1、U n i n I n t e r n a c i o n a l d e T e l e c o m u n i c a c i o n e sUIT-T X.1141SECTOR DE NORMALIZACINDE LAS TELECOMUNICACIONESDE LA UIT(06/2006)SERIE X: REDES DE DATOS, COMUNICACIONES DESISTEMAS ABIERTOS Y SEGURIDADSeguridad de las telecomunicacionesLenguaje de marcaje de asercin de seguridad(
2、SAML 2.0)Recomendacin UIT-T X.1141RECOMENDACIONES UIT-T DE LA SERIE XREDES DE DATOS, COMUNICACIONES DE SISTEMAS ABIERTOS Y SEGURIDADREDES PBLICAS DE DATOSServicios y facilidades X.1X.19Interfaces X.20X.49Transmisin, sealizacin y conmutacin X.50X.89Aspectos de redes X.90X.149Mantenimiento X.150X.179D
3、isposiciones administrativas X.180X.199INTERCONEXIN DE SISTEMAS ABIERTOSModelo y notacin X.200X.209Definiciones de los servicios X.210X.219Especificaciones de los protocolos en modo conexin X.220X.229Especificaciones de los protocolos en modo sin conexin X.230X.239Formularios para declaraciones de c
4、onformidad de implementacin de protocolo X.240X.259Identificacin de protocolos X.260X.269Protocolos de seguridad X.270X.279Objetos gestionados de capa X.280X.289Pruebas de conformidad X.290X.299INTERFUNCIONAMIENTO ENTRE REDESGeneralidades X.300X.349Sistemas de transmisin de datos por satlite X.350X.
5、369Redes basadas en el protocolo Internet X.370X.379SISTEMAS DE TRATAMIENTO DE MENSAJES X.400X.499DIRECTORIO X.500X.599GESTIN DE REDES DE INTERCONEXIN DE SISTEMAS ABIERTOS Y ASPECTOS DESISTEMASGestin de redes X.600X.629Eficacia X.630X.639Calidad de servicio X.640X.649Denominacin, direccionamiento y
6、registro X.650X.679Notacin de sintaxis abstracta uno X.680X.699GESTIN DE INTERCONEXIN DE SISTEMAS ABIERTOSMarco y arquitectura de la gestin de sistemas X.700X.709Servicio y protocolo de comunicacin de gestin X.710X.719Estructura de la informacin de gestin X.720X.729Funciones de gestin y funciones de
7、 arquitectura de gestin distribuida abierta X.730X.799SEGURIDAD X.800X.849APLICACIONES DE INTERCONEXIN DE SISTEMAS ABIERTOSCompromiso, concurrencia y recuperacin X.850X.859Procesamiento de transacciones X.860X.879Operaciones a distancia X.880X.889Aplicaciones genricas de la notacin de sintaxis abstr
8、acta uno X.890X.899PROCESAMIENTO DISTRIBUIDO ABIERTO X.900X.999SEGURIDAD DE LAS TELECOMUNICACIONES X.1000Para ms informacin, vase la Lista de Recomendaciones del UIT-T.Rec. UIT-T X.1141 (06/2006) iRecomendacin UIT-T X.1141Lenguaje de marcaje de asercin de seguridad (SAML 2.0)ResumenEl lenguaje SAML
9、representa una estructura basada en XML que es til para intercambiar informacin relativa a laseguridad. La informacin de seguridad se expresa mediante aserciones acerca de sujetos, siendo un sujeto una entidad(persona fsica u ordenador) que posee una identidad en algn dominio de seguridad. Una sola
10、asercin puede contenervarios enunciados internos diferentes de autenticacin, autorizacin y atributos. En la presente Recomendacin se defineun protocolo que permite que los clientes soliciten aserciones de autoridades del SAML y obtengan las respuestascorrespondientes. Este protocolo, que consiste en
11、 formatos de mensajes de peticin y respuesta basados en XML, puedevincularse con muchos protocolos diferentes de comunicacin y transporte subyacentes; hoy en da, el SAML define unavinculacin al protocolo simple de acceso a objetos (SOAP) por el protocolo de transferencia de hipertexto (HTTP). Lasaut
12、oridades del SAML pueden aprovechar varias fuentes de informacin para crear sus respuestas, como polticasalmacenadas externamente y aserciones que se han recibido como parte de las peticiones. En esta Recomendacin sedefinen los elementos de las aserciones, los sujetos, las condiciones, las reglas de
13、 procesamiento y los enunciados delSAML. Asimismo, se concibe un perfil de metadatos SAML exhaustivo que incluye el espacio de nombre asociado, lostipos de datos comunes, las reglas de procesamiento y el procesamiento de firmas. Adems, se han desarrollado variasvinculaciones con protocolos tales com
14、o SOAP, PAOS (SOAP inverso), HTTP redirect, HTTP POST, entre otros. LaRecomendacin ofrece una lista completa de perfiles del SAML como es el caso de un perfil SSO de explorador web yun perfil de fin de sesin (logout) nico que facilita la adopcin amplia del SAML 2.0 en la industria. Se incluyentambin
15、 las directrices necesarias para el contexto y la conformidad de la autenticacin.Esta Recomendacin equivale tcnicamente a la norma OASIS SAML 2.0 y es compatible con la misma.OrgenesLa Recomendacin UIT-T X.1141 fue aprobada el 13 de junio de 2006 por la Comisin de Estudio 17 (2005-2008) delUIT-T por
16、 el procedimiento de la Recomendacin UIT-T A.8.ii Rec. UIT-T X.1141 (06/2006)PREFACIOLa UIT (Unin Internacional de Telecomunicaciones) es el organismo especializado de las Naciones Unidasen el campo de las telecomunicaciones. El UIT-T (Sector de Normalizacin de las Telecomunicaciones de laUIT) es un
17、 rgano permanente de la UIT. Este rgano estudia los aspectos tcnicos, de explotacin ytarifarios y publica Recomendaciones sobre los mismos, con miras a la normalizacin de las telecomunica-ciones en el plano mundial.La Asamblea Mundial de Normalizacin de las Telecomunicaciones (AMNT), que se celebra
18、cada cuatroaos, establece los temas que han de estudiar las Comisiones de Estudio del UIT-T, que a su vez producenRecomendaciones sobre dichos temas.La aprobacin de Recomendaciones por los Miembros del UIT-T es el objeto del procedimiento establecidoen la Resolucin 1 de la AMNT.En ciertos sectores d
19、e la tecnologa de la informacin que corresponden a la esfera de competencia delUIT-T, se preparan las normas necesarias en colaboracin con la ISO y la CEI.NOTAEn esta Recomendacin, la expresin “Administracin“ se utiliza para designar, en forma abreviada, tantouna administracin de telecomunicaciones
20、como una empresa de explotacin reconocida detelecomunicaciones.La observancia de esta Recomendacin es voluntaria. Ahora bien, la Recomendacin puede contener ciertasdisposiciones obligatorias (para asegurar, por ejemplo, la aplicabilidad o la interoperabilidad), por lo que laobservancia se consigue c
21、on el cumplimiento exacto y puntual de todas las disposiciones obligatorias. Laobligatoriedad de un elemento preceptivo o requisito se expresa mediante las frases “tener que, haber de, hayque + infinitivo“ o el verbo principal en tiempo futuro simple de mandato, en modo afirmativo o negativo. Elhech
22、o de que se utilice esta formulacin no entraa que la observancia se imponga a ninguna de las partes.PROPIEDAD INTELECTUALLa UIT seala a la atencin la posibilidad de que la utilizacin o aplicacin de la presente Recomendacinsuponga el empleo de un derecho de propiedad intelectual reivindicado. La UIT
23、no adopta ninguna posicinen cuanto a la demostracin, validez o aplicabilidad de los derechos de propiedad intelectual reivindicados,ya sea por los miembros de la UIT o por terceros ajenos al proceso de elaboracin de Recomendaciones.En la fecha de aprobacin de la presente Recomendacin, la UIT no ha r
24、ecibido notificacin de propiedadintelectual, protegida por patente, que puede ser necesaria para aplicar esta Recomendacin. Sin embargo,debe sealarse a los usuarios que puede que esta informacin no se encuentre totalmente actualizada alrespecto, por lo que se les insta encarecidamente a consultar la
25、 base de datos sobre patentes de la TSB en ladireccin http:/www.itu.int/ITU-T/ipr/.UIT 2007Reservados todos los derechos. Ninguna parte de esta publicacin puede reproducirse por ningnprocedimiento sin previa autorizacin escrita por parte de la UIT.Rec. UIT-T X.1141 (06/2006) iiiNDICEPgina1 Alcance 1
26、2 Referencias . 13 Definiciones 43.1 Definiciones de otras Recomendaciones 43.2 Definiciones adicionales . 44 Abreviaturas, siglas o acrnimos 85 Convenios . 96 Perspectiva general . 107 Tipos de datos comunes . 117.1 Valores de cadena . 117.2 Valores de URI. 117.3 Valores de tiempo . 117.4 Identific
27、ador (ID) y valores de referencia de ID. 118 Aserciones y protocolos del SAML 128.1 Aserciones del SAML 128.2 Protocolos del SAML 338.3 Versiones del SAML . 608.4 Sintaxis y procesamiento de firmas XML y SAML 638.5 Sintaxis y procesamiento de la criptacin de XML y SAML 678.6 Capacidad de extensin de
28、l SAML . 688.7 Identificadores definidos en el SAML . 709 Metadatos del SAML 749.1 Metadatos 749.2 Procesamiento de firmas. 949.3 Edicin y resolucin de los metadatos . 9510 Vinculaciones del SAML . 10010.1 Directrices para especificar vinculaciones de protocolo adicionales. 10010.2 Vinculaciones de
29、protocolo . 10111 Perfiles para el SAML . 12811.1 Conceptos relativos al perfil 12811.2 Especificacin de perfiles adicionales 12811.3 Identificadores de mtodo de confirmacin 12911.4 Perfiles SSO del SAML 13012 Contexto de autenticacin del SAML . 16512.1 Conceptos del contexto de autenticacin 16512.2
30、 Declaracin del contexto de autenticacin 16512.3 Clases del contexto de autenticacin . 16613 Requisitos de conformidad para el SAML . 21013.1 Perfiles del SAML y posibles implementaciones . 21113.2 Conformidad 21213.3 Firma digital XML y criptacin XML . 21513.4 Utilizacin de TLS 1.0 . 215Anexo A Esq
31、uemas del SAML . 216A.1 Esquema de la asercin del SAML . 216A.2 Esquema del contexto de autenticacin del SAML. 220A.3 Esquema del contexto de autenticacin del SAML AuthenticatedTelephony (Telefonaautenticada) . 221A.4 Esquema del contexto de autenticacin del SAML especfico del protocolo Internet (IP
32、). 222A.5 Esquema del contexto de autenticacin del SAML relativo a la contrasea del protocoloInternet (IPPWord, Internet protocol password) 223A.6 Esquema del contexto de autenticacin del SAML relativo a Kerberos 224iv Rec. UIT-T X.1141 (06/2006)PginaA.7 Esquema del contexto de autenticacin del SAML
33、 relativo al servicio mvil con un factorregistrado (MobileOneFactor-reg) 225A.8 Esquema del contexto de autenticacin del SAML relativo al servicio mvil con un factor noregistrado (MobileOneFactor-unreg) . 228A.9 Esquema del contexto de autenticacin del SAML relativo al servicio mvil con dos factores
34、registrados (MobileTwoFactor-reg) 231A.10 Esquema del contexto de autenticacin del SAML relativo al servicio mvil con dos factoresno registrados (MobileTwoFactor-unreg) . 234A.11 Esquema del contexto de autenticacin del SAML relativo a NomadTelephony (Telefonanmada) 237A.12 Esquema del contexto de a
35、utenticacin del SAML relativo a PersonalizedTelephony(Telefona personal). 238A.13 Esquema del contexto de autenticacin del SAML relativo a la Privacidad bastante aceptable(PGP) . 240A.14 Esquema del contexto de autenticacin del SAML relativo al transporte protegido mediantecontrasea (PPT). 241A.15 E
36、squema del contexto de autenticacin del SAML relativo a la contrasea . 242A.16 Esquema del contexto de autenticacin del SAML relativo a PreviousSession (Sesinanterior) 243A.17 Esquema del contexto de autenticacin del SAML relativo a la Smartcard (Tarjetainteligente). 244A.18 Esquema del contexto de
37、autenticacin del SAML relativo a la SmartcardPKI (Infraestructurade clave pblica para la tarjeta inteligente) . 245A.19 Esquema del contexto de autenticacin del SAML relativo a SoftwarePKI (Infraestructura declave pblica para el software) . 247A.20 Esquema del contexto de autenticacin del SAML relat
38、ivo a la infraestructura de clavepblica nica (SPKI) 249A.21 Esquema del contexto de autenticacin del SAML relativo a SRP. 250A.22 Esquema del contexto de autenticacin del SAML relativo a telefona . 252A.23 Esquema del contexto de autenticacin del SAML relativo a la sincronizacin del tiempo(TimeSync)
39、 253A.24 Esquema del contexto de autenticacin del SAML relativo a los tipos . 255A.25 Esquema del contexto de autenticacin del SAML relativo a X509 . 267A.26 Esquema del contexto de autenticacin del SAML relativo a la firma digital XML(XMLDSig) . 268A.27 Esquema del SAML relativo al cliente/mandatar
40、io mejorado (ECP) 269A.28 Esquema del SAML relativo a los metadatos 270A.29 Esquema del SAML relativo al protocolo. 276A.30 Esquema del SAML relativo a X500 . 280A.31 Esquema del SAML relativo a XACML 281Apndice I Consideraciones relativas a la seguridad y la privacidad 282I.1 Privacidad 282I.2 Conf
41、idencialidad. 282I.3 Seudoanonimidad y anonimidad. 283I.4 Seguridad 283I.5 Tcnicas de seguridad 285I.6 Consideraciones generales de seguridad en el SAML . 287I.7 Consideraciones de seguridad relativas a las vinculaciones SAML 288Apndice II Registro de aplicacin del tipo de medios MIME application/sa
42、mlassertion+xml. 295Apndice III Registro de tipos de medios MIME application/samlmetadata+xml . 297Apndice IV Utilizacin de SSL. 299Apndice V Contexto de autenticacin de esquema SAML 299Apndice VI Esquema XML de tipos de contexto de autenticacin 301Rec. UIT-T X.1141 (06/2006) vPginaApndice VII Perfi
43、l de atributo PAC DCE SAML 314VII.1 Perfil de atributo PAC DCE 314VII.2 DCE de esquema SAML. 316VII.3 Ejemplo 317Apndice VIII Aclaraciones del OASIS relativas al SAML 318VIII.1 Posible error: PE14 318VIII.2 Posible error: PE26 318BIBLIOGRAFA . 321Rec. UIT-T X.1141 (06/2006) 1Recomendacin UIT-T X.114
44、1Lenguaje de marcaje de asercin de seguridad (SAML 2.0)1 AlcanceEn la presente Recomendacin se define el lenguaje de marcaje de asercin de seguridad (SAML 2.0). El SAML definela sintaxis y el procesamiento de la semntica de las aserciones expedidas por una entidad del sistema con respecto a unsujeto
45、. Las entidades del sistema SAML, durante el proceso de expedicin o examen de las aserciones, puedenaprovechar otros protocolos para la comunicacin teniendo en cuenta la propia asercin o el sujeto de la misma. En estaRecomendacin se define la estructura de las aserciones del SAML, un conjunto de pro
46、tocolos asociado, adems de lasreglas de procesamiento que intervienen en la gestin de un sistema SAML.Las aserciones del SAML y los mensajes de protocolo se codifican en XML y emplean espacios de nombre XML.stos, por lo general, se incorporan en otras estructuras para efectos de transporte, como en
47、las peticiones POST HTTPo los mensajes SOAP codificados en XML. En esta Recomendacin se especifican adems las vinculaciones del SAMLque proporcionan los marcos necesarios para la incorporacin y el transporte de los mensajes de protocolo SAML.Asimismo, se ofrece un conjunto de perfiles bsico para el
48、empleo de las aserciones y los protocolos del SAML a fin delograr casos de utilizacin especficos o el interfuncionamiento cuando se usan las caractersticas del SAML.En la presente Recomendacin se define lo siguiente:1) Requisitos de conformidad del SAML.2) Aserciones y protocolos del SAML: esquema d
49、e aserciones del SAML; esquema de protocolos del SAML;3) Vinculaciones del SAML.4) Perfiles del SAML: esquema del perfil ECP SAML; esquema del perfil del atributo SAML X.500/LDAP; esquema del perfil del atributo PAC DCE SAML; esquema del perfil del atributo XACML SAML;5) Metadatos del SAML.6) Esquema de metadatos del SAML.7) Co