Page tree
Skip to end of metadata
Go to start of metadata

Existen distintos modelos de migración, según el protocolo implementado por el SP en Cl@ve.

En cualquier caso, el SP deberá realizar primero la migración del entorno de pre-producción para verificar que no existen incompatibilidades no contempladas.

El operador del SP deberá leer la sección donde se detallan las diferencias entre Cl@ve y Cl@ve 2.0, para asegurarse de que ninguna de las limitaciones afecta a su servicio. En caso contrario, deberá diseñar y ejecutar un plan de adaptación antes de migrar.

SP WebSSO estándar

Las adaptaciones que necesitará un SP WebSSO de Cl@ve 1.0 para pasar a Cl@ve 2.0, son las siguientes:

  • Cambiar las URLs de los endpoints y el EntityID de la pasarela a los descritos aquí (el certificado es el mismo).
  • Cambiar los nombres de los atributos esperados a sus equivalentes en Cl@ve 2.0 (ver aquí).

SP Cl@ve 1.0

Un SP que integrase los kits del ministerio en Cl@ve 1.0 puede conectarse a Cl@ve 2.0 con rapidez a través de la interfaz de retrocompatibilidad, requiriendo sólo las adaptaciones arriba descritas. Sin embargo, debido a los riesgos de seguridad asociados a la falta de mantenimiento de los kits de integración con Cl@ve, que actualmente presentan graves vulnerabilidades, esta opción debería elegirse tan sólo como solución de contingencia y considerar pasar a usar una integración WebSSO estándar o los nuevos kits del ministerio para Cl@ve 2.0 (disponibles aquí).

En la sección de Protocolo se explican las funcionalidades que ofrecen las extensiones Cl@ve y Cl@ve 2.0 sobre el protocolo SAML2. A menos que se requiera expresamente alguna de las funcionalidades descritas, recomendamos usar la pasarela WebSSO estándar frente a la pasarela Cl@ve 2.0. Por supuesto, como hemos descrito arriba, las funcionalidades las soporta, pero no dinámicamente, sino fijadas en los metadatos. Nuestra experiencia muestra que muy pocos SP las necesitan, y facilita el mantenimiento.

Esta recomendación se debe a que resulta más sencillo de integrar ya que existen numerosas soluciones SAML2 estándar muy usadas, y estas siempre presentarán mayor robustez y seguridad, pues el mantenimiento de los kits en Cl@ve 1.0 específicos del ministerio, ya presentó deficiencias, y existe el riesgo de que ocurra algo similar en los kits de Cl@ve 2.0.

  • No labels