Guía de migración de IdPs

1 Introducción

La migración de los IdPs de la federación SIR (en este documento nos referiremos a ella como SIR1) a la nueva federación SIR2 del Servicio de Identidad de RedIRIS, conlleva una serie de fases que han sido pensadas para no interrumpir en ningún momento el servicio que se presta a los usuarios.

Este documento pretende describir estas fases, así como qué significa cada una de ellas para para el administrador de una institución, que tendrá que pasar por realizar acciones en algunas de ellas, y entender lo que sucede en cada fase.

Si su organización únicamente tiene un proveedor de identidad,  tendrá que tener en cuenta únicamente las fases 1 a 3 de esta guía.

El comienzo de cada una de las fases será comunicado a cada organización a título individual.

Para los impacientes, simplemente adelantar de manera resumida qué ocurre en cada fase:

  1. Se conectarán todos los IdPs PAPI actuales de SIR1 al nuevo hub de SIR2 en su entorno de pruebas, sin perder en ningún momento la conexión existente a SIR1. El administrador de una organización realizará pruebas de conexión al SP de pruebas PAPI en SIR2. Estas pruebas tienen como objetivo validar que los atributos que envía a dicho SP se corresponden con lo que se envía actualmente en SIR1.
  2. Una vez realizadas las pruebas anteriores, el IdP PAPI en SIR1 se conecta con la entrada WAYFless del IdP PAPI en el entorno de producción de SIR2. De este modo, SIR2 comienza a funcionar, si bien inicialmente con los mismos IdPs PAPI que en SIR1, y utilizando el WAYF y pasarelas de SIR1, hacia SPs conectados también a SIR1.
  3. Seguidamente, las instituciones instalarán el software de IdP SAML2int, que sustituirá al componente PAPI que tenían desplegado hasta el momento. Todas las pruebas pertinentes se realizarán en el entorno de pruebas de SIR2, comprobando que el comportamiento del que será el nuevo IdP es equivalente al de su IdP PAPI.
  4. Los SPs conectados a SIR1 se irán migrando paulatinamente a SIR2. En el caso de todos los accesos de estos SPs, se utilizará al completo la federación SIR2. Esta fase puede solaparse sin problemas con la tercera en el tiempo.
  5. Por último, una vez se hayan desconectado todos los SPs de SIR1, se procederá al “apagado” de la antigua federación.

Añadir a lo descrito en estas fases, que todos los nuevos SPs que se añadan a partir de la segunda fase –inclusive los de eduGAIN– estarán disponibles únicamente a través de SIR2.

Nota sobre IdPs de SIR1 en eduGAIN

Las instituciones participantes en eduGAIN durante SIR1 contarán con un periodo –que será anunciado a los responsables de las mismas– para actualizar su IdP PAPI a SAML2int, de no hacerlo serán dadas de baja de eduGAIN temporalmente hasta la actualización de su proveedor de identidad. El periodo será suficientemente amplio y tenemos la convicción de que no afectará a las instituciones participantes actualmente. Por el contrario, migrando por completo a SAML2int, tendremos mejores posibilidades de gestionar los recursos conectados a través de eduGAIN.

Las instituciones que actualicen su IdP PAPI a SAML2int estarán preparadas para estar en eduGAIN, lo cual deberán rubricar mediante el documento de solicitud de participación en la federación, el cual describimos en la fase 3.

2 Fase 1. Pruebas de conexión de IdPs PAPI en SIR2

El hub de SIR2 soporta la conexión tanto de IdPs PAPI como de IdPs SAML2int, de cara a facilitar la migración. La nueva federación consta de dos entornos diferenciados, tanto de cara a los IdPs –que son el objetivo de este documento–, como también de cara a los SPs: los dos entornos son los de producción y pruebas.

Aclarar que el entorno de producción sólo admite un IdP (PAPI o SAML2int), y que no será posible tener ambos funcionando a la vez. En el entorno de pruebas, al que están conectados los SPs de pruebas, sí que es posible tener a la vez un IdP PAPI y un IdP SAML2int. En dicho entorno, en el WAYF de SIR2 se diferenciará cada IdP por el nombre protocolo usado entre paréntesis, es decir: "(PAPI)" o "(SAML2)”. En el entorno de producción sin embargo, aparecerá el nombre de la institución únicamente.

En esta fase se conectarán los IdPs actuales de producción de SIR1 (misma configuración, sin realizar ningún cambio en los IdPs en principio) al entorno de pruebas de SIR2. Una vez verificada la conexión al SP de pruebas PAPI, el equipo de SIR configurará el IdP en el entorno de producción de SIR2.

Si el IdP requiriese realizar algún cambio, por favor lea las notas sobre excepciones que hemos recogido.

El siguiente gráfico recrea el estado de la migración en esta fase: 

Grafico_migracion_fase1.jpg

En esta fase es necesaria la colaboración de las organizaciones con IdP en SIR1, comprobando que los atributos liberados por su IdP PAPI son enviados de manera transparente a través del nuevo hub de SIR2.

IMPORTANTE: Para facilitar la migración desde SIR1, a SIR2, una vez configurado el IdP PAPI en el hub de SIR2, el equipo de operación de la nueva federación se pondrá en contacto con los técnicos de la institución para solicitarles que realicen una prueba a través de un doble SP PAPI/PAPI. El resultado de esta prueba se comunicará tanto al que realiza la misma (si su dirección de correo iba entre los atributos enviados), como a los operadores de federación, mediante la creación de un ticket en la cola de atención de incidentes de SIR2.

Implicaciones para el equipo SIR: configuración de los proveedores de servicio de pruebas. Anuncio de disponibilidad del proveedor de servicio de pruebas PAPI de SIR2. Llevar un control de las instituciones que han realizado la prueba y la consideran válida.
Implicaciones para las organizaciones: Realizar conexión de prueba al proveedor de servicio PAPI en SIR1 y al proveedor de servicio PAPI en SIR2, utilizando el IdP fase1 que será comunicado a los técnicos de la institución. Reportar a RedIRIS resultado mediante formulario.
Duración estimada de esta fase: 1-2 semanas por cada institución.

3 Fase 2. Interconexión PAPI entre SIR1 y SIR2

La interconexión entre SIR1 y SIR2 se hace necesaria para facilitar la transición hacia la nueva federación, y se realiza por medio de PAPI como protocolo, una vez comprobado en la anterior fase que esta conexión es posible. En esta fase, la configuración del IdP actual de producción en SIR1 de cada institución, será modificada para conectarla con la entrada WAYFless, también de producción, de SIR2. Esto se traduce en que todas las peticiones de autenticación recibidas en el hub de SIR1, tanto las que sean a través del WAYF, como aquellas directas al IdP de una determinada organización, serán reencaminadas a través de SIR2.


Graficomigracionfase2.jpg
De esta forma, el hub de SIR2 comienza a recibir peticiones, aunque no sean de SPs directamente conectados al mismo, y usando en todas ellas el protocolo PAPI.
La conexión temporal de estos IdPs PAPI no significará tener que firmar un nuevo documento de condiciones de uso, pues, aunque sea a través del hub de la federación SIR2, a todos los efectos, el IdP sigue conectado con la infraestructura de SIR1 y usando el mismo protocolo y claves públicas PAPI en ambos sentidos de la misma.

Queremos insistir en la temporalidad de esta conexión PAPI, ya que tiene únicamente dos objetivos:

  • facilitar la migración de la organización a un nuevo IdP SAML2int en SIR2.
  • facilitar la migración ordenada de SPs a SIR2.

Es por ello que dicha conexión desde el hub de SIR1 desaparecerá, dando de baja del servicio a las organizaciones que no hayan migrado.

Los plazos de esta desconexión serán convenientemente anunciados, y se avisará con suficiente antelación a las organizaciones afectadas a través de su persona de contacto, para que estén en todo momento informadas.

Implicaciones para el equipo SIR: deberá avisarse a las organizaciones de la puesta en marcha de la conexión SIR1↔SIR2. Deberá solucionar posibles problemas que surjan.
Implicaciones para las organizaciones: comprobar que no existen incidencias derivadas de esta conexión. Reportar al equipo de SIR las posibles incidencias que surjan.
Duración de esta fase: 3-4 semanas.

4 Fase 3. Migración en las organizaciones del IdP PAPI a SAML2int

Como hemos descrito anteriormente, la nueva federación SIR2 dispone de dos entornos separados, el de producción y el de pruebas. Será en este segundo entorno donde las instituciones puedan realizar pruebas con un nuevo software de IdP que soporte SAML2int (manteniendo al mismo tiempo el IdP PAPI en dicho entorno si es preciso).

RedIRIS no impone el uso de un determinado software para el IdP, si bien recomienda el uso de SimpleSAMLphp, al que nos referiremos en adelante como IdP de referencia. Dicho software es de código abierto, tiene una gran comunidad de usuarios detrás, y es en el que nos centraremos en principio a la hora de crear documentación e intentar ofrecer soporte

RedIRIS ha financiado el desarrollo de un instalador que realiza una configuración básica inicial de SimpleSAMLphp, el cual se documenta en el esta otra página del wiki de SIR2.

Respecto al uso de software distinto al IdP de referencia, únicamente mencionar que este deberá ceñirse a las especificaciones del perfil SAML2int. Aclarar que este es un perfil para Single-Sign-On web, y que otros perfiles distintos podrán en el futuro tener cabida también mediante los correspondientes perfiles tecnológicos.

En la puesta en marcha del nuevo IdP, las instituciones deberán:

  • proporcionar a los operadores de la federación los metadatos SAML de su nuevo proveedor de identidad, para que estos puedan incorporarlos al entorno de pruebas de SIR2.
  • comprobar que el nuevo IdP cumple con las recomendaciones de seguridad para el IdP de una organización en SIR2, en especial, que todo el tráfico entre el navegador del usuario y el servidor web está cifrado.
  • comprobar que pueden acceder correctamente a los distintos proveedores de servicio de pruebas de SIR2, y que el envío de atributos se corresponde también con la recomendación de atributos de SIR2.
  • comprobar que su nuevo IdP SAML2int emite los mismos valores de atributos que los de su IdP PAPI. El caso del atributo eduPersonTargetedId es quizá el caso que pueda presentar distinta problemática según cada organización, en función de la implementación de PAPI del IdP en uso en SIR1, y también del uso que estén haciendo en la actualidad los SPs a los que tiene acceso la institución, por ello recomendamos la lectura de la página<enlace> en la que describimos la problemática de este atributo.

IMPORTANTE: Para facilitar la migración desde SIR1, a SIR2, una vez configurado el IdP PAPI en el hub de SIR2, el equipo de operación de la nueva federación se pondrá en contacto con los técnicos de la institución para solicitarles que realicen una prueba a través de un doble SP PAPI/SAML2int. El resultado de esta prueba se comunicará tanto a la persona que realiza la misma (si su dirección de correo iba entre los atributos enviados), como a los operadores de federación, mediante la creación de un ticket en la cola de atención de incidentes de SIR2.

Una vez la organización de por bueno su nuevo IdP SAML2int, deberá utilizar la aplicación que recoge de manera federada la solicitud de participación en la federación, la cual deberá ser validada por una de las personas de contacto con RedIRIS de la organización. Dicha solicitud contiene una casilla en la que la organización recoge su solicitud de participación en la interfederación eduGAIN.

Una vez validada dicha solicitud, y aceptada por RedIRIS, el IdP SAML2int reemplazará al antiguo IdP PAPI en el hub de SIR. A partir de este momento la organización pertenecerá oficialmente a SIR2, y en su caso, a eduGAIN. La situación en esta fase quedaría representada por el siguiente diagrama:

Fase 3: Migración de IdP de la organización a SAML2int


Implicaciones para el equipo SIR: Configuración de SP de pruebas SAML2int. Configuración en entorno de pruebas de IdP SAML2int de cada organización. Soporte a través de lista SIR-USERS o helpdesk de SIR. Publicación de metadatos del nuevo IdP.

Implicaciones para las organizaciones: Instalación de nuevo software de proveedor de identidad. Conexión con la nueva federación.Comprobación de requisitos del nuevo IdP. Realización de pruebas contra SP SAML2 en SIR2. Comparación con comportamiento de IdP PAPI. Solicitud de adhesión a la nueva federación SIR2. Reporte de problemas (opcional).

Duración de esta fase: 9 meses (prorrogables según nivel de implantación).

5 Fase 4. Migración de SPs de SIR1 a SIR2

Esta fase debería tener poca implicación para las organizaciones participando en SIR únicamente como IdPs. Los detalles de migración de SPs recogen en la Guía de migración de proveedores de Servicio (en desarrollo).


Durante esta fase, que comenzará a producirse progresivamente tras la conclusión de la fase 2, y en paralelo por tanto a la fase 3, los proveedores de servicio (inclusive aquellos a través de pasarelas) serán migrados paulatinamente a la nueva federación, dejando de estar conectados a la federación SIR1.

El siguiente diagrama representa esta transición de los SPs desde SIR1 a SIR2:

Fase 4: Migración de SPs de SIR1 a SIR2


Implicaciones para el equipo SIR: Contactar con responsables de los SPs y explicar el cambio. Realizar cuando sea posible conexiones en entorno de pruebas. Avisar de los cambios a través de SIR-USERS.


Implicaciones para las organizaciones: En el caso de depender de ellas los SPs, colaborar en las pruebas. En el caso de ser únicamente usuarias de los SPs, reportar posibles fallos.


Duración de esta fase: 12 meses (prorrogables según nivel de implantación).

6 Fase 5. Apagado de SIR1

Como indicamos en la fase 2, la conexión entre la federación SIR1 y SIR2 tiene una fecha de caducidad. Llegado el momento en el que todos los SPs se hayan pasado a SIR2, y los IdPs en SIR2 sean ya todos SAML2int, se procederá al apagado de la federación SIR1 tal y como se ha conocido hasta ahora.


Al concluir esta fase únicamente quedará la federación SIR2, desactivándose y desinstalándose por completo la federación SIR1.

Fase 5: Apagado de la federación SIR1


Implicaciones para el equipo SIR: Informar a todas las organizaciones de la fecha de apagado. Proceder al apagado de SIR1.

Implicaciones para las organizaciones: En este punto todas las organizaciones deberían haber cambiado sus IdPs PAPI por IdPs SAML2int, y los SPs haberse migrado de SIR1 a SIR2, por lo que no habría implicaciones para las organizaciones.

Duración de esta fase: 1 día.