Page tree
Skip to end of metadata
Go to start of metadata

Microsoft Office 365 vía SIR2

Introducción

Microsoft España, ha habilitado un portal de cara a facilitar a universidades del Sistema Universitario Español (SUE), el aprovisionamiento de usuarios en tenants de Office365. Aparte de este portal, el acceso al tenant correspondiente de cada organización, vía SIR2, se ha comprobado que es también posible. Esta documentación trata de describir las conexiones que se han habilitado, y los mapeos de atributos que se realizan en el hub de SIR2 para hacer posible la integración de un tenant vía SIR2.

Existen dos SPs de relacionados con este servicio disponibles a través de la federación SIR2:

  • urn:federation:MicrosoftOnline, que permite el acceso federado a Office365 (previa provisión de cuentas y configuración en el tenant correspondiente
  • https://o365.rediris.es, que permite provisionar cuentas de usuarios, tanto de manera guiada como autoprovisión (para usuarios finales), como en lotes (para administradores de una organización).

Aparte de estos dos proveedores de servicio, se ha creado uno sencillo para verificar los atributos que llegan desde la federación.

Esta integración no cubre de momento casos de uso no-web, que aunque están soportados por Microsoft Office, requerirían configuración adicional en los proveedores de identidad. Generalmente se usa para este tipo de conexiones el perfil ECP de SAML2, si bien su compatibilidad con una federación hub&spoke como SIR2 está todavía en estudio.

Requisitos de acceso

Pueden solicitar ser añadidos al portal de aprovisionamiento todas aquellas instituciones que formen parte del Sistema Universitario Español, y tengan tenants contratados con Microsoft.

Explicación de los atributos necesarios

Se ha determinado el uso de un subconjunto de atributos necesarios, tanto de los recomendados en SIR2, con la excepción de irisMailMainAddress, que está soportado, y su uso es opcional). Los atributos a usar serían los siguientes:

  • eduPersonTargetedID*. El valor de este atributo se utiliza para generar el valor de un NameID de tipo persistente, que se usa en la autenticación al portal de Office 365. Dicho atributo es usado también en el portal de aprovisionamiento. 
  • mail o irisMailMainAddress. Debe de recogerse un valor único e invariable en uno de estos dos atributos. El primero (mail) tiene la pega de poder ser multivaluado, y como decimos sólo tiene que enviarse un valor por usuario. Instituciones que no hagan uso de mail, pueden enviar el atributo irisMailMainAddress, también con un sólo valor. En cualquier caso, debe cumplirse que el valor sea único, y que el dominio en los valores, coincida con el del tenant.
  • schacHomeOrganization. Es un atributo recomendado en SIR2, y determina la organización a la que pertenece el usuario.
  • eduPersonAffiliation (opcional). Es también un atributo recomendado en SIR2, y se utiliza para el aprovisionamiento de usuarios, realizándose el mapeo entre sus valores a grupos (que se corresponden con perfiles de licencias) creados en el portal de aprovisionamiento. Hay que tener en cuenta que este atributo ya propone un diccionario controlado de posibles valores, por lo que no sería correcto 'inventarse' otros que pudieran interferir con otros servicios. Ejemplo: student. Nota: este atributo puede recibir varios valores, en cuyo caso se aplicará el mapeo establecido por el administrador del portal de aprovisionamiento. Ejemplo: student.
  • eduPersonEntitlement (opcional). También atributo recomendado en SIR2, y usado para el aprovisionamiento de usuarios, cuando se pretenden establecer grupos de grado más fino. El administrador de Office365 de la institución, deberá llevar el valor  urn:mace:rediris.es:entitlement:sir2:o365:org-admin.

(*) IMPORTANTE

Es importante que el valor de eduPersonTargetedID coincida para estos SPs.

Explicación de las posibilidades del portal de aprovisionamiento

Administrador de red académica

El administrador de una red académica vendrá delimitado por una combinación del atributo shacHomeOrganization y de eduPersonEntitlement, y tiene la posibilidad de añadir nuevas instituciones, así como especificar el valor de shacHomeOrganization que limitará el acceso para cada institución al portal.

Administrador de organización

El administrador de una organización vendrá determinado también por una combinación del atributo shacHomeOrganization y de eduPersonEntitlement, y podrá realizar las siguientes tareas en el portal de aprovisionamiento:

  • Configuración de la conexión con un tenant (dentificador de tenant, y tokens de acceso al mismo para administración de usuarios)
  • Definición de grupos de licencias, y asignación de productos a las mismas
  • Modelado del mapeo de atributos que se corresponderá con la asignación a los grupos de licencias creados
  • Gestión bulk (mediante ficheros CSV) o individual de los usuarios ya aprovisionados y las licencias asignadas

Usuarios finales

Únicamente accederán al portal en una ocasión, para que se les aprovisione una cuenta en función de los atributos enviados por su institución.

Configuración de un tenant para acceso vía SIR2

La configuración de un tenant para el acceso vía SIR2, está recogida en el apartado de ayuda del portal de auto-aprovisionamiento.

  • No labels