Protocolo
El protocolo utilizado por la Federación para el intercambio de información entre los miembros es el SAML en la versión 2.0 [1].
Software
La CAFe ofrece soporte para el sistema Shibboleth [2], en las versiones 2.x. Otros softwares compatibles con el protocolo indicado por la Federación pueden ser utilizados. Sin embargo, no habrá soporte por parte de la RNP.
Sistema Operacional
La Federación ofrece soporte para el sistema operacional Linux en la distribución Ubuntu 10.04 LTS. Otros sistemas operacionales pueden ser utilizado. Sin embargo, no habrá soporte por parte de la RNP.
Metadatos
Los metadatos de la Federação são disponibilizados no formato SAML 2.0 Metadata [1, 3].
Certificados
Os certificados generados para los proveedores deben respetar las siguientes restricciones:
- Nombre distinto: el campo common name debe ser llenado con el nombre completo de dominio (FQDN) del servidor;
- Validez: no debe exceder 3 años, es decir, el intervalo de tiempo entre los campos notBefore y notAfter debe ser como máximo igual a 3 años;
- Algoritmo de firma: debe ser utilizado el algoritmo SHA1 con cifrado RSA;
- Tamaño de la clave: se recomienda una clave RSA de 2048 bits, debiendo ser de como mínimo 1024 bits;
- Extensiones de uso de la clave: debe poseer las extensiones digitalSignature y keyEncipherment acertadas como verdadero;
- Extensiones de uso extendido de la clave: para certificados de Proveedores de Identidad, la extensión serverAuth debe estar acertada como verdadero; para Proveedores de Servicio, la extensión clientAuth debe estar acertada como verdadero;
- Extensión de restricciones básicas: el certificado no debe poseer la restricción básica CA acertada como verdadero.
Atributos
Se recomienda que los Proveedores de Identidad sean capaces de liberar los siguientes atributos:
| Atributo |
Descripción |
Fuente |
| cn |
Nombre del usuario |
inetOrgPerson [4] |
| sn |
Apellido del usuario |
inetOrgPerson [4] |
| mail |
Dirección de e-mail del usuario |
inetOrgPerson [4] |
| eduPersonPrincipalName |
Identificador único del usuario dentro de la federación. Formato: identificador@domínio |
eduPerson [5] |
| brEduAffiliationType |
Tipo de vínculo del usuario con la institución. Vocabulario: faculty, student, staff, position, scholarshipawardee, other |
brEduPerson [6] |
Existiendo atributos disponibles, los Proveedores de Identidad deben colocarlos a disposición en el siguiente formato:
| Fonte |
SAML 1.1 |
SAML 2.0 |
| inetOrgPerson |
urn:mace:dir:attribute-def: |
urn:oid: |
| eduPerson |
urn:mace:dir:attribute-def: |
urn:oid: |
| brEduPerson |
urn:mace:rnp.br:attribute-def: |
urn:oid: |
[1] Security Assertion Markup Language (SAML) v2.0.
[2] Shibboleth web page.
[3] SAML V2.0 Metadata Interoperability Profile.
[4] Definition of the inetOrgPerson LDAP Object Class (RFC2798).
[5] eduPerson Object Class Specification (200806).
[6] Esquema brEduPerson.
| 
