Implementação de Sticky Policies em um provedor OpenID Connect

Abstract

Com o crescente mercado de sistemas web, deve crescer também o cuidado das organizações com os dados sensíveis dos usuários de seus serviços, em especial dados de identificação, também chamados de PII (personally identifiable information), enviados pelos usuários para as suas aplicações. Quando usuários compartilham seus dados com um serviço, devem ter controle sobre o uso destes e certeza que o destino destes dados será cumprido, além das regras quanto ao seu uso ou divulgação a terceiros. As políticas de privacidade são os documentos que destinam-se a ajudar o usuário a entender sobre o tratamento dos dados após a coleta. Através delas, o usuário é questionado ou informado sobre as informações coletadas, o uso dessas informações, o tempo de retenção ou da divulgação das mesmas. O OpenID Connect, que conta com diversas implementações Open Source e baseado no protocolo OAuth 2.0, visa garantir autenticação e autorização entre um usuário e o serviço desejado. Para tanto, fornece as informações sobre o usuário final na forma de um token, que contém as informações básicas de perfil sobre o usuário. Através deste trabalho, foi realizada a implementação de uma extensão em um provedor de identidades que utiliza o protocolo OpenID Connect, permitindo o envio de políticas de privacidade no contexto da utilização do serviço, juntamente com as informações básicas contidas no token. Para tal, é utilizado o contexto de Sticky Policies, que agrega as políticas de privacidade aos dados do usuário normalmente enviados pelo protocolo OpenID Connect, permitindo que o usuário de um serviço tenha controle sobre a aplicação e divulgação de seus dados.

As the web systems market grows up, organizations concern with services classified users data must grow as well, especially identification data, also called PII - Personally Identifiable Information, which is sent from the users to companies applications. When users share their data with a service, they must have control upon it’s destination and make sure it’s purpose will be fulfilled, beyond third party usage and disclosure rules. Privacy policy are documents intended to help final users understand the handling given to their data after they’ve been collected. Through them the user is questioned or informed about collected information, it’s usage, retention time or even dissemination. The OpenID Connect, which has some Open Source implementations and is based on OAuth 2.0, aims on guarantee authentication and authorization between a user and the desired service. For such, it provides end-user information in form of a token containing basic information about the user’s profile. Through this paper an extension to a OpenID Connect identity provider was implemented, allowing the transmission of privacy policies on service utilization context, together with basic user information incorporated on token. By that, the context of Sticky Policies is used, which adds the privacy policies to the user data normally sent by the OpenID protocol, allowing a user to have control upon application and propagation of it’s data while using a service.