Sistemas de Gestão de Identidade

Ficha de Unidade Curricular – 2º Ciclo

Unidade Curricular / Curricular Unit
Sistemas de Gestão de Identidade / Identity Management Systems

Ciclo de Estudos / Study Cycle
Engenharia Informática e Sistemas de Informação / Informatics Engineering and Information Systems

Nome do Docente Responsável
José Luís de Azevedo Quintino Rogado

Objectivos de aprendizagem (conhecimentos, aptidões e competências a desenvolver pelos estudantes)
O objectivo desta UC é apresentar os princípios que permitem estabelecer relações de confiança entre aplicações em contextos distribuídos e potencialmente inseguros, que levaram a uma modificação importante das tecnologias de Gestão de Identidade, Autenticação e Autorização, permitindo uma gestão federada dos perfis de utilizadores e das políticas de acesso.
No final da cadeira, os estudantes deverão:
•    Identificar os diversos componentes de um sistema de Gestão de Identidade;
•    Conhecer as tecnologias nas quais se baseiam as infra-estruturas de Autenticação e Autorização
•    Identificar as formas de propagação de confiança entre os diversos intervenientes
•    Entender os princípios da gestão de identidade federativa e conhecer as implementações mais recentes
•    Saber utilizar os conceitos adquiridos em actividades profissionais ou académicas, realizando implementações ou projectos de I&D ligados à Gestão de Identidade em ambientes de computação em rede.

Intended learning outcomes (knowledge, skills and competences to be developed by the students)
The purpose of this course is to present the principles for establishing trust relationships between applications in distributed and potentially unsafe environments, leading to an important modification of the technologies for Identity, Authentication and Authorization Management, allowing a federative aggregation of user profiles, attributes and access policies.
At the end of the Course, students should:
• Identify the various components of an Identity Management System
• Understand the security technologies on which Authentication and Authorization infrastructure rely
• Identify ways to propagate trust among the various stakeholders of a access transaction
• Understand the principles of federated identity management  and be familiar with the current main implementations
• Use the concepts acquired in the course in their professional or academic activities, implementing or participating in R&D projects in the area of Identity Management in network computing environments.

Conteúdos programáticos
1. Introdução
Necessidades, Objectivos e Evolução
Identificação e Autenticação: factores de autenticação, contextos de segurança
Infra-estruturas de Autenticação e Autorização
2. Modelos de Gestão de Identidade
Evolução da Gestão de Identidade
Autorização e Controle de Acessos: políticas, modelos e mecanismos
Modelos locais, em rede, federados e globais
3. Modelos de Confiança
Confiança Baseada em Terceiros
Confiança Implícita: Kerberos
Confiança Explícita: PKI
Web-of-trust, reputação e comunidades de confiança
Federativo: necessidades, requisitos e implementação
4. Tecnologias de Suporte à Federação
XML Security: XML encryption, XML Signature, XML Key Management
Web Service Security: Secure SOAP Messages
SAML: Profiles, Bindings, Assertions
XACML: Especificação de Atributos
Web Services Security Framework
5. Modelos e Plataformas de Autenticação
Shibboleth: o modelo Federativo
OpenID Connect e OAuth2: autenticação centrada no utilizador
WebId: a Web Semântica

Syllabus
1. Introduction
Needs, objectives and evolution
Identification and Authentication: authentication factors, security contexts
Authentication & Authorization Infrastructures
2. Models of Identity Management
Evolution of Identity Management models
Authorization and Access Control: Policies, models and mechanisms
Local models, networking, federal and global
3. Models of Trust
Trusted Third Party
Implicit Trust: Kerberos
Explicit Trust: PKI
Web-of-trust, reputation and community trust
Federation: needs, requirements and implementation
4. Technology Support for Federation
XML Security: XML encryption, XML Signature, XML Key Management
Web Service Security: Secure SOAP Messages
SAML Profiles, Bindings, Assertions
XACML: Specification of Attributes
Web Services Security Framework
5. Authentication Models and Platforms
Shibboleth: the federative model
OpenID, OAuth: user centric authentication
WebID: the Semantic Web

Demonstração da coerência dos conteúdos programáticos com os objectivos de aprendizagem da unidade curricular
Para a utilização de serviços na Web, componente essencial do paradigma de computação na nuvem, importa garantir que o acesso à informação é realizado de forma segura, por entidades autenticadas e dispondo de autorização para as operações pretendidas. Esta necessidade é comum a ambientes institucionais e a utilizadores individuais, razão pela qual a gestão de identidade, presente na maioria das infra-estruturas corporativas de grandes dimensões, tem evoluído para uma gestão de identidade centrada no utilizador. O conteúdo programático desta UC, propõe uma abordagem dos principais conceitos e tecnologias associados à criação de infra-estruturas de autenticação e autorização clássicos e dos novos métodos e protocolos de propagação de confiança que permitem a sua extensão a ambientes distribuídos e inseguros, garantindo acessos autenticados, seguros e controlados, entre organismos cooperantes ou áreas privadas pessoais de um mesmo utilizador, tal como explicitado nos objectivos da UC.

Evidence of the syllabus coherence with the curricular unit’s intended learning outcomes
To access services in the web, an essential component of the cloud computing paradigm, it must be assured that access to information is performed securely by authenticated entities that have authorization for the operations requested. This need is common to institutional environments and individual users, and explains why identity management, which is present in most of large enterprise infrastructures, has evolved to the concept of user centric identity management. The syllabus of this course starts with an approach of the key concepts and technologies needed associated for building traditional infrastructure authentication and authorization, and explores new methods and protocols for trust propagation that allow its extension to distributed and insecure environments, allowing secure, authenticated and controlled access between cooperating entities, or between personal private areas of the same user, as proposed in the course objectives.

Metodologias de ensino (avaliação incluída)
Esta UC utiliza uma abordagem expositiva dos fundamentos e tecnologias da área da Segurança e Gestão de Identidade, apresentando as recentes evoluções que permitem o suporte de Ambientes Federados e Globais. Esta é complementada por uma forte componente exploratória baseada em pesquisa realizada individualmente pelos alunos, promovida através do estudo e apresentação de temas inseridos no programa da cadeira ou possivelmente mais avançados. A componente prática promove uma abordagem participativa, baseada em auto-aprendizagem ou aprendizagem por pares concretizada pela realização da implementação de um caso de uso real, através da qual os candidatos adquirem competências profissionalizantes nas tecnologias abordadas.
A avaliação é constituída pela realização de uma apresentação (40%) e realização de um projecto (60%). A aprovação na cadeira é obtida com uma nota mínima de 10 valores na média ponderada das duas componentes.

Teaching methodologies (including assessment)
This unit uses an expository approach of the fundamentals and technologies in the area of Security and Identity Management, presenting recent developments that support Federated and Global Environments. This is complemented by a strong exploratory-based component, conducted individually by students, that is promoted through the study and presentation of themes included in the course syllabus or possibly more advanced. The practical component promotes a participatory approach, based on self or peer learning, achieved by implementing a real use case, through which candidates acquire professional skills in the technologies addressed.
The assessment consists of a presentation (40%) and a project (60%). The approval is obtained in the course with a minimum score of 10 on the weighted average values of the two components.

Demonstração da coerência das metodologias de ensino com os objectivos de aprendizagem da unidade curricular
Nesta unidade curricular o ensino é realizado através de aulas teórico-práticas, o que permite utilizar, por um lado, metodologias expositivas na apresentação dos princípios fundamentais dos Sistemas de Gestão de Identidade e a sua evolução recente em torno do conceito de Gestão de Identidade centrada no Utilizador. Por outro, são utilizadas metodologias exploratórias baseadas em pesquisa e descoberta, para promover a aquisição efectiva de competências sobre as formas como esses princípios podem ser utilizados para implementar sistemas federados que permitem utilizar uma autenticação única para aceder de forma segura vários recursos em contextos distribuídos. O ensino é complementado por sessões de auto-aprendizagem em que os candidatos adquirem o domínio de tecnologias utilizadas na implementação das plataformas de gestão de identidade actuais. Por outro lado, a realização de apresentações individuais promove a atitude crítica e avaliação por pares relativamente aos conhecimentos adquiridos. Desta forma, as metodologias utilizadas enquadram-se nos objectivos enunciados para esta Unidade Curricular.

Evidence of the teaching methodologies coherence with the curricular unit’s intended learning outcomes
In this curricular unit, teaching is performed in theoretical-practical classes, which allows, on one hand, the usage of expository methodologies to present the fundamental principles of Identity Management and its recent evolution towards the concept of User Centric Identity Management. On the other hand, the usage of exploratory methodologies based on research and discovery, allow the acquisition of competencies to use these principles to implement federated systems allowing a single authentication to securely access various resources in distributed environments. Teaching is complemented by self-learning sessions where candidates learn how to master the platforms and technologies used in the development of the most recent identity management systems. Besides, performing individual presentations promotes a critical attitude and the opportunity for peer reviewing with respect to the knowledge acquired. Therefore, the teaching methodologies used address all the objectives stated for this curricular unit.

Bibliografia Principal / Main Bibliography
“Digital Identity Management”, by  Maryline Laurent & Samia Bouzefrane, 2015, Ed. ISTE Press – Elsevier, ISBN-10:  1785480049.
“Identity Management: Concepts, Technologies, and Systems” by Kenji Takahashi, 2011, Ed. Artech House, ISBN-10: 1608070395
“Mechanics of User Identification and Authentication: Fundamentals of Identity Management” by Dobromir Todorov, 2007, Ed. Auerbach, ISBN-10: 1420052195
“Access Control Systems: Security, Identity Management and Trust Models” by Messoud Benantar, 2005, Ed. Springer-Verlag New York Inc., ISBN-10: 0387004459
“Digital Identity”, by Phil Windley, 2005, Ed. O’Reilly, ISBN-10: 059600878