Os Servic¸os Web est˜ao baseados na Arquitetura Orientada a Servic¸o e o oferecem grandes vantagens para uso na integrac¸˜ao de aplicac¸˜oes e nas transac¸˜oes comerciais entre empresas atrav´es da Internet (business-to-business). Vantagens estas antes limitadas pelas tecnologias anteriores, como, por exemplo, CORBA, devido ao forte acoplamento desta ´ultima e inca- pacidade de atravesar os firewalls.
Se por um lado a tecnologia de Servic¸os Web motiva as organizac¸˜oes a oferecerem seus servic¸os no formato descrito pela tecnologia e assim potencializarem suas relac¸˜oes comer- ciais. Por outro lado, expor seus fluxos de neg´ocios e trocar informac¸˜oes com clientes em um ambiente inseguro como a Internet ´e motivo de precauc¸˜oes. Vogels (Vogels, 2004), apontou uma s´erie de limitac¸˜oes da tecnologia e entre estas a necessidade de garantir uma comunicac¸˜ao segura fim a fim. Os esforc¸os realizados por organizac¸˜oes como a OASIS, W3C, IETF, em agregar seguranc¸a `as especificac¸˜oes que forma a base da arquitetura de Servic¸os Web, tem resultado em um conjunto numeroso de especificac¸˜oes de seguranc¸a, prova da urgˆencia de agregar propriedades de seguranc¸a `a tecnologia de Servic¸os Web.
Este cap´ıtulo apresentou um conjunto de especificac¸˜oes de seguranc¸a projetados para Servic¸os Web. Tais especificac¸˜oes atendem v´arios requisitos de seguranc¸a necess´arios para a adoc¸˜ao de Servic¸os Web seguros. As especificac¸˜oes WS-Security, WS-Policy e WS-Trust em conjunto com as especificac¸˜oes de seguranc¸a para XML, trazem uma boa soluc¸˜ao de seguranc¸a. No entanto, estas especificac¸˜oes agregam complexidade `a tecnologia. Algumas
especificac¸˜oes de seguranc¸a carecem de uma maior maturidade e de desenvolvimento perante a dinamicidade dos Servic¸os Web. Por exemplo, as especificac¸˜ao WS-Policy, (WS-Policy, 2004) e WS-SecurityPolicy (WS-SecurityPolicy, 2003) at´e a data de conclus˜ao deste trabalho ainda n˜ao haviam sido aprovadas por organizac¸˜oes padronizadoras, como OASIS ou W3C. Por tr´as da padronizac¸˜ao est´a o interesses de gigantes do mundo da inform´atica, como a Microsoft, Sun Microsystem, etc, o que pode trazer dificuldades de interoperabilidade entre as especificac¸˜oes devido ao jogo de interesses.
Os esforc¸os para manter a interoperabilidade est˜ao concentrados na organizac¸˜ao WS-I. Apesar disso, a interoperabilidade frente a diferentes ambientes de seguranc¸a, com meca- nismos de autenticac¸˜ao distintos ainda n˜ao est´a bem fundamentada. Como um dom´ınio de seguranc¸a sobre uma tecnologia X.509 ir´a conversar com um dom´ınio SPKI desconhecido? As credenciais de seguranc¸a definidas para o mundo de Servic¸os Web ainda n˜ao abrangem diferentes tecnologias. A credencial de seguranc¸a para o Kerberos se tornou um documento oficial OASIS apenas em fevereiro deste ano, conforme (for the Advancement of Structured Information Standards, 2006).
A diversidade de especificac¸˜oes pode tamb´em dificultar a adoc¸˜ao da tecnologia por parte de empresas e organizac¸˜oes. Estas empresas n˜ao querem maiores preocupac¸˜oes em gerenciar e entender diversas especificac¸˜oes e sim em utilizar a tecnologia.
Diante do exposto acima, fazer uso da tecnologia de Servic¸os Web para atingir a trans- posic¸˜ao de autenticac¸˜ao e autorizac¸˜ao ´e ao mesmo tempo uma soluc¸˜ao interessante e de- safiadora. Interessante uma vez que a tecnologia apresenta meios para atravessar os dife- rentes dom´ınios administrativos. Desafiadora porque agregar um cojunto de especificac¸˜oes de seguranc¸a a soluc¸˜ao n˜ao ´e uma tarefa simples. Definir e implementar um modelo de transposic¸˜ao que faz uso da tecnologia de Servic¸os Web e dos conceitos de gerenciamento da identidades federadas ´e a proposta desta dissertac¸˜ao.
Cap´ıtulo 4
Gerenciamento de Identidades Federadas
e as Relac¸˜oes de Confianc¸a em Servic¸os
Web
4.1
Introduc¸˜ao
O cap´ıtulo anterior apresentou a tecnologia de Servic¸os Web com suas especificac¸˜oes, vantagens, desvantagens e desafios. Desafios estes que, no contexto deste trabalho, se con- centram principalmente em garantir a seguranc¸a nas interac¸˜oes entre duas entidades desco- nhecidas e, al´em disso, com diferentes infra-estruturas de seguranc¸a.
Devido `a dinˆamica do ambiente dos Servic¸os Web, onde servic¸os s˜ao agregados, `as vezes de forma tempor´aria, para atender um determinado fluxo de neg´ocios, o gerenciamento de identidade ganha uma atenc¸˜ao cada vez maior. As especificac¸˜oes WS-Trust (WS-Trust, 2005), WS-Federation (WS-Federation, 2003a) e SAML (OASIS, 2002a) definem proto- colos e mecanismos para auxiliar na tarefa de estabelecer uma relac¸˜ao de confianc¸a e geren- ciar as identidades dos usu´arios, conforme visto no cap´ıtulo anterior. Basicamente, estas especificac¸˜oes definem uma autoridade, ou seja, uma terceira parte confi´avel (Trust Third
Party- TTP) (Kimery and McCord, 2002), respons´avel por emitir credenciais de seguranc¸a
para um principal, assegurando que este ´e quem diz ser e que possui determinados atributos, como um identificador, uma chave p´ublica, etc. Desta forma, as especificac¸˜oes apresentam meios para permitir a federac¸˜ao de identidades e assim obter a transposic¸˜ao dos mecanismos de autenticac¸˜ao e de autorizac¸˜ao atrav´es da mediac¸˜ao da confianc¸a.
Segundo (Jøsang and Pope, 2005; Jøsang et al., 2005), no gerenciamento de identidades federadas cada empresa constr´oi um dom´ınio, onde est˜ao presentes os seus provedores de servic¸o, de identidades e de credenciais. Os acordos estabelecidos entre os dom´ınios per- mitem que identidades locais a um dom´ınio sejam aceitas nos demais dom´ınios participantes
do acordo. A id´eia por tr´as de criar identidades federadas ´e basicamente permitir que o usu´ario, com uma identidade registrada em seu dom´ınio, acesse recursos em outros dom´ınios da federac¸˜ao, sem abertura de novo registro (e de nova identidade) no dom´ınio que det´em o recurso.
Segundo (Jøsang et al., 2005), a concretizac¸˜ao de identidades federadas tem como ponto fundamental as relac¸˜oes de confianc¸a entre provedores de servic¸os e clientes, e entre os pr´oprios provedores de servic¸o. Em (Wu and Weaver, 2005), o estabelecimento de uma relac¸˜ao de confianc¸a ´e apontado como crucial para concretizar as relac¸˜oes de neg´ocios, seja em um ambiente de identidades federadas ou n˜ao. O estabelecimento de uma relac¸˜ao de confianc¸a ´e definido por (Wu and Weaver, 2005) como o mecanismo pelo qual uma entidade confia em uma segunda entidade para executar um conjunto de ac¸˜oes ou emitir um conjunto de afirmac¸˜oes.
Este cap´ıtulo tem por objetivo apresentar uma breve introduc¸˜ao aos conceitos relaciona- dos ao gerenciamento de identidades e destacar a importˆancia do estabelecimento das relac¸˜oes de confianc¸a em Servic¸os Web para concretizar as relac¸˜oes de neg´ocios. Al´em disso, este cap´ıtulo apresenta os esforc¸os da literatura para atingir a transposic¸˜ao de autenticac¸˜ao e autorizac¸˜ao atrav´es do conceito de identidades federadas e/ou para o estabelecimento da confianc¸a entre Servic¸os Web.