1 / 107

Identity Management Workshop (CHAINREDS-ELCIRA )

Identity Management Workshop (CHAINREDS-ELCIRA ) Cancún, México Mayo/2014. Creación de Federación de Identidad para las Redes Académicas Camila Santos Analista em TIC – RNP . Camila Santos. Analista en TIC de RNP (Brasil)

latika
Download Presentation

Identity Management Workshop (CHAINREDS-ELCIRA )

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Identity Management Workshop (CHAINREDS-ELCIRA) Cancún, México Mayo/2014 Creación de Federación de Identidad para las Redes AcadémicasCamila Santos Analista em TIC – RNP

  2. Camila Santos Analista en TIC de RNP (Brasil) Ingeniera informática por la UNICAMP (Brasil), especialista en ingeniería de redes y sistemas de telecomunicaciones Certificada ISO 20000 y ITIL v3 Trabaja con el equipo de gestión de servicios en RNP desde 2009, y en federaciones de identidad desde 2010 Miembro del Comité Técnico de Gestión de Identidad en Brasil

  3. Índice Federaciones de identidad Elementos y conceptos de una federación Cómo funciona una federación Definición de políticas Definición del esquema Proveedores de identidad y de servicio Discovery Service Certificados Metadatos de la federación Gestión de identidad

  4. Federaciones de identidad

  5. Federaciones de identidad • El problema de cuentas de usuario versus acceso académico a servicios • En ambientes académicos es posible encontrar los siguientes escenarios: • Sistemas que solo pueden ser utilizados dentro de la red de la institución • Sistemas que solo pueden ser utilizados por usuarios específicos

  6. Federaciones de identidad Poco cómodo Nuevascuentas de usuario • El problema de cuentas de usuario versus acceso académico a servicios • En ambientes académicos es posible encontrar los siguientes escenarios: • Sistemas que solo pueden ser utilizados dentro de la red de la institución • Sistemas que solo pueden ser utilizados por usuarios específicos

  7. Federaciones de identidad • Hay posibilidades… • Utilización de proxy para acceso remoto a servicios • Puede exigir conocimiento técnico del usuario • Mayor trabajo del equipo de soporte • Una cuenta para cada servicio, por usuario • El usuario debe acordarse de muchos nombres y contraseñas • El administrador debe definir diferentes permisos para cada cuenta de cada usuario • Cuenta única para departamentos o para clases de usuarios • No hay como diferenciar los derechos de un usuario • No hay como hacer una auditoria

  8. Federaciones de identidad • … o se puede utilizar una federación • ¿Qué es? • Red de confianza en que cada institución es responsable por realizar la autenticación y proveer informaciones sobre sus usuarios hasta servicios autorizados • Sus conceptos están basados en una infraestructura de autenticación y autorización, que permite a los usuarios que mantengan todos sus atributos en la institución de origen y acceder a los recursos ofrecidos por la federación • Los servicios de la federación deben estar basados en las relaciones de confianza definidas por la RNIE

  9. Federaciones de identidad • Beneficios para la creación de federaciones – para quién accede • Acceso a recursos y servicios restrictos al ambiente académico de fuera de la red de la institución y sin necesidad de un proxy • Una única identidad sirve como pasaporte para los servicios académicos y para los servicios federados • Seguridad en el envío de informaciones y reconocimiento del usuario • Single Sign-on (SSO)

  10. Federaciones de identidad • Beneficios para la creación de federaciones – para quién provee • Controle de acceso y garantía de identidad de los usuarios • Adopción creciente por instituciones en todo el mundo • No necesita mantener cuentas de usuario • Menor cuesto de manutención del servicio

  11. Federaciones de identidad Austria - ACOnet Australia - AAF Bélgica - Belnet Brasil - CAFe Canadá - CAF Suiza - SWITCHaai Chile - COFRe República Checa – eduID.cz Alemania - DFN-AAI Dinamarca - WAYF Estonia - TAAT España - SIR Finlandia - Haka Francia - FédérationÉducation-Recherche Grecia - GRNET Croacia - AAI@EduHr Hungría - eduID.hu Irlanda - Edugate Italia - IDEM Japón - GakuNin Letonia – LAIFE Holanda - SURFfederatie Noruega - FEIDE Nueva Zelanda - Tuakiri New Zealand Access Federation Portugal - RCTSaai Suecia - SWAMID Eslovaquia - ArnesAAISlovenska Reino Unido - UK Access Management FederationforEducation and Research Estados Unidos - InCommon Internacional - IGTF 30 federaciones, más 11 federaciones piloto • Federaciones existentes actualmente

  12. Federaciones de identidad • REFEDS - ResearchandEducationFederations • Tiene por objetivo el cambio de procesos, prácticas y políticas entre federaciones de identidad, y también de favorecer la discusión de modos de facilitar la interacción entre federaciones • REFEDS mantiene una lista de todas las federaciones que trabajan asociadas a instituciones de enseñanza y investigación

  13. Federaciones de identidad • REFEDS – Mapa de instituciones

  14. Federaciones de identidad • REFEDS – Discovery Guide • Una documentación publicada por REFEDS es el Discovery Guide, un guía sobre como presentar la identidad federada a sus usuarios, buenas prácticas en federaciones y ejemplos de como tener una buena experiencia de utilización http://discovery.refeds.org/

  15. Federaciones de identidad Dónde el usuario debe autenticarse • REFEDS – Mejores prácticas en el Discovery Guide

  16. Federaciones de identidad Cómo presentar autenticaciones locales • REFEDS – Mejores prácticas en el Discovery Guide

  17. Federaciones de identidad Utilización de un Discovery Service • REFEDS – Mejores prácticas en el Discovery Guide

  18. Federaciones de identidad Opciones para los usuarios • REFEDS – Mejores prácticas en el Discovery Guide

  19. Federaciones de identidad http://www.niso.org/workrooms/sso • REFEDS – Mejores prácticas en el Discovery Guide • Basado en el modelo definido por Espresso: Establishing Suggested Practices Regarding Single Sign-On

  20. Elementos y conceptos de una federación

  21. Elementos y conceptos de una federación • Identidad única Fuente: http://openidexplained.com

  22. Elementos y conceptos de una federación • Identidad única: antes… Fuente: ESR-RNP

  23. Elementos y conceptos de una federación • Identidad única: … y después Fuente: ESR-RNP

  24. Elementos y conceptos de una federación • Single Sign-on (SSO) • Mecanismo que posibilita que un usuario pueda acceder a múltiplos servicios con una única acción de autenticación • Mientras el token de autenticación sea válido, el usuario no tendrá que se autenticar de nuevo en cualquier servicio de la federación • Utilización de las credenciales académicas para acceso a todos los servicios de la federación • Asociación con la base de datos académica a través de un LDAP • Definición de esquemas para uniformizar la comunicación y el cambio de atributos

  25. Elementos y conceptos de una federación • Single Sign-on (SSO): herramientas open-source más utilizadas en federaciones académicas

  26. Elementos y conceptos de una federación • Proveedor de identidad (IdP) • Elemento que realiza la autenticación del usuario y fornece sus atributos al servicio • Fornece un token de autenticación al servicio, conteniendo informaciones del usuario (atributos) • Integrase con el sistema de autenticación institucional para proveer autenticación y atributos a un servicio

  27. Elementos y conceptos de una federación • Proveedor de identidad (IdP) • Elemento que realiza la autenticación del usuario y fornece sus atributos al servicio • Fornece un token de autenticación al servicio, conteniendo informaciones del usuario (atributos) • Integrase con el sistema de autenticación institucional para proveer autenticación y atributos a un servicio

  28. Elementos y conceptos de una federación • Proveedor de identidad: ejemplos • Proveedor de una RNIE: RNP, InCommon, REUNA • Proveedor de una universidad: USP, INICTEL, PUC • Proveedor de otras instituciones de enseñanza e investigación: ministerios, museos, laboratorios, centros de investigación, …

  29. Elementos y conceptos de una federación • LDAP (LightweightDirectory Access Protocol) • Protocolo para gerenciamiento de directórios, basado en TCP/IP • Acceso a informaciones a través de busca en árbol por los registros

  30. Elementos y conceptos de una federación • Directorio de usuarios en LDAP • Directorio que mantiene las credenciales de autenticación y de los atributos de cada usuario • Es consultado por el IdP para realizar la autenticación

  31. Elementos y conceptos de una federación • Proveedor de servicios • Representa un servicio que puede ser utilizado por los miembros de una federación • Después de recibir los atributos de un usuario, enviado por su IdP, puede hacer su autorización para uso del servicio • Puede también restringir el acceso del usuario a recursos de acuerdo con los atributos recibidos

  32. Elementos y conceptos de una federación • Proveedor de servicios: ejemplos • Sistemas académicos, bibliotecas online de universidades, repositorios y sitios de publicaciones • Compra de libros y software con beneficios a miembros de instituciones • Almacenamiento y cambio de archivos

  33. Elementos y conceptos de una federación • Discovery Service (WAYF) • Servicio para descubierta de la institución de origen del usuario • El usuario es direccionado a la página de autenticación de su institución

  34. Elementos y conceptos de una federación • DiscoveryService: ejemplos • Embedded Discovery Service(Shibboleth)

  35. Elementos y conceptos de una federación • DiscoveryService: ejemplos • Embedded Discovery Service • DiscoJuice (UNINETT)

  36. Elementos y conceptos de una federación • La interconexión de todas las entidades Fuente: SWITCH AAI-Federation

  37. Cómo funciona una federación

  38. Cómo funciona una federación Institucióndelusuario Fuente: ESR-RNP

  39. Cómo funciona una federación Institucióndelusuario Requisición/Respuesta HTTP Redireccionamiento HTTP Conexión servidor/servidor Fuente: ESR-RNP

  40. Cómo funciona una federación Institucióndelusuario Requisición/Respuesta HTTP Redireccionamiento HTTP Conexión servidor/servidor Fuente: ESR-RNP

  41. Cómo funciona una federación Credenciales Institucióndelusuario Requisición/Respuesta HTTP Redireccionamiento HTTP Conexión servidor/servidor Fuente: ESR-RNP

  42. Cómo funciona una federación Credenciales Institucióndelusuario Requisición/Respuesta HTTP Redireccionamiento HTTP Conexión servidor/servidor Fuente: ESR-RNP

  43. Cómo funciona una federación • Demostración de autenticación y autorización – Portal de periódicos CAPES

  44. Cómo funciona una federación Autenticación local • Demostración de autenticación y autorización – Portal CAPES

  45. Cómo funciona una federación Autenticación federada • Demostración de autenticación y autorización – Portal CAPES

  46. Cómo funciona una federación • Demostración de autenticación y autorización – Portal CAPES

  47. Cómo funciona una federación • Demostración de autenticación y autorización – Portal CAPES

  48. Cómo funciona una federación • Demostración de autenticación y autorización – Portal CAPES

  49. Cómo funciona una federación • Demostración de autenticación y autorización – Portal CAPES

  50. Cómo funciona una federación • Demostración de Single Sign-on

More Related