Page tree
Skip to end of metadata
Go to start of metadata

SERVICIO PILOTO

Este servicio se encuentra actualmente en fase piloto, motivo por el cual la posibilidad de participación en el mismo estará supeditada al número instancias para el que se ha dimensionado la plataforma en esta fase inicial. Si está interesado en participar en el servicio, como institución afiliada a RedIRIS, contacte por favor con el equipo de operación de SIR2.

Tabla de contenido

Descripción del servicio piloto de IdP en la nube

El servicio piloto de IdP en la nube de RedIRIS, ofrece un doble IdP SIR2/eduGAIN y eduroam hospedado sobre infraestructura de RedIRIS.

El servicio ofrece además, una interfaz de administración, donde es posible:

  • gestionar los usuarios de ambos IdPs
  • disponer de estadísticas de uso de ambos IdPs
  • comprobar logs de conexión de los usuarios
  • configurar determinados parámetros de configuración

El servicio se lanza con la mayor parte de la funcionalidad necesaria disponible, aunque poco a poco irán apareciendo nuevas características que se incorporarán al servicio paulatinamente.

Duración del piloto y feedback durante el mismo

El piloto estaba previsto que se extendiera durante la segunda mitad de 2019, si bien por distintos motivos, se ha extendido durante la primera mitad de 2020, con previsión de que entre en producción plena antes de junio de 2020.

Durante la duración del piloto, el equipo de operación de SIR2 atenderá a las consultas de los administradores participantes en el piloto, de cara a la elaboración de mejoras en el servicio, y priorización en la incorporación de nuevas características.

Al final del piloto, se pasará una encuesta de valoración de las características del servicio, así como de posibles nuevas características que tenga sentido incorporar en un futuro.

Requisitos de acceso, y tamaño de las organizaciones

El servicio no está limitado en cuanto al número de usuarios que puede gestionar, pero sí que desaconsejamos su uso para organizaciones que tengan un tamaño superior a 500 usuarios. Por encima de este número, creemos conveniente que la institución despliegue su propio proveedor de identidad. Para dichas organizaciones, recomendamos solicitar soporte a RedIRIS.

Como único requisito de entrada, la solicitud inicial, vía el documento de condiciones de uso, debe ser validada por el PER (Persona de Enlace con RedIRIS) de cualquier institución afiliada a RedIRIS.

Una vez comprobados los datos de la organización, RedIRIS procederá a:

  • crear las instancias de los distintos microservicios que componen el servicio, desplegándolas sobre la nube de RedIRIS
  • configurar y personalizar la instancia de acuerdo a la información recabada de la institución, ello incluye:
    • personalización del IdP SAML
    • personalización del panel de mandos, y creación de cuenta(s) de administración
    • creación de un perfil en eduroam CAT para la institución
  • establecer una videoconferencia con el administrador o administradores del proveedor de identidad, de cara a hacerle entrega de las credenciales de acceso al proveedor, y explicarle su funcionamiento

Desde este momento, la organización y sus usuarios podrán usar los servicios accesibles vía SIR2, eduGAIN, así como a la red eduroam, en tanto dure su afiliación a RedIRIS, o dure el piloto.

Características de los componentes del servicio

IdP SIR2/eduGAIN

  • IdP SAML2 basado en SimpleSAMLphp
  • personalización de interfaz de usuario adaptada a la organización
  • soporte de serie de los atributos recomendados por SIR2
  • compatibilidad con la interfederación eduGAIN
  • herramienta para cambio de contraseñas por los usuarios, mediante el uso de tokens enviados vía correo electrónico
  • contraseñas fuertes, utilizando ARGON2

IdP eduroam

  • IdP eduroam basado en FreeRADIUS
  • autenticación EAP-TTLS+PAP
  • compatibilidad de creación de perfiles en eduroam CAT (estos perfiles se gestionarán en colaboración con RedIRIS)
  • soporte del dominio propio de la organización

Panel de gestión para el administrador

  • desarrollo propio, con autenticación y autorización al mismo mediante el uso del propio proveedor de identidad
  • interfaz de administración de usuarios con soporte de operaciones CRUD para una gestión completa de usuarios
  • interfaz de importación de usuarios a través de ficheros CSV
  • visualización de estadísticas de marcha de los accesos eduroam y SIR2/eduGAIN

Un poco de información sobre la seguridad del servicio

Los microservicios que componen cualquier instancia de IdP, tienen toda nuestra atención en lo que respecta a la seguridad, por lo que hemos puesto toda nuestra preocupación tanto para que el servicio ofrezca unas garantías de seguridad altas, como una mantenibilidad de la misma en el futuro. Quisiéramos mencionar algunas:

  • el servicio usará siempre que sea posible últimas versiones de los distintos componentes de software que se utilizan
  • cada instancia tiene total separación de otras, mediante el uso de contenedores independientes para cada organización, separados además según su funcionalidad
  • sólo estarán expuestos puertos web seguros, tanto del IdP como de la interfaz de administración
  • el equipo de operación monitorizará que el sofware utilizado se encuentra siempre actualizado y sin vulnerabilidades que amenacen las instancias desplegadas

Futuros desarrollos

Determinados desarrollos no se han añadido inicialmente al proyecto, aunque están en la lista que se ha ido creando a partir de los comentarios de las instituciones:

  • soporte de autenticación fuerte, con interfaz de enrolado para el admnistrador
  • soporte de autenticación usando el repositorio de identidad de la organización
  • soporte de sincronización de usuarios de la organización
  • soporte de conexión directa de aplicaciones de la organización