Página principal

Este espacio recoge documentación para los técnicos de instituciones adheridas o en proceso de adherirse al Servicio de Identidad de RedIRIS, a través de la federación SIR2. A continuación se desglosan las distintas secciones de este wiki donde podrá encontrar toda la información disponible:

1 Glosario de términos

2 Arquitectura de la federación SIR2

SIR2 sigue un modelo de federación hub&spoke. Esto significa que en el centro de la federación hay un hub central que pone en contacto a los proveedores de identidad y proveedores de servicio. Entre el hub y los IdPs, en la federación SIR2 se utiliza el perfil SAML2int.

El hub de SIR2 permite la traducción de peticiones de autenticación y autorización a protocolos distintos a SAML2int, por medio del uso de pasarelas.

3 El hub de la federación SIR2

3.1 El servicio de descubrimiento centralizado (WAYF)

El servicio de descubrimiento centralizado, también denominado WAYF (de sus siglas en inglés: WHERE ARE YOU FROM), o selector de proveedor de identidades, permite a los usuarios elegir cual es la organización que lo autenticará. La interfaz cuenta con la lista de todos los proveedores de identidad, así como un mapa que permite acotar geográficamente los proveedores presentes en cada región.

La interfaz de este servicio se adapta a dispositivos móviles (diseño fluido o responsive) y está siendo traducida a distintos lenguajes.

3.2 Funcionamiento del módulo de consentimiento

El de consentimiento módulo de consentimiento recaba permiso de los usuarios para la cesión de pares atributo/valor entre los proveedores de identidad y determinados proveedores de servicio.

4 Atributos recomendados en la federación SIR2

Los distintos SPs de la federación SIR2 hacen uso de, como mínimo, el conjunto de atributos que se recomienda enviar a todos los proveedores de identidad. Esto no quita para que el envío de ciertos atributos a determinados proveedores de servicio no se lleve a cabo, o que para enviar algunos de estos, u otros atributos se pueda solicitar consentimiento a los usuarios.

4.1 El atributo eduPersonTargetedId

Este atributo es el único obligado en SIR2 (MUST según RFC2119), y presenta una problemática especial que describimos en un artículo individual.

5 Metadatos de la federación

En esta sección explicamos los distintos conjuntos de metadatos de la federación SIR2.

Se está preparando una herramienta para que las propias instituciones puedan proporcionar los metadatos de su IdP y solicitar cambios en los mismos. Esta herramienta será documentada cuando esté disponible.

6 Pasarelas disponibles en SIR2

7 Información sobre configuración de un IdP

7.1 Instalación y configuración del IdP de referencia (SimpleSAMLphp)

Esta sección contiene información sobre el IdP de referencia, SimpleSAMLphp, el software de fuentes abiertas que recomendamos instalar a las instituciones en SIR2.

7.2 Recomendaciones de seguridad para un IdP

Se recogen una serie de recomendaciones y buenas prácticas a tener en cuenta a la hora de desplegar un proveedor de identidad en SIR2, con notas concretas sobre el IdP de referencias.

7.3 Herramientas de depuración

Herramientas que pueden utilizarse para depurar transacciones entre el IdP de referencia y el hub..

8 Imagen gráfica

8.1 Imagen gráfica de SIR2

8.2 Imagen gráfica para los proveedores de identidad

8.3 Imágen gráfica para los proveedores de servicio

9 Material y documentación sobre gestión y federación de identidad

Reunimos en esta sección una serie de materiales y enlaces que pueden ser de interés para iniciarse en la gestión y federación de identidad.