de claims que dispone un usuario y que han sido devueltos por una entidad certificada, Access Control en el caso de Windows Azure. Los claims devueltos por Access Control componen la identidad del usuario que realiza la conexión.

Claim: Es la unidad mínima con la que se describe la identidad de un usuario, por ejemplo, su nombre, su edad, su dirección de correo etc...Podría describirse como un atributo nombre-valor. Los claims sirven para componer la identidad de un usuario.

Token de Seguridad: Un token de seguridad no es más que un conjunto de claims que definen la identidad de un usuario. Cuando un usuario intenta realizar una comunicación con un cliente debe indicar en la petición el token de seguridad, su conjunto de claims, para que el servicio que recibe la petición pueda conocer la identidad del usuario que realiza la llamada y poder actuar en consecuencia.

Secure Token Service: Es la entidad proveedora de claims, Access Control en el caso de Windows Azure. Un STS debe ser capaz de recibir peticiones de los clientes a través de protocolos interoperables, validar al usuario y devolver los claims asociados a él.

Proveedor de identidad: Es la entidad que realiza la autenticación de usuarios, aquella que se encarga de comprobar que el usuario dice quién dice ser. El Secure Token Service hará uso de uno o más proveedores de identidad para comprobar la validez del usuario. Un proveedor de identidad puede ser Active Directory, Windows Live ID o Facebook.

Relaying Party: Es el servicio o aplicación que requiere de los servicios de autenticación y autorización y que implementa un mecanismo de seguridad basado en claims.