Introducción

Las federaciones permiten la conexión a recursos de todo tipo para sus usuarios. A nivel internacional, la federación académica más importante es eduGAIN (https://www.edugain.org), pero a nivel de cada país, hay federaciones locales, como las federaciones SIR (https://www.rediris.es/sir) y SIR2 (https://www.rediris.es/sir2) en España (que está pasando a suistituir a la primera).

Descripción de SIRTFI

SIRTFI (https://refeds.org/sirtfi) es un marco de respuesta a incidentes de seguridad desarrollado por REFEDS, el grupo de federaciones académicas y de investigación a nivel internacional.

Hay tres actores fundamentales en la federación de identidad:

Los IdPs y SPs que quieran acogerse a este marco, *deberán entender las buenas prácticas recogidas en este marco, así como proporcionar contactos de seguridad (del IdP, o del SP respectivamente)

  1. Como contacto de seguridad de IdPs de nuestra federación, se utilizará la dirección: sirtfi-csirt@rediris.es. La participación en SIRTFI será "opt-out”, es decir, por defecto todas las organizaciones en la federación académica que actúan como Proveedores de Identidad tendrán este contacto de seguridad, salvo que indiquen lo contrario. En caso de no querer participar en este marco de seguridad, una organización debe saber que: a) podrá ser excluida de SPs que requieran IdPs acogidos a este marco, y b) la federación podrá bloquear conexiones a SPs SIRTFI de la federación propia u otras si así fuese necesario.
  2. Como contacto de seguridad de SPs de nuestra federación, si se trata de una organización afiliada a RedIRIS, se usará también la dirección sirtfi-csirt@rediris.es., si bien en este caso, la opción no está activa por defecto, es decir, hay que optar por ella.
  3. Como contacto de seguridad de SPs de nuestra federación, si se trata de una organización NO afiliada a RedIRIS, si ésta decide acogerse al marco, deberá proporcionar un contacto de seguridad de su elección, el cual será publicado en metadatos gestionados por la federación.
  4. El equipo de respuesta a incidentes de seguridad de RedIRIS deberá poner en conocimiento del equipo de operación de la federación académica española (tanto SIR como SIR2) cualquier incidente que pueda estar relacionado con SPs o IdPs pertenecientes a esta, y actuará de manera coordinada con el equipo de operación de la federación, además de los contactos técnicos responsables del proveedor en cuestión, y de los contactos de seguridad de la organización, en el caso de organizaciones afiliadas.

Documentación adicional