Guía para proveedores de identidad


Advertencia

Los pasos descritos más abajo eran los usados para el alta de Proveedores de Identidad en la federación SIR, utilizando el protocolo PAPI.

Instituciones que deseen participar en el Servicio de Federación de Identidades de RedIRIS, en calidad de Proveedores de Identidad, deberán seguir actualmente el procedimiento de alta de IdPs en la federación SIR2, así como la guía para IdPs que sustituye al presente documento.

Si desea que su institución se adhiera al Servicio de Identidad de RedIRIS como Proveedor de Identidad, por favor, lea detenidamente este procedimiento y siga los pasos descritos a continuación:

  1. En primer lugar deberá elegir un método de conexión compatible con la tecnología de federación de identidad soportada por SIR para proveedores de identidad: PAPI. Instituciones de todo tipo se han unido satisfactoriamente utilizando diversos paquetes de software, entre los que se encuentran:
    • AuthServer: solución propia de RedIRIS escrita en Perl y que implementa el protocolo PAPI de forma nativa.
    • adAS: solución desarrollada por la empresa PRiSE. Gracias a su arquitectura multiprotocolo, soporta PAPI de forma nativa.
    • Shibboleth
    • Sun AccessManager
    • A-Select
    • CAS
    • Oracle Single-Sign-On (OSSO)
    • Proxy WAM
    • Apache mod_ldap
    Así mismo, en caso de no disponer de ninguna de las opciones anteriores, RedIRIS le ofrece la posibilidad de utilizar un conector a medida escrito en el lenguaje PHP, muy sencillo de desplegar, y que podrá integrar con algunas de las opciones anteriores, o utilizar de forma independiente mediante un formulario de acceso que podrá conectar con su LDAP o Directorio Activo. En general, cualquier método de control de acceso utilizable desde un navegador web es susceptible de ser integrado con muy poco esfuerzo gracias a estos conectores personalizados. Si tiene cualquier tipo de duda sobre qué opción es más adecuada para usted, por favor, póngase en contacto con nosotros para analizar su caso.
    El conector aquí descrito es lo que llamaremos Proveedor de Identidad (IdP) en el resto de este documento.
     
  2. Deberá configurar adecuadamente el conector, generando un par de claves asimétricas (pública y privada), además de establecer un identificador único (una cadena que se recomienda esté asociada a las siglas de la institución) para el IdP. Comunicará a RedIRIS la clave pública (en formato PEM), el identificador elegido y la URL en la que su IdP se encuentra accesible.
    Para generar el par de claves pueden usarse los siguientes comandos OpenSSL:
    $ openssl genrsa 2048 > clavePrivada.pem
    $ openssl rsa -pubout < clavePrivada.pem > clavePublica.pem
  3. Desplegar el IdP con los datos del punto 2 y emplear la plataforma de pruebas para verificar la transmisión correcta de los atributos. SIR pone a su disposición el proveedor de servicio SIRdemo que presenta los datos transmitidos por su IdP, de forma que pueda validar su funcionamiento.>
  4. RedIRIS recomienda el intercambio de los siguientes atributos, identificados por el nombre abreviado que debe usarse en las aserciones PAPI v.1 enviadas al SIR:
    • ePTI (eduPersonTargetedID)
    • ePA (eduPersonAffiliation)
    • sHO (schacHomeOrganization)
    • ePE (eduPersonEntitlement)
    • sPUC (schacPersonalUniqueCode): atributo cuyo valor incluye un hash de la dirección de correo electrónico del usuario.
    • uid (uid): atributo utilizado para identificar al usuario y es necesario si se quiere habilitar identificador openID desde el proveedor de identidad. 
    • mail (mail): el correo electrónico del usuario. Algunos proveedores de servicio pueden requerirlo para proporcionar funcionalidades extra a los usuarios o incluso para garantizar el acceso. 
    En el caso de que un atributo tenga más de un valor los separaremos mediante la barra vertical '|':
    ePE=urn:mace:dir:entitlement:common-lib-terms|urn:mace:rediris.es:entitlement:scs:req
    Consideremos el usuario Antonio David Pérez Morales, que trabaja para RedIRIS y que tiene derecho de acceso a proveedores bibliograficos de acuerdo con los "common library terms" acordados con la mayoria de los proveedores comerciales. La asercion PAPI v.1 que un IdP en RedIRIS deberia mandar al SIR contendria los siguientes valores:
    ePTI=adf941cd6cf7295e6497fb5bd2d0c295,ePA=staff,sHO=rediris.es,ePE=urn:mace:dir:entitlement:common-lib-terms,uid=tico,sPUC=urn:mace:terena.org:schac:personalUniqueCode:es:rediris:sir:mbid:{md5}bc14684eb45b3af424d0ef5b6a63cda0
    Es importante notar que, dado que eduPersonTargetedID es un atributo orientado a preservar la privacidad del usuario y, por tanto, opaco, se ha usado en este ejemplo el hash MD5 del nombre "Antonio David Pérez Morales".
    Las instituciones participantes son libres de restringir estos atributos de acuerdo con los requisitos de privacidad de sus usuarios, aunque esto puede llevar aparejado la imposibilidad de acceder a algunos proveedores de servicio.
     
  5. Una vez realizadas las pruebas con resultados satisfactorios, el responsable del IdP debe hacer llegar a RedIRIS el documento de Condiciones de Uso del SIR para IdPs adecuadamente cumplimentado en letras mayúsculas de imprenta. Estos documentos se harán llegar por fax al número 95 505 66 27 a la atención del responsable del servicio SIR. A fin de agilizar este trámite, se recomienda escanearlos y enviarlos por correo electrónico al equipo del SIR.
    Antes de enviar dicho documento por fax, debe ser validado por el PER de la institución. Para ello, tanto el solicitante como el PER deben firmar en todas sus páginas, salvo que ambos sean la misma persona, en cuyo caso sólo se firmará una sola vez por página.
    El documento de Condiciones de Uso require incluir el hash SHA-1 de la clave pública del IdP que se registre. Para obtener un hash SHA-1 puede usarse el siguiente comando OpenSSL:
    $ openssl sha1 clavePublica.pem
    Una vez validado el documento recibido, el equipo técnico del SIR se pondrá en contacto con el solicitante para obtener la clave pública en formato PEM del IdP.
     
  6. El equipo técnico del SIR procederá a la instalación del nuevo IdP dentro del esquema de federación, y comunicará a los responsables su disponibilidad a través del interfaz de usuario del servicio.