Identyfikator prseudoanonimowy

Z PIONIER.Id
Wersja z dnia 14:40, 22 paź 2014 autorstwa federacja>Twoln (→‎Realizacja obsługi identyfikatora pseudoanonimowego w standardzie SAML)
(różn.) ← poprzednia wersja | przejdź do aktualnej wersji (różn.) | następna wersja → (różn.)
Przejdź do nawigacji Przejdź do wyszukiwania


Wstęp

 pseudoanonimowyIdentufikatorUżytkownia w kontekście ochrony danych osobowych w usługach opartych o technologię uwierzytelniania federacyjnego.

 Uwierzytelnianie Federacyjne jest oparte na współpracy trzech podmiotów:

  1. Dostawcy Usługi Sieciowej
  2. Dostawcy Tożsamości
  3. Użytkownika Końcowego

Uwierzytelnianie federacyjne ma za zadanie potwierdzenie tożsamości Użytkownika Końcowego wobec Dostawcy Usługi Sieciowej. Potwierdzenie tożsamości może mieć różne cele, może służyć zapewnieniu użytkownikowi dostępu do spersonalizowanego profilu, danych, które tylko jemu mają być dostępne, albo po prostu potwierdzeniu uprawnienia do korzystania z Usługi Sieciowej.

Niniejszy dokument przedstawia analizę przypadku, kiedy Dostawca Usługi Sieciowej nie jest w żaden sposób zainteresowany rzeczywistą tożsamością Użytkownika Końcowego, ale chce świadczyć usługę spersonalizowaną.

Użytkownik Końcowy, który chce skorzystać z Usługi Sieciowej, jest przekierowywany do strony logowania Dostawcy Tożsamości, na której wprowadza dane logowania. W efekcie poprawnego zalogowania Użytkownika Końcowego, Dostawca Tożsamości przekazuje Dostawcy Usługi Sieciowej informację o poprawnym wyniku operacji, a również pewien zestaw atrybutów, z których najistotniejszym jest pseudoanonimowyIdentyfikatorUżytkonika.

pseudoanonimowyIdentyfikatorUżytkonika jest generowany przez Dostawcę Tożsamości na podstawie rzeczywistego identyfikatora użytkownika w sposób odporny na próby odwrócenia procesu (tzn. znajomość pseudoanonimowegoIdentyfikatoraUżytkownika, bez dodatkowych informacji posiadanych tylko przez Dostawcę Tożsamości, nie pozwala na odczytanie rzeczywistego identyfikatora). Przy generowaniu wartości tego identyfikatora bierze się również pod uwagę identyfikator Dostawcy Usługi Sieciowej, dzięki czemu dla tego samego użytkownika korzystającego z różnych usług sieciowych, przekazane wartości identyfikatora będą różnie. Powyższa procedura zapewnia, że dostawcy usług nie są w stanie korelować swoich logów i tworzyć profili na podstawie zachowań użytkownika w różnych usługach. pseudoanonimowyIdentyfikatorUżytkonika jednoznacznie identyfikuje Użytkownika Końcowego, ale przypisanie rzeczywistej tożsamości może być dokonane wyłącznie przez Dostawcę Tożsamości, który jest prawnie zobowiązany do zachowania tajemnicy i nieudostępniania danych nikomu poza uprawnionymi organami.

Realizacja obsługi identyfikatora pseudoanonimowego w standardzie SAML

Pomimo, że standardy nic o tym nie mówią, to w praktyce przyjęto, że atrybuty pseudoanonimowe powinny być generowane w sposób zwiększający prawdopodobieństwo ich unikalności w skali globalnej. Algorytmy zawarte w popularnych implementacjach SAML tworzą identyfikatory z uwzględnieniem identyfikatora IdP, dzięki czemu ich globalna unikatowość jest w zasadzie pewna.

(poniższy materiał zaczerpnięty ze strony https://refeds.terena.org/index.php/EPTID_Syntax

1. SAML2 Persistent ID in the SAML2 assertion subject element

See also: Shibboleth wiki

<saml2:Subject>
   <saml2:NameID xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion"
   Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent"
   NameQualifier="https://idp.example.org/idp/shibboleth"
   SPNameQualifier="https://sp.example.org/shibboleth">
      84e411ea-7daa-4a57-bbf6-b5cc52981b73
   </saml2:NameID>
</saml2:Subject>

2. eduPersonTargetedID in an attribute statement

See also: MACE-Dir 200804 (pdf)

<saml2:Attribute NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"
Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.10"
FriendlyName="eduPersonTargetedID">
   <saml2:AttributeValue>
      <saml2:NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent"
      NameQualifier="https://idp.example.org/shibboleth"
      SPNameQualifier="https://sp.example.org/shibboleth">
         1234567890
      </saml2:NameID>

Patrz również: Generowanie identyfikatora pseudoanonumowego

Identyfikator presudoanonimowy a ochrona danych osobowych

Opinia GIODO dostępna pod adresem http://www.giodo.gov.pl/319/id_art/2258/j/pl/ stwierdza między innymi:

Niemniej adres IP będzie uznawany za dane osobowe jedynie wówczas, gdy podmiot przetwarzający adres IP ma jednocześnie dostęp do danych łączących adres IP z innymi danymi identyfikującymi osobę. Do czasu, gdy podmiot nie uzyska pewności, że sam nie jest w stanie łączyć adresu IP z innymi danymi identyfikującymi osobę, powinien zabezpieczać adres IP tak jakby był on daną osobową.

W kontekście powyższego, pomiędzy pseudoanonimowymIdentyfikatoremUżytkownika a adresem IP występuje pełna analogia. Dostawca Usługi Sieciowej, o ile sam nie jest Dostawcą Tożsamości dla danego Użytkownika Końcowego, nie ma dostępu do żadnych dodatkowych danych łączących pseudoanonimowyIdentyfikatorUżytkownika z innymi danymi identyfikującymi osobę. W konsekwencji należy wnioskować, że podobnie jak w opisanej wyżej sytuacji, pseudoanonimowyIdentyfikatorUżytkownika nie będzie uznawany za dane osobowe, a zatem takie identyfikatory mogą być udostępniane Dostawcom Usług Sieciowych bez ograniczeń nakładanych przez ustawodawstwo dotyczące ochrony danych osobowych, a logi systemowe Dostawców Usług Sieciowych, o ile nie zawierają innych danych pozwalających na zidentyfikowanie użytkownika, nie są traktowane jako zbiory danych osobowych.