Gestão de Identidade Descentralizada / Decentralized Identity Management

Docente responsável:
José Quintino Rogado

Objetivos de aprendizagem (conhecimentos, aptidões e competências a desenvolver pelos estudantes):
OA1. O objetivo desta UC é apresentar os princípios que permitem estabelecer relações de confiança entre aplicações em contextos distribuídos e potencialmente inseguros, que levaram a uma modificação importante das tecnologias de Gestão de Identidade, Autenticação e Autorização, permitindo uma gestão federada dos perfis de utilizadores e das políticas de acesso.
OA2. Identificar os diversos componentes de um sistema de Gestão de Identidade;
OA3. Conhecer as tecnologias nas quais se baseiam as infraestruturas de Autenticação e Autorização OA4. Identificar as formas de propagação de confiança entre os diversos intervenientes
OA5. Entender os princípios da gestão de identidade descentralizada e conhecer as implementações mais recentes OA6. Saber utilizar os conceitos adquiridos em atividades profissionais ou académicas, realizando implementações ou projetos de I&D ligados à Gestão de Identidade em ambientes de computação em rede.

Intended learning outcomes (knowledge, skills and competences to be developed by the students):
LG1. The purpose of this course is to present the principles for establishing trust relationships between applications in distributed and potentially unsafe environments, leading to an important modification of the technologies for Identity, Authentication and Authorization Management, allowing a federative aggregation of user profiles, attributes and access policies.
LG2. Identify the various components of an Identity Management System
LG3. Understand the security technologies on which Authentication and Authorization infrastructure rely LG4. Identify ways to propagate trust among the various stakeholders of a access transaction LG5. Understand the principles of decentralized identity management and be familiar with its the current main implementations
LG6. Use the concepts acquired in the course in their professional or academic activities, implementing or participating in R&D projects in the area of Identity Management in network computing environments.

Conteúdos programáticos:
CP1. Introdução Necessidades, Objetivos e Evolução Identificação e Autenticação: fatores de autenticação, contextos de segurança Infraestruturas de Autenticação e Autorização.
CP2. Modelos de Gestão de Identidade (IdM) Evolução da Gestão de Identidade Autorização e Controle de Acessos: políticas, modelos e mecanismos Modelos locais, em rede, federados e globais.
CP3. Modelos de Confiança Confiança Baseada em Terceiros Confiança Implícita: Kerberos Confiança Explícita: PKI Web-of-trust, reputação e comunidades de confiança Federativo: necessidades, requisitos e implementação. CP4. Tecnologias de Suporte à Federação XML Security: XML encryption, XML Signature SAML: Profiles, Bindings, Assertions JSON Web Tokens (JWT): formato e utilização.
CP5. Modelos e Plataformas de Autenticação Shibboleth: o modelo Federativo OpenID Connect e OAuth2: autenticação centrada no utilizador WebId e Solid: a Web Semântica e Descentralizada UPort e Sovrin; IdM Auto soberana e descentralizada.

Syllabus:
PC1. Introduction Needs, objectives and evolution Identification and Authentication: authentication factors, security contexts Authentication & Authorization Infrastructures.
PC2. Models of Identity Management (IdM) Evolution of Identity Management models Authorization and Access Control: Policies, models and mechanisms Local models, networking, federal and global.
PC3. Models of Trust Trusted Third Party Implicit Trust: Kerberos Explicit Trust: PKI Web-of-trust, reputation and community trust Federation: needs, requirements and implementation.
PC4. Technology Support for Federation XML Security: XML encryption, XML Signature SAML Profiles, Bindings, Assertions JSON Web Tokens (JWT): format and usage.
PC5. Authentication Models and Platforms Shibboleth: the federative model OpenID, OAuth: user centric authentication WebId e Solid: the Semantic and Decentralized Web UPort e Sovrin; Self-sovereign and decentralised IdM.

Demonstração da coerência dos conteúdos programáticos com os objetivos de aprendizagem da unidade curricular:
OA1 – todos os CP
OA2 – CP1, CP2 e CP3
OA3 – CP4 e CP5
OA4 – CP1, CP2 e CP3
OA5 – CP1, CP2, CP3 CP4 e CP5
OA6 – CP4 e CP5

Evidence of the syllabus coherence with the curricular unit’s intended learning outcomes:
LG1 – todos os PC
LG2 – PC1, PC2 e PC3
LG3 – PC4 e PC5
LG4 – PC1, PC2 e PC3
LG5 – PC1, PC2, PC3 PC4 e PC5
LG6 – PC4 e PC5

Metodologias de ensino (avaliação incluída):
ME1. Esta UC utiliza uma abordagem expositiva dos fundamentos e tecnologias da área da Segurança e Gestão de Identidade, apresentando as recentes evoluções que permitem o suporte de Ambientes Federados e Globais. ME2. Esta é complementada por uma forte componente exploratória baseada em pesquisa realizada individualmente pelos alunos, promovida através do estudo e apresentação de temas inseridos no programa da cadeira ou possivelmente mais avançados.
ME3. A componente prática promove uma abordagem participativa, baseada em auto-aprendizagem ou aprendizagem por pares concretizada pela realização da implementação de um caso de uso real, através da qual os candidatos adquirem competências profissionalizantes nas tecnologias abordadas.
A avaliação é constituída pela realização de uma apresentação (40%) e realização de um projeto (60%). A aprovação na cadeira é obtida com uma nota mínima de 10 valores na média ponderada das duas componentes.

Teaching methodologies (including students’ assessment):
TM1. This course uses an expository approach of the fundamentals and technologies in the area of Security and Identity Management, presenting recent developments that support Federated and Global Environments. TM2. This is complemented by a strong exploratory-based component, conducted individually by students, that is promoted through the study and presentation of themes included in the course syllabus or possibly more advanced. TM3. The practical component promotes a participatory approach, based on self or peer learning, achieved by implementing a real use case, through which candidates acquire professional skills in the technologies addressed.
The assessment consists of a presentation (40%) and a project (60%). The approval is obtained in the course with a minimum score of 10 on the weighted average values of the two components.

Demonstração da coerência das metodologias de ensino com os objetivos de aprendizagem da unidade curricular:
Nesta unidade curricular o ensino é realizado através de aulas teórico-práticas, o que permite utilizar, por um lado, metodologias expositivas(ME1) na apresentação dos princípios fundamentais dos Sistemas de Gestão de Identidade e a sua evolução recente em torno do conceito de Gestão de Identidade centrada no Utilizador (OA1, OA2, OA3, OA4, OA5),. Por outro, são utilizadas metodologias exploratórias (ME2) baseadas em pesquisa e descoberta, para promover a aquisição efetiva de competências sobre as formas como esses princípios podem ser utilizados para implementar sistemas federados que permitem utilizar uma autenticação única para aceder de forma segura vários recursos em contextos distribuídos (OA1, OA6),. O ensino é complementado por sessões de auto-aprendizagem (ME2) em que os candidatos adquirem o domínio de tecnologias utilizadas na implementação das plataformas de gestão de identidade atuais. Por outro lado, a realização de apresentações individuais (ME3) promove a atitude crítica e avaliação por pares relativamente aos conhecimentos adquiridos (todos os OA). Desta forma, as metodologias utilizadas enquadram-se nos objetivos enunciados para esta Unidade Curricular.

Evidence of the coherence between the teaching methodologies and the intended learning outcomes:
In this course, teaching is performed in theoretical-practical classes, which allows, on one hand, the usage of expository methodologies (TM1) to present the fundamental principles of Identity Management and its recent evolution towards the concept of User Centric Identity Management (LG1, LG2, LG3 LG4, LG5). On the other hand, the usage of exploratory methodologies (TM2) based on research and discovery, allow the acquisition of competencies to use these principles to implement federated systems allowing a single authentication to securely access various resources in distributed environments (LG1, LG6). Teaching is complemented by self-learning sessions (TM3) where candidates learn how to master the platforms and technologies used in the development of the most recent identity management systems. Besides, performing individual presentations promotes a critical attitude and the opportunity for peer reviewing with respect to the knowledge acquired (all LG). Therefore, the teaching methodologies used address all the objectives stated for this course.

Bibliografia de consulta/existência obrigatória:
M. Laurent, S. Bouzefrane, “Digital Identity Management”, 2015, Ed. ISTE Press – Elsevier, ISBN-10: 1785480049.
K. Takahashi, “Identity Management: Concepts, Technologies, and Systems”, 2011, Ed. Artech House, ISBN-10: 1608070395
D. Yip, G. Williamson, K. Spaulding, I.Sharni, “Identity Management: A Primer”, 2009, Ed. MC Press, ISBN: 9781583470930
M. Benantar, “Access Control Systems: Security, Identity Management and Trust Models”, 2005, Ed. Springer-Verlag New York Inc., ISBN-10: 0387004459
Suggested reading: P. Dunphy, F. Petitcolas, “A First Look at Identity Management Schemes on the Blockchain”, 2018, IEEE Security and Privacy Magazine special issue on “Blockchain Security and Privacy”.  DOI:10.1109/MSP.2018.3111247 https://arxiv.org/ftp/arxiv/papers/1801/1801.03294.pdf