Identity Management Workshop (CHAINREDS-ELCIRA ) - PowerPoint PPT Presentation

latika
creaci n de federaci n de identidad para las redes acad micas camila santos analista em tic rnp n.
Skip this Video
Loading SlideShow in 5 Seconds..
Identity Management Workshop (CHAINREDS-ELCIRA ) PowerPoint Presentation
Download Presentation
Identity Management Workshop (CHAINREDS-ELCIRA )

play fullscreen
1 / 107
Download Presentation
Identity Management Workshop (CHAINREDS-ELCIRA )
87 Views
Download Presentation

Identity Management Workshop (CHAINREDS-ELCIRA )

- - - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript

  1. Identity Management Workshop (CHAINREDS-ELCIRA) Cancún, México Mayo/2014 Creación de Federación de Identidad para las Redes AcadémicasCamila Santos Analista em TIC – RNP

  2. Camila Santos Analista en TIC de RNP (Brasil) Ingeniera informática por la UNICAMP (Brasil), especialista en ingeniería de redes y sistemas de telecomunicaciones Certificada ISO 20000 y ITIL v3 Trabaja con el equipo de gestión de servicios en RNP desde 2009, y en federaciones de identidad desde 2010 Miembro del Comité Técnico de Gestión de Identidad en Brasil

  3. Índice Federaciones de identidad Elementos y conceptos de una federación Cómo funciona una federación Definición de políticas Definición del esquema Proveedores de identidad y de servicio Discovery Service Certificados Metadatos de la federación Gestión de identidad

  4. Federaciones de identidad

  5. Federaciones de identidad • El problema de cuentas de usuario versus acceso académico a servicios • En ambientes académicos es posible encontrar los siguientes escenarios: • Sistemas que solo pueden ser utilizados dentro de la red de la institución • Sistemas que solo pueden ser utilizados por usuarios específicos

  6. Federaciones de identidad Poco cómodo Nuevascuentas de usuario • El problema de cuentas de usuario versus acceso académico a servicios • En ambientes académicos es posible encontrar los siguientes escenarios: • Sistemas que solo pueden ser utilizados dentro de la red de la institución • Sistemas que solo pueden ser utilizados por usuarios específicos

  7. Federaciones de identidad • Hay posibilidades… • Utilización de proxy para acceso remoto a servicios • Puede exigir conocimiento técnico del usuario • Mayor trabajo del equipo de soporte • Una cuenta para cada servicio, por usuario • El usuario debe acordarse de muchos nombres y contraseñas • El administrador debe definir diferentes permisos para cada cuenta de cada usuario • Cuenta única para departamentos o para clases de usuarios • No hay como diferenciar los derechos de un usuario • No hay como hacer una auditoria

  8. Federaciones de identidad • … o se puede utilizar una federación • ¿Qué es? • Red de confianza en que cada institución es responsable por realizar la autenticación y proveer informaciones sobre sus usuarios hasta servicios autorizados • Sus conceptos están basados en una infraestructura de autenticación y autorización, que permite a los usuarios que mantengan todos sus atributos en la institución de origen y acceder a los recursos ofrecidos por la federación • Los servicios de la federación deben estar basados en las relaciones de confianza definidas por la RNIE

  9. Federaciones de identidad • Beneficios para la creación de federaciones – para quién accede • Acceso a recursos y servicios restrictos al ambiente académico de fuera de la red de la institución y sin necesidad de un proxy • Una única identidad sirve como pasaporte para los servicios académicos y para los servicios federados • Seguridad en el envío de informaciones y reconocimiento del usuario • Single Sign-on (SSO)

  10. Federaciones de identidad • Beneficios para la creación de federaciones – para quién provee • Controle de acceso y garantía de identidad de los usuarios • Adopción creciente por instituciones en todo el mundo • No necesita mantener cuentas de usuario • Menor cuesto de manutención del servicio

  11. Federaciones de identidad Austria - ACOnet Australia - AAF Bélgica - Belnet Brasil - CAFe Canadá - CAF Suiza - SWITCHaai Chile - COFRe República Checa – eduID.cz Alemania - DFN-AAI Dinamarca - WAYF Estonia - TAAT España - SIR Finlandia - Haka Francia - FédérationÉducation-Recherche Grecia - GRNET Croacia - AAI@EduHr Hungría - eduID.hu Irlanda - Edugate Italia - IDEM Japón - GakuNin Letonia – LAIFE Holanda - SURFfederatie Noruega - FEIDE Nueva Zelanda - Tuakiri New Zealand Access Federation Portugal - RCTSaai Suecia - SWAMID Eslovaquia - ArnesAAISlovenska Reino Unido - UK Access Management FederationforEducation and Research Estados Unidos - InCommon Internacional - IGTF 30 federaciones, más 11 federaciones piloto • Federaciones existentes actualmente

  12. Federaciones de identidad • REFEDS - ResearchandEducationFederations • Tiene por objetivo el cambio de procesos, prácticas y políticas entre federaciones de identidad, y también de favorecer la discusión de modos de facilitar la interacción entre federaciones • REFEDS mantiene una lista de todas las federaciones que trabajan asociadas a instituciones de enseñanza y investigación

  13. Federaciones de identidad • REFEDS – Mapa de instituciones

  14. Federaciones de identidad • REFEDS – Discovery Guide • Una documentación publicada por REFEDS es el Discovery Guide, un guía sobre como presentar la identidad federada a sus usuarios, buenas prácticas en federaciones y ejemplos de como tener una buena experiencia de utilización http://discovery.refeds.org/

  15. Federaciones de identidad Dónde el usuario debe autenticarse • REFEDS – Mejores prácticas en el Discovery Guide

  16. Federaciones de identidad Cómo presentar autenticaciones locales • REFEDS – Mejores prácticas en el Discovery Guide

  17. Federaciones de identidad Utilización de un Discovery Service • REFEDS – Mejores prácticas en el Discovery Guide

  18. Federaciones de identidad Opciones para los usuarios • REFEDS – Mejores prácticas en el Discovery Guide

  19. Federaciones de identidad http://www.niso.org/workrooms/sso • REFEDS – Mejores prácticas en el Discovery Guide • Basado en el modelo definido por Espresso: Establishing Suggested Practices Regarding Single Sign-On

  20. Elementos y conceptos de una federación

  21. Elementos y conceptos de una federación • Identidad única Fuente: http://openidexplained.com

  22. Elementos y conceptos de una federación • Identidad única: antes… Fuente: ESR-RNP

  23. Elementos y conceptos de una federación • Identidad única: … y después Fuente: ESR-RNP

  24. Elementos y conceptos de una federación • Single Sign-on (SSO) • Mecanismo que posibilita que un usuario pueda acceder a múltiplos servicios con una única acción de autenticación • Mientras el token de autenticación sea válido, el usuario no tendrá que se autenticar de nuevo en cualquier servicio de la federación • Utilización de las credenciales académicas para acceso a todos los servicios de la federación • Asociación con la base de datos académica a través de un LDAP • Definición de esquemas para uniformizar la comunicación y el cambio de atributos

  25. Elementos y conceptos de una federación • Single Sign-on (SSO): herramientas open-source más utilizadas en federaciones académicas

  26. Elementos y conceptos de una federación • Proveedor de identidad (IdP) • Elemento que realiza la autenticación del usuario y fornece sus atributos al servicio • Fornece un token de autenticación al servicio, conteniendo informaciones del usuario (atributos) • Integrase con el sistema de autenticación institucional para proveer autenticación y atributos a un servicio

  27. Elementos y conceptos de una federación • Proveedor de identidad (IdP) • Elemento que realiza la autenticación del usuario y fornece sus atributos al servicio • Fornece un token de autenticación al servicio, conteniendo informaciones del usuario (atributos) • Integrase con el sistema de autenticación institucional para proveer autenticación y atributos a un servicio

  28. Elementos y conceptos de una federación • Proveedor de identidad: ejemplos • Proveedor de una RNIE: RNP, InCommon, REUNA • Proveedor de una universidad: USP, INICTEL, PUC • Proveedor de otras instituciones de enseñanza e investigación: ministerios, museos, laboratorios, centros de investigación, …

  29. Elementos y conceptos de una federación • LDAP (LightweightDirectory Access Protocol) • Protocolo para gerenciamiento de directórios, basado en TCP/IP • Acceso a informaciones a través de busca en árbol por los registros

  30. Elementos y conceptos de una federación • Directorio de usuarios en LDAP • Directorio que mantiene las credenciales de autenticación y de los atributos de cada usuario • Es consultado por el IdP para realizar la autenticación

  31. Elementos y conceptos de una federación • Proveedor de servicios • Representa un servicio que puede ser utilizado por los miembros de una federación • Después de recibir los atributos de un usuario, enviado por su IdP, puede hacer su autorización para uso del servicio • Puede también restringir el acceso del usuario a recursos de acuerdo con los atributos recibidos

  32. Elementos y conceptos de una federación • Proveedor de servicios: ejemplos • Sistemas académicos, bibliotecas online de universidades, repositorios y sitios de publicaciones • Compra de libros y software con beneficios a miembros de instituciones • Almacenamiento y cambio de archivos

  33. Elementos y conceptos de una federación • Discovery Service (WAYF) • Servicio para descubierta de la institución de origen del usuario • El usuario es direccionado a la página de autenticación de su institución

  34. Elementos y conceptos de una federación • DiscoveryService: ejemplos • Embedded Discovery Service(Shibboleth)

  35. Elementos y conceptos de una federación • DiscoveryService: ejemplos • Embedded Discovery Service • DiscoJuice (UNINETT)

  36. Elementos y conceptos de una federación • La interconexión de todas las entidades Fuente: SWITCH AAI-Federation

  37. Cómo funciona una federación

  38. Cómo funciona una federación Institucióndelusuario Fuente: ESR-RNP

  39. Cómo funciona una federación Institucióndelusuario Requisición/Respuesta HTTP Redireccionamiento HTTP Conexión servidor/servidor Fuente: ESR-RNP

  40. Cómo funciona una federación Institucióndelusuario Requisición/Respuesta HTTP Redireccionamiento HTTP Conexión servidor/servidor Fuente: ESR-RNP

  41. Cómo funciona una federación Credenciales Institucióndelusuario Requisición/Respuesta HTTP Redireccionamiento HTTP Conexión servidor/servidor Fuente: ESR-RNP

  42. Cómo funciona una federación Credenciales Institucióndelusuario Requisición/Respuesta HTTP Redireccionamiento HTTP Conexión servidor/servidor Fuente: ESR-RNP

  43. Cómo funciona una federación • Demostración de autenticación y autorización – Portal de periódicos CAPES

  44. Cómo funciona una federación Autenticación local • Demostración de autenticación y autorización – Portal CAPES

  45. Cómo funciona una federación Autenticación federada • Demostración de autenticación y autorización – Portal CAPES

  46. Cómo funciona una federación • Demostración de autenticación y autorización – Portal CAPES

  47. Cómo funciona una federación • Demostración de autenticación y autorización – Portal CAPES

  48. Cómo funciona una federación • Demostración de autenticación y autorización – Portal CAPES

  49. Cómo funciona una federación • Demostración de autenticación y autorización – Portal CAPES

  50. Cómo funciona una federación • Demostración de Single Sign-on