Estudo sobre Interoperabilidade entre Sistemas de Gestão de
Identidades Federadas em Ambientes de Pesquisas
Colaborativas
Maykon Chagas de Souza, Michelle Silva Wangham
Universidade do Vale do Itajaı́ – (UNIVALI)
[email protected], [email protected]
Abstract. To provide collaborative research that permits interaction between
researchers from different institutions, it is necessary to provide authentication
and authorization for access to data generated and services used in this research. These collaborative environments can use different identity management
systems, or can be in different federations. The objective of this study is to
describe the results of a systematic review of the literature on interoperability
between identity management systems or between federations in collaborative
research environments such as virtual.
Resumo. Para prover pesquisas colaborativas que permitam a interação entre pesquisadores de diferentes instituições, é necessário prover a autenticação
e a autorização para o acesso aos dados gerados e serviços utilizados nestas pesquisas. Estes ambientes colaborativos podem utilizar diferentes sistemas de gestão de identidades ou podem estar em diferentes federações de
serviços. O objetivo deste trabalho é descrever os resultados de uma revisão
sistemática da literatura sobre interoperabilidade entre sistemas de gestão de
identidades ou entre federações em ambientes de pesquisas colaborativas como
as organizações virtuais.
1. Introdução
Laboratórios, institutos de pesquisas e empresas estão gerando uma grande quantidade de
dados que precisam ser acessados por pesquisadores em um ambiente colaborativo que
ultrapassa os domı́nios de uma organização [Broeder et al. 2012]. Pesquisas antes conduzidas por uma pessoa, agora são realizadas por um grupo de pesquisadores, podendo ser
um grupo de diferentes áreas e instituições que coletivamente usam seus conhecimentos
para tratar um problema especı́fico [Gemmill 2006]
De acordo com [Schroeder 2008], e-science pode ser definido como um ambiente de pesquisa colaborativo que, por meio de uma infraestrutura de serviços conectados
através da Internet, compartilha recursos computacionais e processamento de alto desempenho através de computação distribuı́da.
Dentro dos ambientes de e-science, diferentes instituições distribuı́das geograficamente se conectam através da Internet e estabelecem relações de confiança entre si para
desenvolverem pesquisas colaborativas. O resultado é um grupo sem fronteiras que atua
como uma rede de pessoas e instituições conectadas, que trabalham com o objetivo de
resolver problemas complexos e fazer ciência. Na literatura, este grupo é comumente
chamado de Organizações Virtuais (OV) [Gemmill 2006, Foster et al. 2001].
Para prover o estabelecimento das OVs, um dos desafios é a criação e o gerenciamento de um ambiente controlado entre os diferentes domı́nios administrativos que
possibilite a interação entre os pesquisadores autorizados [Capuano et al. 2010]. É preciso definir quem tem acesso a quais recursos e em quais circunstâncias, e também definir
quem terá privilégios para gerenciar as regras de acesso dos usuários [Foster et al. 2001].
Um ponto chave para os ambientes colaborativos é o uso de um sistema de
autenticação e autorização de usuários. Esses sistemas são conhecidos como sistemas de
gestão de identidades, Identity Management System (IdM). A gestão de identidades (GId)
pode ser definida como o conjunto de processos e tecnologias usados para garantir a identidade de uma entidade (usuário ou dispositivo), garantir a qualidade das informações de
uma identidade (identificadores, credenciais e atributos) e para prover procedimentos de
autenticação, autorização e auditoria [ITU-T 2009].
Em ambientes de e-science, o modelo de gestão de identidades federadas se apresenta como o mais adequado. Sistemas que seguem este modelo permitem que os pesquisadores envolvidos não necessitem de um novo usuário para acesso aos recursos que
serão compartilhados, o que possibilita que os responsáveis pela OV adicionem somente
as regras de acesso aos recursos deixando a autenticação a cargo da instituição de origem
(Identity Provider – IdP) de cada pesquisador [Cabarcos et al. 2009]. Uma federação
pode ser definida como uma forma de associação entre instituições parceiras de uma rede
colaborativa que usa um conjunto comum de atributos, práticas e polı́ticas para trocar
informações e compartilhar serviços, possibilitando a cooperação e transações entre os
usuários da federação [Carmody et al. 2005].
Outra importante caracterı́stica para os ambiente colaborativos das OVs, que alguns sistemas que seguem o modelo de identidades federadas possuem, é a autenticação
única (Single Sign On), que permite ao usuário acesso à diferentes provedores de serviços
(Service Providers – SPs) sem a necessidade de realizar a autenticação em cada um para
acessá-los.
Apesar dos ambientes federados simplificarem para o usuário a gestão de suas
identidades, existem problemas a serem tratados quando usuários precisam colaborar em
um ambiente de e-science que envolve mais de uma federação. Neste caso, os usuários
das OVs só poderão usufruir dos benefı́cios das identidades federadas quando houver interoperabilidade entre sistemas de gestão de identidades das federações ou dos domı́nios
administrativos envolvidos. Entretanto, muitos sistemas de gestão de identidades federadas possuem polı́ticas de uso diferentes, não foram desenvolvidos para interoperarem
ou não possuem mecanismos que possibilitem o estabelecimento dinâmico de relações de
confiança entre domı́nios administrativos de diferentes federações [Cabarcos et al. 2009].
O objetivo deste trabalho é analisar como a interoperabilidade entre sistemas de
gestão de identidades pode ser provida em ambientes colaborativos, como as organizações
virtuais. Este artigo descreve os resultados obtidos (trabalhos selecionados) de uma revisão sistemática da literatura sobre interoperabilidade entre sistemas de gestão de identidades (ou entre federações) em ambientes de pesquisas colaborativas (e-science).
Este artigo está organizado da seguinte forma. A Seção 2 apresenta os principais
conceitos relacionados a interoperabilidade entre sistemas de gestão de identidade. Na
Seção 3, são descritos como a revisão sistemática foi definida e conduzida e os trabalhos
selecionados. Em seguida, uma análise comparativa dos trabalhos é apresentada. Por fim,
a conclusão deste trabalho é apresentada na Seção 4.
2. Interoperabilidade entre Sistemas de Gestão de Identidade
Muitas organizações, instituições de ensino e empresas como, IBM, Oracle, Microsoft,
Google, estão aplicando recursos financeiros e humanos em pesquisa e desenvolvimento
de tecnologias para gestão de identidades. No entanto, com o desenvolvimento de diferentes sistemas, a interoperabilidade entre estes tornou-se um desafio [Chen et al. 2011].
Isto porque os sistemas adotados, muitas vezes, não utilizam a mesma tecnologia ou estas
não são compatı́veis entre si.
Soluções de gestão de identidades federadas, tais como SAML1 , OpenID Connect2 , WS-Federation3 definem como as informações dos usuários são tratadas e
como devem trafegar na rede. O uso de uma determinada tecnologia pode limitar o
acesso dos usuários somente aos domı́nios administrativos que utilizam esta tecnologia
[Hatakeyama 2009].
Segundo [Damiani et al. 2003], um sistema de gestão de identidades (GId) necessita que um conjunto de requisitos seja contemplado com o intuito de garantir uma melhor
experiência para os usuários. Porém, estas facilidades oferecidas ao usuário, não devem
afetar a segurança das informações pessoais. A interoperabilidade é listada como um destes requisitos. Segundo os autores, as identidades dos usuários devem ser representadas
em um formato comum, possibilitando que estas possam ser compreendidas e validadas
(mapeadas) em diferentes domı́nios administrativos.
Os sistemas de GId envolvem muitos componentes que trocam diversos tipos de
informações através das relações estabelecidas entre estes componentes. A interoperabilidade pode ser definida como a habilidade de qualquer componente interagir com sucesso
com qualquer outro mesmo que este utilize formas de trocas de mensagens e informações
totalmente distintas [Rundle e Trevithick 2007]
A interoperabilidade é considerada uma propriedade importante de um sistema de
GId escalável e flexı́vel e possibilita as instituições e organizações a habilidade de resolver os requisitos de confiança no momento em que há interação entre estas organizações
que possuem sistemas de gestão de identidades distintos [Husseiki e Gessner 2009]. De
acordo [Ates et al. 2007], para prover a interoperabilidade, é necessário que padrões sejam adotados de forma que as identidades dos usuários e os métodos para troca de mensagens entre as entidades dos sistemas de GId possam ser interoperáveis .
Prover a interoperabilidade entre sistemas de GId é um desafio em diferentes
cenários, tais como: colaboração entre empresas [Husseiki e Gessner 2009], estratégias
nacionais de gestão de identidades4 , sistemas de saúde [Domenech et al. 2014] e escience [Gentzsch et al. 2010].
A Iniciativa Kantara5 , através do Grupo de Trabalho de Interoperabilidade entre
1
http://saml.xml.org/saml-specifications
http://openid.net/connect/
3
http://docs.oasis-open.org/wsfed/federation/v1.2/os/ws-federation-1.2-spec-os.html
4
https://eid-stork.eu/
5
http://kantarainitiative.org/
2
Federações6 (FIWG), discute e analisa soluções de interoperabilidade com foco voltado
para interoperabilidade entre federações. De acordo com o FIGW, os sistemas de GId
devem permitir que usuários possam acessar recursos mesmo que estes façam parte de
um domı́nio de outra federação e que utilizam outra tecnologia [Madsen 2009].
Um dos objetivos do FIWG é definir a especificação de um perfil SAML que
possibilite a interoperabilidade entre o SAML e outros protocolos de autenticação e
autorização. As pesquisas realizadas pelo FIWG resultaram na definição de alguns requisitos 7 que tentam caracterizar as formas e nı́veis de interoperabilidade e as entidades
que interagem nestes nı́veis.
A fim de facilitar o entendimento, serão apresentados conceitos de algumas entidades que, juntamente com IdP e SP podem interagir em um ambiente federado, são
estas: Provedor de Atributos (AP), tem a capacidade de armazenar e prover atributos sobre usuários; Service Broker (SB) é um proxy que tem o papel de realizar o intermédio
entre dois elementos, normalmente, entre um SP e um IdP; Serviço de Descoberta (DS),
responsável por informar quais IdPs estão disponı́veis; e, o Serviço de Consentimento
(CS), que apresenta ao usuário os termos de uso do IdP e quais atributos estão sendo solicitados pelo SP que o usuário deseja acessar. Esta entidade permite ao usuário escolher
quais atributos serão liberados para o SP.
A seguir, estão descritas as formas de prover interoperabilidade, conforme foram
caracterizadas pelo FIGW da Iniciativa Kantara.
• Interoperabilidade provida pelas entidades.
1. Provida por IdP ou AP: um IdP ou um AP pode possuir ligações com
diferentes federações, provendo desta forma diferentes conjuntos de regras
para cada federação que este possui relação.
2. Provida por SP: um SP que oferece seus serviços a diferentes federações,
que aceita diferentes requisitos técnicos de segurança e que possui diferentes polı́ticas para cada federação.
3. Provida por SB/Hub: um serviço intermediador, chamado service broker
ou um hub, que se comporta como um IdP para os SPs conectados a este,
e como um SP para os IdPs de outra federação. Um SB é um ponto de
concentração para participação em múltiplas federações.
4. Provida por um Serviço de Descoberta ou Serviço de Consentimento do
Usuário: um DS e um CS podem operar entre diferentes Federações.
5. Provida pelos Operadores de Federações (FO-FO): o operador de uma
federação, em acordo com o operador de outra federação, conectam seus
serviços de forma a permitir acesso entre federações de seus usuários aos
serviços.
6. Federação de Federações: diversas federações que compartilham os metadados em uma meta-federação e que possui uma organização que coordena e gerencia as Federações, como o ocorre na eduGAIN8
• Interoperabilidade provida por nı́vel (camada): diferentes camadas de um
acordo não precisam ser compatı́veis. É possı́vel ter uma camada técnica, na qual
6
https://kantarainitiative.org/groups/federation-interoperability-work-group/
https://kantarainitiative.org/confluence/display/fiwg/Federation+Interoperability+Patterns
8
http://services.geant.net/edugain/Pages/Home.aspx
7
todos possuem tecnologias compatı́veis e outra uma camada legal na qual as partes
concordam sem ter participação nos assuntos técnicos.
1. Camada Técnica: Interoperabilidade em nı́vel de protocolos (exemplo, o
perfil SAML2Int9 ), buscando garantir também a confiança entre as partes.
2. Camada Legal: interoperabilidade entre Federações que utilizam uma
base legal comum, tem conhecimento mútuo sobre suas regras de
operação.
Outra caracterı́stica citada pelo FIWG que necessita de atenção para concepção de
um ambiente interoperável é a semântica dos atributos (como mapear os modelos de dados
das federações). De acordo com o grupo, uma “harmonização mı́nima” é necessária.
3. Revisão Sistemática da Literatura
[Kitchenham e Charters 2007] propõem quatro passos para conduzir uma revisão sistemática da literatura (RSL): (a) identificação dos recursos (questão de pesquisa, palavras
chaves e fontes), (b) seleção dos estudos, (c) extração dos dados e (d) análise dos dados.
Esta seção apresenta os oitos trabalhos selecionados a partir de uma revisão sistemática
da literatura que teve como motivação identificar trabalhos que tratam do problema da
interoperabilidade entre sistemas de gestão de identidades em ambientes de pesquisa colaborativa, as tecnologias e padrões utilizados, os contextos nos quais a solução proposta
foi aplicada, como os trabalhos foram desenvolvidos e avaliados e possı́veis problemas
em aberto.
Um protocolo de busca foi definido e executado com o objetivo de encontrar os
estudos primários que respondem a seguinte questão de pesquisa: Quais soluções foram
propostas para prover interoperabilidade em sistemas de gestão de identidades em ambientes colaborativos (e-science) como as organizações virtuais? Como questões adicionais
definiu-se ainda: (1) quais protocolos/tecnologias estão sendo utilizados nas soluções e
(2) em quais contextos foram aplicadas as soluções para prover interoperabilidade.
Na revisão executada em Junho de 2015, foram considerados apenas os estudos
em lı́ngua inglesa. O conjunto de palavras-chave e a string de busca definidas estão descritos em [1]. Foram escolhidas as cinco fontes mais relevantes na área: ACM Digital
Library10 , IEEEXplorer11 , ScienceDirect12 , Scopus13 e Springer Link14 . Para extrair a
primeira lista de trabalhos (passo 1 da RSL), executou-se a string de busca nas fontes citadas, considerando o tı́tulo e abstract, e utilizou-se como filtro trabalhos publicados entre
Janeiro de 2005 a Junho de 2015. A Tabela 1 resume os resultados obtidos em cada fonte
(artigos cientı́ficos publicados em periódicos (journals) e artigos de conferências/eventos
(conference proceedings).
[1] (“federated identity” OR “identity federation”) AND (“interoperability” OR “virtual
organization” OR “e-science”)
9
http://kantarainitiative.org/confluence/download/attachments/41649836/FIWG SAML2.0 INT SSO+De
ployment+Profile v0.1.pdf
10
http://dl.acm.org/
11
http://ieeexplore.ieee.org/
12
http://sciencedirect.com/
13
http://scopus.com/
14
http://link.springer.com/
Na etapa de seleção dos trabalhos (etapa 2 da RSL), os seguintes procedimentos
foram executados para inclusão e exclusão de trabalhos: (1) após verificar o tı́tulo, autores e filiação, procurou-se identificar os trabalhos repetidos (foi mantido o trabalho mais
recente). 30 trabalhos repetidos foram excluı́dos da lista; (2) após a leitura do tı́tulo e do
resumo de cada artigo, 26 foram incluı́dos na lista de artigos selecionados pois respondiam a questão primária de pesquisa, ou seja, os trabalhos descrevem uma solução para
prover interoperabilidade entre sistemas de gestão de identidades e não apenas descrevem
o problema; (3) com objetivo de refinar a lista dos artigos pré-selecionados, as conclusões
dos artigos incluı́dos no passo 2 foram lidas para confirmar que estes descrevem uma
solução para o problema (nesta etapa 10 artigos foram excluı́dos), (4) finalmente, após a
leitura de dezesseis trabalhos, foram selecionados oito trabalhos que apresentam de forma
consistente uma solução para prover a interoperabilidade entre sistema de gestão de identidades em ambientes colaborativos (e-science).
Resultado string
Trabalhos lidos
Trabalhos selecionados
ACM
37
6
5
IEEEXplore
38
2
2
ScienceDirect
85
1
-
Scopus
33
3
-
Springer
54
4
1
Total
247
16
8
Tabela 1. Extração dos Dados e Análise dos Dado da Revisão Sistemática da
Literatura
3.1. Descrição dos Trabalhos Selecionados
Em [Ates et al. 2007], os padrões SAML e WS-Federation foram analisados como objetivo de estudar as diferenças entres os padrões, identificar as similaridades, e por fim,
sugerir quais são as partes que precisariam adequadas para alcançar a interoperabilidade
entre estes. Após o estudo das federações (entidades envolvidas, regras e perfis) que
podem ser constituı́das com este padrões, os autores concluı́ram que para prover a interoperabilidade entre estes sistemas de gestão de identidades, uma terceira parte confiável,
que atue em ambas as federações e que implemente os dois padrões, precisa ser adotada.
O trabalho de [Gemmill et al. 2009] propõem uma ferramenta chamada my Virtual Organization Collaboration System (myVocs) para compartilhamento de recursos
entre diferentes organizações virtuais, utilizando autenticação federada através do Shibboleth (SAML). Diferentemente do VOMS, outra ferramenta para criação de OVs, que
provê autenticação através de certificados de atributos X.509 e infraestrutura de chaves
públicas, o myVocs é uma ferramenta que combina identidades federadas com atributos
auto-gerenciados de uma OV, tendo como foco ambientes de grid. Esta solução surgiu
como alternativa ao uso de soluções como VOMS e PERMIS, tendo como vantagem a facilidade de operação, visto que diferentemente das outras soluções, o myVocs é baseado
em atributos e não tem a necessidade de uma Autoridade Certificadora para confiança dos
atributos do usuário. Nesta solução, a autoridade de atributos pode ser o próprio IdP que
provê a autenticação.
A solução proposta por [Hatakeyama 2009] introduz um proxy entre as federações
para que este realize a interação e troca de atributos entre provedores que utilizam diferentes protocolos mas que estão sob as mesmas regras de uma federação. Isto a caracterizaria como uma solução para prover interoperabilidade entre IdPs, que tem as mesmas
regras e/ou contratos. De acordo com o levantamento das tecnologias, realizado pelo autor, a especificação SAML se mostrou a opção mais viável, devido a sua popularidade e
fácil implantação. O autor discute a interoperabilidade entre SAML e OpenID, porém,
segundo este é possı́vel a interoperabilidade com outra tecnologias, como OAuth15 ou
Windows CardSpace16 .
A objetivo do trabalho de [Garcı́a et al. 2013] é a utilização do Virtual Organization Management System (VOMS), de forma a prover a autenticação e autorização em um
ambiente multi-instituicional para experimentos com nuvens, geograficamente distribuı́do
e com diferentes provedores de recursos, como por exemplo, o OpenStack17 .
O trabalho apresenta o OpenStack como provedor de recursos e propõe a
integração deste com o VOMS, que será o sistema responsável pela autenticação. A proposta tem como foco utilizar a API para autenticação externa, disponı́vel no OpenStack
para prover a comunicação entre um módulo do VOMS no servidor web que redirecionará
o usuário para o servidor VOMS. Neste momento o servidor VOMS proverá um certificado de atributos do usuário, com informações de qual OV o usuário participa dentro do
OpenStack. Após a autenticação e o redirecionamento destas informações para a API do
Keystone, é feito um mapeamento dos atributos do usuário providos pelo VOMS para a
base interna do OpenStack.
A proposta de [Bouchami e Perrin 2014] é desenvolver um framework, que possibilitará a interoperabilidade e o controle de acesso em uma federação de recursos de
Platform as a Service (PaaS). A interoperabilidade será provida através da ferramenta
LemonLDAP::NG18 que realizaria a gestão da identidade do usuário e possibilita a interoperabilidade entre diferentes sistemas de gestão de identidade, e um módulo desenvolvido pelo autor realizaria a autorização do usuário no ambiente. Por fim, o autor
descreve o comportamento do framework proposto em relação a gestão de identidade.
Este framework se comportaria como um proxy atuando entre as diferentes federações e
realizando a interoperabilidade dos protocolos e a autorização do usuário ao acessar os
recursos.
Este trabalho tem como contexto federações de serviços e nuvem. Os protocolos de gestão de identidade não são descritos, pois esta caracterı́stica está delegada a
ferramenta LemonLDAP::NG. O módulo de autorização propõe o uso dos mecanismos
descritos na especificação XACML19 .
O objetivo do trabalho de [Catuogno e Galdi 2014] é apresentar uma solução para
a interoperabilidade entre dois sistemas de gestão de identidades através de uma prova
de conceito. Para validar esta solução foi utilizado o protocolo SAML e o Ponto de
Acesso para Provedores de Informação (PAPI). A solução proposta utiliza uma ponte que
participa das duas federações e realiza a tradução de um protocolo para outro durante
o processo de autenticação e autorização entre as federações. O trabalho apresenta o
funcionamento entre dos dois protocolos utilizados e por fim apresenta a proposta da
interação entre os protocolos utilizando uma ponte (bridge). Este trabalho foi apresentado
15
http://oauth.net/
https://msdn.microsoft.com/en-us/library/aa480189.aspx
17
http://openstack.org/
18
http://www.lemonldap-ng.org/
19
https://www.oasis-open.org/committees/download.php/2713/Brief Introduction to XACML.html
16
como uma proposta, com a descrição de um protocolo que realizará a tradução entre
Shibboleth e PAPI, sem implementação.
O trabalho apresentado por [Chard et al. 2014] tem como objetivo apresentar a
solução Globus Nexus, uma PaaS, que tem como foco disponibilizar uma plataforma para
o ambiente colaborativo de e-science disponibilizando uma série de serviços, como armazenamento de dados, provedor de recursos computacionais, e outros serviços para escience. Além dos serviços, o trabalho tem como objetivo apresentar os componentes
responsáveis pela parte de gestão de identidades.
O Globus Nexus pode atuar como um IdP, possui uma interface para cadastro de
usuários, gerenciando o ciclo de vida de identidades de usuários que se registrarem nele.
Também permite atuar como gerenciador de identidades de outros provedores, como as
instituições dos pesquisadores ou até ferramentas de terceiros, como Google Docs. Esse
gerenciamento é possı́vel utilizando o CILogon20 da InCommon21 , para gestão de identidades de instituições de ensino, que usam o SAML como protocolo, ou OpenID para
identidades do Google. Neste contexto ele só armazena as informações sobre as identidades, não a senha destas credenciais. Além disto tem suporte a gerência de certificados
digitais x.509. Outra funcionalidade é a gestão de grupos, como por exemplo uma lista de
e-mails. O trabalho não trata com detalhes se realiza interoperabilidade entre as tecnologias de gestão de identidade.
Em [Demchenko et al. 2014] é proposto o Intercloud Federation Framework
(ICFF) para gerenciar independentemente recursos de um ambiente heterogêneo,
domı́nios de usuários e provedores de identidades federados. A proposta é baseada
na experiência obtida pelo autor ao trabalhar em projetos colaborativos como EGEE22 ,
GEANT3GN3plus e GEYSERS, onde foram desenvolvidos modelos federados para
organizações virtuais baseada em federações de recursos de grid com acesso federado
para serviços de rede e serviços web, combinados com aprovisionamento de recursos de
redes por provedores de serviços de telecomunicações.
O trabalho realiza um levantamento das tecnologias de gestão de identidade federadas. Descreve os componentes para a gestão de identidade, a proposta prevê elementos
como IdP, SP, DS e um service broker para realizar a transposição de credenciais entre as
federações e serviço de registro. São descritas os componentes para realização do controle de acesso. O trabalho propoẽ a utilização do OpenStack e utilização do Keystone
para a gestão de identidade, uma API do OpenStack que implementa os mecanismo para
autenticação e autorização dos usuários no ambiente. A proposta prevê a interoperabilidade entre entidades através do OpenID, SAML, OAuth e CILogon.
3.2. Análise dos trabalhos
A Tabela 2 sintetiza algumas informações extraı́das dos trabalhos analisados. Dentre as
caracterı́sticas analisadas estão: (1) domı́nio ou contexto no qual a solução foi aplicada;
(2) quais tecnologias/padrões foram adotados na solução; (3)entidade que provê a interoperabilidade; e, (4) se a solução foi desenvolvida e avaliada.
A partir da Tabela 2, é possı́vel constatar que as soluções propostas estão foca20
http://www.cilogon.org/
http://www.incommonfederation.org/
22
http://eu-egee-org.web.cern.ch/eu-egee-org/index.html
21
Referência
Ates et al. (2007)
Gemmill et al. (2009)
Hatakeyama (2009)
López et al. (2013)
Bouchami e Perrin (2014)
Catuogno e Galdi (2014)
Chard et al. (2014)
Demchenko (2014)
Aplicação
Organização virtual
Organização virtual
Federação
Nuvem federada
Federação
Federação
Grid
Nuvem federada
Tecnologias
SAML, WS-Federation
SAML, X.509
SAML, OpenID
X.509, Keystone
LemonLDAP::NG
SAML, PAPI
SAML, X.509
Keystone
Entidade
Service Broker
Service Broker
Service Broker
IdP
FO-FO
IdP
IdP
IdP
Desenvolvido
não
sim
não
sim
não
não
sim
não
Tabela 2. Comparação entre os trabalhos resultado da RSL.
das em ambientes colaborativos, tais como as organizações virtuais, nuvens federadas,
grids e federações de serviços. No entanto somente três trabalhos [Hatakeyama 2009],
[Bouchami e Perrin 2014] e [Catuogno e Galdi 2014] abordam a interoperabilidade entre federações, porém nenhum deles houve implementação. Além disto, observa-se a
grande adoção da especificação SAML. Somente um trabalho utilizou uma especificação
mais recente, como o OpenID. Foi verificado que o protocolo PAPI, utilizado por
[Catuogno e Galdi 2014], é um protocolo antigo e aparentemente o trabalho pretende resolver um problema pontual, de sistemas legados, interoperando com um protocolo mais
recente, o SAML.
Em ambientes de nuvem, o Keystone, do OpenStack é o sistema mais utilizado, possivelmente pela grande quantidade de trabalhos que vêm utilizando esta infraestrutura para provimento de recursos computacionais. Em [Bouchami e Perrin 2014] a
autenticação é delegada a um framework o LemonLDAP::NG, sendo assim não é descrito
como são realizadas as trocas de mensagens entre as partes, sendo necessário uma análise
sobre o framework, que este trabalho não contemplou. Referente a entidade que provê
a interoperabilidade, o IdP foi a entidade mais adotada, apesar da abordagem baseada
no service broker ser a mais flexı́vel, já que diminui o impacto referente a alteração da
estrutura da federação e de seus domı́nios administrativos.
Um última consideração demonstrada através da tabela de comparação é a quantidade de implementações, somente 3 trabalhos tiveram implementação, sendo que
o trabalho de [Gemmill et al. 2009] foi implementando em protótipo e adotado pela
Comunidade TeraGrid23 em seu ambiente de experimentação (testbed), o trabalho de
[Garcı́a et al. 2013] foi adotado pela EGI Federated Cloud e também pela comunidade
do OpenStack e foi implementado no ambiente de testbed EGI Cloud24 e o trabalho de
[Chard et al. 2014] é disponibilizado como uma PaaS, parte da infraestrutura da Globus25 ,
um arcabouço de ferramentas para prover uma infraestrutura de grid para pesquisas colaborativas.
A maioria dos trabalhos apresentados não trata a interoperabilidade entre ambientes federados dinâmicos que permitam a criação de organizações virtuais para os ambientes de pesquisas colaborativas. A abordagem varia entre a interoperabilidade entre
federações que utilizam o mesmo protocolo ou diferentes protocolos entre domı́nios administrativos pertencentes a mesma federação.
23
https://www.xsede.org/home
http://www.egi.eu/infrastructure/cloud/
25
https://www.globus.org/
24
Dentre as questões em aberto e que podem ser exploradas em trabalhos futuros,
[Gemmill et al. 2009] sugere que o myVocs ofereça ainda a agregação de atributos para
o usuário que possuem atributos distribuı́dos em diversos sistemas [Garcı́a et al. 2013]
recomenda como trabalhos futuros a alteração do mecanismo de autenticação que usa
certificados X.509 para uma asserções SAML, o que permitirá a autenticação não só
em ambientes de grid mas também em nuvens de recursos. Ainda neste trabalho, outra
recomendação é o uso de controle de acesso baseado atributos (ABAC) e integração com
um serviço de agregação e mapeamento de atributos desenvolvido na Universidade de
Kent26 . [Bouchami e Perrin 2014] indicam como trabalhos futuros o desenvolvimento de
um módulo de controle de acesso para o framework. Já [Catuogno e Galdi 2014] sugerem
a implementação da solução proposta e análise do impacto do uso da solução no desempenho do processo de autenticação nos sistemas federados. [Demchenko et al. 2014] cita
como trabalhos futuros a continuação da pesquisa modelando o framework proposto e
avaliar os métodos para aprovisionamento de identidades e das polı́ticas de controle de
acesso em ambientes heterogêneos de nuvem.
4. Conclusões
Tendo como motivação a crescente demanda por ambientes colaborativos de e-science
que ultrapassam o contexto de uma única federação, este trabalho teve como objetivo
identificar e analisar, por meio de uma revisão sistemática da literatura, quais soluções
estão sendo propostas para prover a interoperabilidade entre sistemas de gestão de identidades e os ambientes nas quais estas soluções estão sendo aplicadas. Como resultado
deste estudo, foi possı́vel verificar que o problema da interoperabilidade entre sistemas de
GId é uma preocupação recorrente em diferentes cenários de aplicação e, por isso, é um
tópico de pesquisa ativo.
Há um grande interesse no desenvolvimento de pesquisas colaborativas, porém,
para conceber estes ambientes (as organizações virtuais), relações de confianças precisam ser dinamicamente estabelecidas. Sendo assim, um trabalho futuro proposto para
continuidade deste estudo é desenvolver um mecanismo que possibilite o estabelecimento
dinâmico de relações de confiança entre provedores que estão em federações distintas ou
até mesmo em um domı́nio administrativo fora do contexto de uma federação através da
criação de uma organização virtual. Além disso, este mecanismo proverá a interoperabilidade entre diferentes tecnologias de gestão de identidades federadas, possibilitando
a transposição de autenticação e de atributos dos usuários, este mecanismo atuará como
uma terceira parte confiável, que intermediará os acessos entre os domı́nios administrativos das instituições que desejarem participar do ambiente de e-science.
Referências
Ates, M., Gravier, C., Lardon, J., Fayolle, J., e Sauviac, B. (2007). Interoperability between heterogeneous federation architectures: Illustration with saml and wsfederation. In Proceedings of the 2007 Third International IEEE Conference on
Signal-Image Technologies and Internet-Based System, SITIS ’07, pages 1063–1070,
Washington, DC, USA. IEEE Computer Society.
Bouchami, A. e Perrin, O. (2014). Access control framework within a collaborative paas
platform. In Mertins, K., Bénaben, F., Poler, R., e Bourrières, J.-P., editors, Enterprise
26
https://www.kent.ac.uk/
Interoperability VI, volume 7 of Proceedings of the I-ESA Conferences, pages 465–
476. Springer International Publishing.
Broeder, D., Jones, B., Kelsey, D., Kershaw, P., Lüders, S., Lyall, A., Nyrönen, T., Wartel,
R., e Weyer, H. J. (2012). Federated Identity Management for Research Collaborations,
CERN-OPEN-2012-006. Technical Report CERN-OPEN-2012-006, CERN, Geneva.
Cabarcos, P. A., Mendoza, F. A., Marı́n-López, A., e Dı́az-Sánchez, D. (2009). Enabling
saml for dynamic identity federation management. In Wozniak, J., Konorski, J., Katulski, R., e Pach, A., editors, Wireless and Mobile Networking, volume 308 of IFIP
Advances in Information and Communication Technology, pages 173–184. Springer
Berlin Heidelberg.
Capuano, N., Gaeta, A., Gaeta, M., Orciuoli, F., Brossard, D., e Gusmini, A. (2010).
Management of virtual organizations. In Dimitrakos, T., Martrat, J., e Wesner, S., editors, Service Oriented Infrastructures and Cloud Service Platforms for the Enterprise,
pages 49–73. Springer Berlin Heidelberg.
Carmody, S., Erdos, M., Hazelton, K., Hoehm, W., Morgan, B., Scavo, T., e Wasley, D.
(2005). InCommon Technical Requirements and Information.
Catuogno, L. e Galdi, C. (2014). Achieving interoperability between federated identity
management systems: A case of study. J. High Speed Netw., 20(4):209–221.
Chard, K., Lidman, M., Bryan, J., Howe, T., McCollam, B., Ananthakrishnan, R., Tuecke,
S., e Foster, I. (2014). Globus nexus: Research identity, profile, and group management
as a service. In e-Science (e-Science), 2014 IEEE 10th International Conference on,
volume 1, pages 31–38.
Chen, J., Wu, G., e Ji, Z. (2011). Secure interoperation of identity managements among
different circles of trust. Computer Standards & Interfaces, 33(6):533–540.
Damiani, E., di Vimercati, S. D. C., e Samarati, P. (2003). Managing Multiple and Dependable Identities. In Managing Multiple and Dependable Identities, page 29–37.
IEEE.
Demchenko, Y., Ngo, C., de Laat, C., e Lee, C. (2014). Federated access control in
heterogeneous intercloud environment: Basic models and architecture patterns. In
Proceedings of the 2014 IEEE International Conference on Cloud Engineering, IC2E
’14, pages 439–445, Washington, DC, USA. IEEE Computer Society.
Domenech, M., Comunello, E., e Silva Wangham, M. (2014). Identity management in
e-health: A case study of web of things application using openid connect. In e-Health
Networking, Applications and Services (Healthcom), 2014 IEEE 16th International
Conference on, pages 219–224.
Foster, I., Kesselman, C., e Tuecke, S. (2001). The anatomy of the grid - enabling scalable
virtual organizations. International Journal of Supercomputer Applications, 15:2001.
Garcı́a, A. L., Fernández-del Castillo, E., e Puel, M. (2013). Identity federation with voms
in cloud infrastructures. In Proceedings of the 2013 IEEE International Conference on
Cloud Computing Technology and Science - Volume 01, CLOUDCOM ’13, pages 42–
48, Washington, DC, USA. IEEE Computer Society.
Gemmill, J. (2006). A trust relationship management framework for federated virtual
organizations.
Gemmill, J., Robinson, J.-P., Scavo, T., e Bangalore, P. (2009). Cross-domain authorization for federated virtual organizations using the myvocs collaboration environment.
Concurr. Comput. : Pract. Exper., 21(4):509–532.
Gentzsch, W., Kennedy, A., Lederer, H., Pringle, G., Reetz, J., Riedel, M., Schuller, B.,
Streit, A., e Wolfrat, J. (2010). Deisa: E-science in a collaborative, secure, interoperable and user-friendly environment. In eChallenges, 2010, pages 1–10.
Hatakeyama, M. (2009). Federation proxy for cross domain identity federation. In Proceedings of the 5th ACM Workshop on Digital Identity Management, DIM ’09, pages
53–62, New York, NY, USA. ACM.
Husseiki, R. e Gessner, D. (2009). D14.7: Analysis of contemporary security techniques
with respect to identification in business processes.
ITU-T (2009). NGN Identity Management Framework – Recommendation Y.2720.
Kitchenham, B. e Charters, S. (2007). Guidelines for performing systematic literature
reviews in software engineering.
Madsen, P. (2009). Proxying assurence between openid & saml.
Rundle, M. C. e Trevithick, P. (2007). Interoperability in the new digital identity infrastructure.
Schroeder, R. (2008). e-Sciences as research technologies: reconfiguring disciplines,
globalizing knowledge. Social Science Information, 47(2):131–157.