He estado investigando varias investigaciones sobre identidad, PKI y control de acceso, tratando de reducir a una metodología simplificada para IAM (Identity & Access Management).
Una cosa que aparece en muchos lugares es el control de acceso basado en la capacidad, como en: sus permisos actuales están codificados en un ticket o certificado siguiendo la solicitud. Muchas investigaciones contemporáneas apuntan a esto como algo a lo que mirar, ya que significa otorgar una autorización temporal para realizar una determinada transacción. La autorización de la transacción suele ser más importante que establecer una identidad.
Me parece que SAML es lo suficientemente flexible como para manejar casos de uso, capacidades de codificación como atributos de SAML. También creo que las capacidades son una mejor coincidencia en un escenario federado que en los roles, ya que tratar de sincronizar las definiciones de roles (o incluso la identidad) entre las organizaciones parece inútil.
Sin embargo, he encontrado muy poca investigación, productos o incluso prototipos sobre la combinación de SAML y capacidades.
He empezado a consultar XPOLA , pero me pregunto:
- ¿Hay alguna otra investigación, documentos, productos o proyectos que debería examinar?
- ¿Alguno de los productos IAM o federación disponibles en el mercado proporciona alguna funcionalidad basada en capacidades?