RNP - Rede Nacional de Ensino e Pesquisa

english | español


 

 

Sobre RNP | Acuerdos | Contacto

 

Servicios | Operación del backbone | Tecnologías | P&D | Redes | Capacitación | Eventos

 

RNP > Servicios > CAFe > Cómo funciona la CAFe

Servicios 
 

Infraestructura de autenticación y autorización federada

Una infraestructura de autenticación y autorización federada está constituida por dos tipos de elementos principales:

  • Proveedores de Identidad, responsables por el mantenimiento de las informaciones sobre los usuarios y por su autenticación;
  • Proveedores de Servicio, que ofrecen acceso a un recurso o servicio específico.

Un concepto básico de una federación es la relación de confianza entre los proveedores de servicio y los proveedores de identidad. Los primeros tienen que creer en la calidad de los datos suministrados por los proveedores de identidad. Por otro lado, estos tienen que confiar en los proveedores de servicio, garantizando que utilizarán los datos de los usuarios apenas para los fines combinados.

Otro aspecto de la arquitectura de una federación es la administración de las informaciones sobre los proveedores de identidad y servicio a través del mantenimiento de los metadatos. La operación de la CAFe mantiene disponibles para los participantes datos sobre cada una de las instituciones participantes (dirección del servidor que actúa como proveedor de identidad, certificado de servidor, etc).

El soporte a la autenticación federada se da de la siguiente forma: al acceder un determinado proveedor de servicio, el usuario es reencaminado para una página que le presenta una lista de proveedores de identidad. El usuario elije entonces su institución de origen, y su navegador es reencaminado para el proveedor de identidad de esa institución. Después de autenticar el usuario, el proveedor de identidad traspasa el resultado de esa autenticación al proveedor de servicio y crea una sesión de uso asociada al usuario, de modo que los accesos a los nuevos servicios dentro de un determinado intervalo de tempo no generen nuevas exigencias de autenticación (single sign-on).

Además de la garantía de autenticación, el proveedor de servicio podrá exigir al proveedor de identidad informaciones adicionales (atributos) sobre el usuario, como, por ejemplo, su vínculo con la institución. Esos atributos pueden ser utilizados para establecer las autorizaciones del usuario con respecto al recurso o servicio accedido. La configuración de privacidad adoptada por el proveedor de identidad especifica qué atributos de sus usuarios podrán ser exigidos por los proveedores de servicio.

Flujo de Informaciones

La figura a seguir ilustra las interacciones realizadas durante un acceso típico, vía navegador, a un servicio federado. El flujo presentado asume que ninguna información sobre el usuario es conocida por el proveedor del servicio, y que este es el primer acceso del usuario a un servicio federado.

Proyecto gráfico: Diogo Martins | Ilustrador: Tecnodesign

1. El usuario encamina su navegador para la página del servicio deseado.

2. El servidor reencamina el navegador para el servicio de descubrimiento de la federación (WAYF).

3. El servicio de descubrimiento presenta al usuario las instituciones que ofrecen proveedores de identidad para la federación.

4. El usuario selecciona una institución, y su navegador envía al servicio de descubrimiento los datos de esa selección.

5. El servicio de descubrimiento reencamina el navegador para la institución seleccionada.

6. El proveedor de identidad de la institución envía al navegador la página de autenticación del usuario.

7. El usuario suministra sus credenciales y el navegador las envía al proveedor de identidad.

8. El proveedor de identidad genera un handle y lo envía al navegador, que lo encamina al proveedor de servicio, que así obtiene la prueba de autenticación del usuario. Para algunas aplicaciones, eso es suficiente para autorizar el acceso del usuario al servicio.

9. Opcionalmente, el proveedor de servicio puede enviar un pedido de atributos al proveedor de identidad/atributos, utilizando el handle para especificar el usuario en cuestión.

10. El proveedor de identidad/atributos retorna los valores de los atributos exigidos.

Tecnología adoptada: SAML y Shibboleth

Actualmente, el protocolo SAML (Security Assertion Markup Language) se está estableciendo como un estándar ad hoc para el intercambio de informaciones de autenticación y autorización entre proveedores de identidad y de servicio, y es universalmente adoptado por las diversas federaciones de identidad académicas. Entre las tecnologías basadas en el SAML, el paquete Shibboleth, desarrollado en el ámbito del proyecto Internet2, es el que más ampliamente se utiliza. Es esa la tecnología adoptada para la federación.

Esquema de Datos

Una federación debe especificar qué atributos de usuarios deberán ser mantenidos por los proveedores de identidad y, si así lo permite su configuración de privacidad, ser suministrados a los proveedores de servicio. Para la CAFe, el esquema de datos brEduPerson atiende esa exigencia.



Noticias RNP

Documentos

Publicaciones

24.10.2011

Guia RNP

Rede Nacional de Ensino e Pesquisa

Rua Lauro Müller, 116 sala 1103

Botafogo - Rio de Janeiro - RJ

22290-906

tel: 55 21 2102-9660

fax: 55 21 2279-3731


Rede Nacional de Ensino e Pesquisa

Prédio da Embrapa/Unicamp Av. André Tosello, 209

Cidade Universitária Zeferino Vaz - Campinas - SP

13083-886

tel: 55 19 3787-3300

fax: 55 19 3787-3301


Rede Nacional de Ensino e Pesquisa

SAS, quadra 5, lote 6, bloco H, 7° andar Edifício IBICT

Brasília - DF

70070-914

tel: 55 61 3243-4300

fax: 55 61 3226-5303