Servicio de Identidad de RedIRIS acceso ubícuo a recursos electrónicos Jaime Pérez Ingeniero de Middleware Jornadas Expania Sevilla, 12 de mayo de 2011
¿Qué es? El SIR proporciona a la comunidad académica un punto de entrada único a los servicios de identidad digital Multiprotocolo Simplicidad de gestión Garantia de evolución Flexible Compatible con cualquier nivel de despliegue Adaptable a la integración con cualquier infraestructura
¿Qué es? One Ring to bring them all and in the darkness bind them In the Land of Mordor where the Shadows lie.
El SIR conecta servicios (SPs) con repositorios de identidad (IdPs). ¿Para qué vale? El SIR conecta servicios (SPs) con repositorios de identidad (IdPs). Evita gestionar cuentas de usuario de terceros. Una sola cuenta de usuario para acceder a todos los servicios. Single-sign-on. “Creo que jamás montaré una cosa de la que tenga menos idea que esto del SIR: Instalación, mantenimiento y uso, cero pelotero. Y lo mejor de todo, es que parece que está funcionando.”
Federaciones de identidad Una federación es un esquema de confianza que permite la colaboración entre sus participantes Mediante el intercambio de datos En nuestro caso, datos sobre la identidad de los usuarios Personas y aplicaciones Los proveedores de identidad (IdP) verifican identidades y distribuyen datos relativos a ellas Dentro del entorno local Bajo control del usuario Los proveedores de servicio (SP) consumen estos datos y los usan para decidir los derechos de acceso y personalizar las aplicaciones Aplicando sus propias políticas
Los elementos básicos
Acceso a recursos externos antes después filtros por IP / proxies acceso federado
Acceso a recursos externos antes después filtros por IP / proxies acceso federado
¿Qué aporta? No se gestionan las cuentas de usuario de instituciones externas Gestión más simple de las infraestructuras compartidas Menos complejidad de las políticas de seguridad LOPD Los usuarios sólo tienen que recordar un par usuario/contraseña Menos post-it => Más seguridad Mejor control de acceso Datos de uso más ajustados El usuario no tiene que solicitar uno a uno acceso a los proveedores de servicio Una vez se incluye un recurso en la federación, queda potencialmente disponible para los usuarios
SIR: Servicio de Identidad de RedIRIS “Hub” multiprotocolo de interconexión entre proveedores de identidad y de servicio Instituciones dando acceso a sus usuarios Recursos protegidos potencialmente disponibles a todas las instituciones Bases de una federación Proveedor de identidad Realiza la autenticación del usuario y emite los atributos del usuario Proveedor de servicio Comprueba las datos del usuario para realizar la autorización en el acceso al servicio RedIRIS actúa de intermediario de confianza
SIR: Hub multiprotocolo PAPI v1 Protocolo nativo SAML SAML 1.1 (Shibboleth 1.3) SAML 2 (Shibboleth 2) STORK OpenID 1 y 2 OAuth 1 y 2 (Internet Draft) Protocolos propietarios basados en Web y Web Services Microsoft MSDN AA Wiley TP
Arquitectura
Proveedor de identidad SIR @ Home Proveedor de identidad Basado en protocolo PAPI AuthServer (AS) icGPoA Si puedes protegerlo, tienes un AS! Debe incorporar la clave pública del GPoA (hub) Metadatos para PAPI disponibles
Es el motor de la federación GPoA Es el motor de la federación Implementa el hub basado en protocolo PAPI Incorpora dos componentes principales WAYF Pregunta al usuario cuál es su institución PAPI Home Locator (pHL) Indica al GPoA cuál es la institución del usuario Permite acceso directo desde los SPs
WAYF Where Are You From?
WAYF Where Are You From?
Conector SAML (IdP) por cada proveedor de identidad SAML (Shibboleth) Conector SAML (IdP) por cada proveedor de identidad RedIRIS publica los metadatos con los interfaces de salida SAML1 y SAML2 Acuerdos con proveedores comerciales para acceso institucional: Elsevier EBSCO IEEE Metapress/Springer Ovid ProQuest …
Toda institución en SIR ofrece identidad OpenID a sus usuarios Soporte a extensiones para atributos http://yo.rediris.es/soy/drlopez@rediris.es http://jo.rediris.es/soc/drlopez@rediris.es http://eu.rediris.es/son/drlopez@rediris.es http://ni.rediris.es/drlopez@rediris.es/naiz yo.rediris.es jo.rediris.es …
Próximamente: STORK
Próximamente: SARA
HowTo para IdPs Desplegar un AS o un icGPoA Oportunidad para desplegar o redefinir IdM Solicitar su inclusión en SIRtest Realizar pruebas técnicas PAPI, SAML, OpenID… Firmar documento de condiciones de uso Listas de coordinación SIR-USERS@listserv.rediris.es SIR-BIB@listserv.rediris.es 94 IdPs Todas las universidades públicas + multitud de instituciones, hospitales, centros de investigación…
Solicitar inclusión en SIRtest HowTo para SPs Solicitar inclusión en SIRtest Indicar qué tecnología utiliza para federarse Indicar qué atributos requiere Realizar pruebas técnicas Firmar documento de condiciones de uso 146 SPs Servicios de RedIRIS: SCS/SCP, pkIRISGrid, Wikis… Servicios de la comunidad: Consigna, Fonoteca… Documentación: Springer, Wiley, Elsevier, EBSCO, Ovid, ProQuest… Servicios externos: Google, Live@Edu, MSDN-AA…
En resumen… One Ring to bring them all and in the darkness bind them In the Land of Mordor where the Shadows lie.
En resumen… ¿Preguntas? sir@rediris.es