ADFS, en sus distintas versiones, presenta varias incompatibilidades con federaciones SAML, entre las que podemos enumerar problemas para incorporar metadatos SAML, o problemas al no soportar ciertos elementos en las peticiones de autenticación, como RequesterID, utilizado en SIR2 para señalizar el SP originario.

Algunos de estos problemas han sido hasta ahora atajados por otras federaciones académicas mediante soluciones como ADFStoolkit (ver la sección de enlaces), o ofreciendo una posibilidad de federación más limitada.

En SIR2 hemos decidido realizar otra aproximación, creando una pasarela especial que permita a ADFS poder comunicarse con SIR2, realizando las conversiones necesarias a SAML2int. Por extensión, esta configuración permite también la conexión a la interfederación eduGAIN.

Si tiene un servidor ADFS, en versiones 2.x o 3.x, puede solicitar al equipo de SIR2 la configuración de esta pasarela, y la realización de pruebas de conexión de su proveedor de identidad con la federación.

Requisitos para conexión de ADFS a SIR2

Los requisitos para hacer uso de la pasarela proporcionada por RedIRIS serán los siguientes:

  • La institución deberá proporcionar los metadatos SAML de IdP de ADFS 2.x o 3.x. RedIRIS adaptará esos metadatos y los configurará en una pasarela especial para la organización
  • Importar los metadatos SAML que se indicarán desde RedIRIS
  • Enviar al menos los siguientes atributos desde el IdP
    • identificador único, persistente y no reasignable del usuario (puede ser opaco, o no, incluso algún otro que se sepa tiene estas propiedades como uid o mail mencionados más abajo) 
    • nombre y apellidos de los usuarios, a ser posible por separado
    • filiación (o filiaciones) de los usuarios con la universidad, idealmente de acuerdo al diccionario del esquema eduPerson
    • atributo que almacene permisos de acceso a distintos recursos (eduPersonEntitlement en el esquema eduPerson)
    • dirección (o direcciones) de correo electrónico del usuario, preferiblemente bajo dominio de la organización
    • identificador corto del usuario (uid en el esquema eduPerson)

Al margen de estos atributos, la pasarela generará otros atributos, alguno de ellos de manera estática.

Estos requisitos podrán estar sujetos a cambios en el futuro.

Algunos enlaces  (antiguos)

  • No labels