lunedì, settembre 11
User group meetings
Il primo intervento che ho seguito è stato quello di Andre Durand della PingID, a cui alcuni attribuiscono il merito di avere coniato l'espressione "federated digital identity". L'ho trovato molto interessante, soprattutto perché cercava di sintetizzare alcuni movimenti in corso sul tema dell'identità digitale. In particolare, Andre sosteneva che l'identità digitale federata come è nota oggi (in base ai casi d'uso di Liberty e di SAML 2) non è necessariamente antitetica con l'approccio "user-centric identity". Non so quasi nulla sul tema user-centric ID, a parte avere visto una celebre presentazione che Dick Hardt (di Sxip) alla Open Source Conference dell'anno passato, e sono qui anche per imparare qualcosa su questo. Da quanto finora ho capito l'approccio UCID mette l'accento sul fatto che l'utente diventa parte attiva del circle-of-trust tra IDP e SP; questo è un caso d'uso un po' lontato da quelli di e-government italiano di mio interesse, ma nondimeno è interessante.
Durand sostiene che il dualismo irriducibile tra la FDID e UCID sia un falso mito. Secondo Durand l'obiettivo ultimo è un sistema di identità digitale che possa funzionare sulla scala di internet, in grado di accontentare tutti i casi d'uso (intranet/extranet/internet per impiegati/clienti/consumatori).
Secondo Durand in questo momento siamo in una situazione in cui si riescono bene a fare federazioni di 3-6 parti, dopodiché non si scala più e tutto diventa complicato. Bisogna raggiungere un punto in cui l'aggiunta di un partner non richieda più di 1 giorno, e sia supportato da sistemi di auditing federato, di provisioning federato, e a quel punto il raggiungimento di un trust model condiviso genererà un balzo in avanti. Non si potrà, secondo Durand, andare avanti a lungo con un approccio alla federazione di tipo hub-and-spoke come è adesso.
Ovviamente tutte queste affermazioni vanno filtrate dal marketing: Ping Identity sostiene di avere un prodotto con cui raggiunge un deployment molto semplificato, una federazione di nuovi partner con un solo click e anche d avere aggiunto i casi d'uso user-centrici tipici del nuovo approccio al problema. Secondo me non è tanto questo ad avere bisogno di verifica, ma il fatto che un prodotto tecnologico possa superare la distanza tra le due visioni.
Dopo Durand ha parlato Patrick Harding, CTO di PingID, che ha dato alcuni spunti interessanti circa il fatto che per aiutare le federazioni a scalare bene su larga scala occorrono meccanismi di scambio dei metadati "fuori banda". Sarà possibile arrivare a meccanismi di "federazione attiva" da parte dell'utente, coinvolto nel processo di propagazione del trust (come in Microsoft CardSpace e SAML 2.0 ECP profile). Anche in questo caso per la mia area di interesse specifica l'applicabilità potrebbe non essere immediata.
Dopo pranzo mi sono trasferito nella sala accanto dove si parlava, in un ambiente affettatamente informale e non-marketing, del movimento degli Identity Commons. Identity commons è una organizzazione che mira a stabilire uno spazio comune per la costruzione di un layer di identità digitale su Internet tenendo in gran conto le necessità di privacy e di controllo da parte dell'utente. L'organismo è formato da diversi gruppi di lavoro.
Uno di questi gruppi di lavoro è la "Identity Gang" . Attorno a questo ruota una galassia di blog di individui impegnati sul tema dell'identità digitale ad ampio spettro (non solo geek).
Identity Commons ha un proprio charter costituito da 7 principi a cui è richiesto ai working group di uniformarsi. A parte questo, ogni WG ha una governance propria. Sembra interessante, e merita sicuramente approfondimento.
L'ultimo intervento della sessione "informale" ha riguardato le attività del gruppo OpenID. OpenID si basa su concetti come XRI e i-Names. XRI è nato come standard per la standardizzazione di un sistema di identificatori "puri", persistenti, in linea di principio per qualuqnue cosa. Un identificatore XRI può "risolvere" a diversi altri identificatori, per esempio URI. La sintassi degli identificatori XRI è un superset della sintassi degli URI, quindi stiamo parlando di qualcosa che software e utenti sono già "abituati" a trattare, più o meno.
Sullo standard XRI (che è un standard Oasis) è stato costruito il concetto di i-Name. Un i-Name è un identificativo XRI che "punta" ad una persona o una organizzazione. Essendo costruito su XRI che è un identificativo persistente, un i-Name può "seguire" una persona nei suoi spostamenti di azienda, di provider di posta, di provider internet, ecc.
Su questi concetti viene presentato un progetto ospitato da Eclipse, denominato Higgins, che si propone di costruire un framework che permetta di integrare le informazioni sull'identità, il profilo utente, ecc. provenienti da diverse piattaforme, creando una vista unificata su queste informazioni. Detta così ricorda alcuni aspetti del progetto IRIDE (l'unificazione di attributi provenienti da fonti diverse, e il fatto di essere una API per scrivere applicazioni) e anche del progetto ICAR-INF3 (mi sembra infatti che il concetto di "context" di Higgins ricordi il "profilo" di INF3).
Durand sostiene che il dualismo irriducibile tra la FDID e UCID sia un falso mito. Secondo Durand l'obiettivo ultimo è un sistema di identità digitale che possa funzionare sulla scala di internet, in grado di accontentare tutti i casi d'uso (intranet/extranet/internet per impiegati/clienti/consumatori).
Secondo Durand in questo momento siamo in una situazione in cui si riescono bene a fare federazioni di 3-6 parti, dopodiché non si scala più e tutto diventa complicato. Bisogna raggiungere un punto in cui l'aggiunta di un partner non richieda più di 1 giorno, e sia supportato da sistemi di auditing federato, di provisioning federato, e a quel punto il raggiungimento di un trust model condiviso genererà un balzo in avanti. Non si potrà, secondo Durand, andare avanti a lungo con un approccio alla federazione di tipo hub-and-spoke come è adesso.
Ovviamente tutte queste affermazioni vanno filtrate dal marketing: Ping Identity sostiene di avere un prodotto con cui raggiunge un deployment molto semplificato, una federazione di nuovi partner con un solo click e anche d avere aggiunto i casi d'uso user-centrici tipici del nuovo approccio al problema. Secondo me non è tanto questo ad avere bisogno di verifica, ma il fatto che un prodotto tecnologico possa superare la distanza tra le due visioni.
Dopo Durand ha parlato Patrick Harding, CTO di PingID, che ha dato alcuni spunti interessanti circa il fatto che per aiutare le federazioni a scalare bene su larga scala occorrono meccanismi di scambio dei metadati "fuori banda". Sarà possibile arrivare a meccanismi di "federazione attiva" da parte dell'utente, coinvolto nel processo di propagazione del trust (come in Microsoft CardSpace e SAML 2.0 ECP profile). Anche in questo caso per la mia area di interesse specifica l'applicabilità potrebbe non essere immediata.
Dopo pranzo mi sono trasferito nella sala accanto dove si parlava, in un ambiente affettatamente informale e non-marketing, del movimento degli Identity Commons. Identity commons è una organizzazione che mira a stabilire uno spazio comune per la costruzione di un layer di identità digitale su Internet tenendo in gran conto le necessità di privacy e di controllo da parte dell'utente. L'organismo è formato da diversi gruppi di lavoro.
Uno di questi gruppi di lavoro è la "Identity Gang" . Attorno a questo ruota una galassia di blog di individui impegnati sul tema dell'identità digitale ad ampio spettro (non solo geek).
Identity Commons ha un proprio charter costituito da 7 principi a cui è richiesto ai working group di uniformarsi. A parte questo, ogni WG ha una governance propria. Sembra interessante, e merita sicuramente approfondimento.
L'ultimo intervento della sessione "informale" ha riguardato le attività del gruppo OpenID. OpenID si basa su concetti come XRI e i-Names. XRI è nato come standard per la standardizzazione di un sistema di identificatori "puri", persistenti, in linea di principio per qualuqnue cosa. Un identificatore XRI può "risolvere" a diversi altri identificatori, per esempio URI. La sintassi degli identificatori XRI è un superset della sintassi degli URI, quindi stiamo parlando di qualcosa che software e utenti sono già "abituati" a trattare, più o meno.
Sullo standard XRI (che è un standard Oasis) è stato costruito il concetto di i-Name. Un i-Name è un identificativo XRI che "punta" ad una persona o una organizzazione. Essendo costruito su XRI che è un identificativo persistente, un i-Name può "seguire" una persona nei suoi spostamenti di azienda, di provider di posta, di provider internet, ecc.
Su questi concetti viene presentato un progetto ospitato da Eclipse, denominato Higgins, che si propone di costruire un framework che permetta di integrare le informazioni sull'identità, il profilo utente, ecc. provenienti da diverse piattaforme, creando una vista unificata su queste informazioni. Detta così ricorda alcuni aspetti del progetto IRIDE (l'unificazione di attributi provenienti da fonti diverse, e il fatto di essere una API per scrivere applicazioni) e anche del progetto ICAR-INF3 (mi sembra infatti che il concetto di "context" di Higgins ricordi il "profilo" di INF3).
# posted by Franz @ 14:07 
