Servicio de Identidad de RedIRIS (SIR) Servicio de Identidad de RedIRIS (SIR) 1 Servicio de Identidad de RedIRIS (SIR) 2 Servicio de Identidad de RedIRIS El servicio de identidad de RedIRIS (SIR) permite autentificar a usuarios de sus instituciones afiliados en servicios web proporcionados por proveedores externos. • • La autentificación de los usuarios se lleva a cabo en los servidores de la Universidad de Vigo o No hay problemas de privacidad, los usuarios y contraseñas no se proporcionan a proveedores de servicio externos o No se pierde flexibilidad. Las modificaciones en la organización de usuarios o en los sistemas usados para autentificarlos no se han de comunicar a proveedores externos. El único acceso para el que necesariamente se usará HTTPS será el que se haga al servidor de autentificación de la propia Universidad de Vigo En la Universidad de Vigo se asignan permisos de acceso. o La asignación de permisos de acceso se hace dentro de la propia organización, únicamente se han de establecer con los administradores del Servicio de Identidad de RedIRIS (SIR) los valores que se han de devolver en estos atributos para que sean interpretados correctamente por los proveedores de servicio o Esta labor la lleva a cabo RedIRIS al negociar con los proveedores externos la autentificación de sus servicios a través de SIR. Es RedIRIS quien indica a las instituciones afiliadas qué información han de devolver los servidores de autentificación al proveedor de servicio. Cuando un usuario se autentifica en un servicio externo a través de SIR, al proveedor de servicio se le indica: • Si la autentificación ha sido correcta o no • En caso de que haya sido correcta se le indican: o Tipo de usuario: alumno, personal, etc. o Institución a la que pertenece (en nuestro caso la Universidad de Vigo) o Permisos de acceso o Identificador único de usuario. Algunos servicios pueden necesitar distinguir a un usuario de otro (mantener sesiones, historial de acceso al sitio, etc.). Para esto se les envía este identificador opaco (no revela información del usuario) y único. Para realizar la autentificación se ha instalado un sistema de Single Sign On (PAPI) configurado en la Universidad de Vigo: http://www.papi.uvigo.es (http://sso.uvigo.es) • Este Single Sign On autentifica a los usuarios y obtiene los permisos de los mismos del directorio LDAP de usuarios • Se registra con el Servicio de Identidad de RedIRIS (SIR) este servidor de autentificación (AS) PAPI Servicio de Identidad de RedIRIS (SIR) 3 Funcionamiento de SIR Aunque se puede tener algún paso adicional previo fijado por el proveedor de servicio, los pasos a seguir en general para autentificarse en un permiso que utilice el Servicio de Identidad de RedIRIS serán los siguientes: • El usuario accede a la página web del proveedor de servicio • Este le indicará que seleccione entre varios servicios de identidad, entre los cuales uno de ellos será RedIRIS • Al seleccionarlo se le redirigirá a la página de SIR (SIRGPoA, http://www.rediris.es/SIRGPoA) • En esta página seleccionará de entre las instituciones afiliadas la Universidad de Vigo, esto lo redirigirá al servidor de autentificación de la Universidad de Vigo (http://www.papi.uvigo.es) • En esta página el usuario se autentificará indicando su cuenta completa (incluyendo dominio) y contraseña, el servidor lo autentificará y redigirá nuevamente a SIR, que a su vez lo redirigirá al proveedor de servicio. • Este recibirá la petición del usuario a la que se habrán añadido los atributos que devolvió el servidor de autentificación de su institución: tipo de usuario, permisos de acceso, identificador único opaco, nombre o dominio de la institución, etc. Servicio de Identidad de RedIRIS (SIR) 4 Acceso a Microsoft Dreamspark Como ejemplo del funcionamiento del servicio de autentificación de RedIRIS (SIR) se indica el caso del acceso a Microsoft Dreamspark, un servicio de Microsoft que permite a estudiantes universitarios la descarga gratuita de software para desarrollo de Microsoft (Visual Studio, Windows Server 2003, etc.). Este servicio se da a estudiantes universitarios en virtud de un acuerdo entre RedIRIS y Microsoft: http://www.microsoft.com/spain/prensa/noticias/2008/febrero/n19.mspx El sistema de acceso es algo peculiar, en el sentido de que se exige que el alumno cree una cuenta en Windows Live, con el identificador que desee. • El alumno, con un login de Windows Live creado (esto es algo que exige Microsoft para acceder a este servicio) se conecta a Dreamspark para la descarga de software: o https://downloads.channel8.msdn.com/ o Este login de Windows Live tiene las condiciones de uso que imponga Microsoft, en ningún caso la Universidad de Vigo responde de las condiciones de este servicio o Al crear este usuario en Windows Live no se debería indicar la misma combinación de usuario y contraseña que se tiene en la Universidad de Vigo, en todo caso el hacerlo y las consecuencias que esto pueda tener (pérdida de privacidad en los datos de la cuenta) son una decisión del usuario Navegador Login Windows Live ID Microsoft Dreamspark https://downloads.channel8.msdn.com Usuario 1: Autentificación en Microsoft Dreamspark con un Login de Windows Live • En el primer acceso que realiza a Dreamspark se le pide que indique en un mapa su procedencia, deberá indicar España y seleccionar de entre la lista de proveedores de autentificación a RedIRIS. Servicio de Identidad de RedIRIS (SIR) Navegador 5 Selecciona proveedor de identidad Usuario 2: Selecciona el proveedor de identidad (servicio SIR de RedIRIS) • Selecciona región: Europa Selecciona país: España Selecciona proveedor de identidad: RedIRIS Una vez hecho esto se le redirige al servicio de autentificación de RedIRIS (SIR), que le permite elegir entre un listado de instituciones afiliadas al servicio. Navegador Selecciona institución Usuario 3: Selecciona la institución a que pertenece Servicio de Identidad de RedIRIS (SIR) Selecciona institución: Universidad de Vigo • Seleccionando de entre las instituciones adscritas a SIR “Universidad de Vigo” se le redirige al servidor de autentificación, que le pedirá su cuenta de correo completa (del tipo [email protected] o [email protected]) y contraseña. • Una vez autentificado, si la autentificación es correcta, se le devolverá a la página de Dreamspark indicando que la autentificación ha tenido éxito e indicando también una serie de atributos que habrán sido proporcionados por el servidor de autentificación de la Universidad de Vigo: • Tipo de usuario de que se trata (alumno, personal, etc.). o Los tipos de usuario son los que se indican en http://rnd.feide.no/node/1021 student: alumno employee: trabajador (pas/pdi) staff: otro tipo de vinculación con la institución o Se podrían tener otros valores que se acordarían con los proveedores de servicio • Permisos de acceso Servicio de Identidad de RedIRIS (SIR) • • • 6 Identificador único del usuario o Este identificador lo utilizan los proveedores de acceso para distinguir los accesos de distintos usuarios y para mantener un historial de navegación o Para mantener la privacidad de los usuarios el identificador en cuestión debe ser opaco. Se está usando un hash MD5 de la ubicación del usuario en el directorio LDAP (dn) Organización a la que pertenece el usuario o En este caso se envía un valor fijo (uvigo.es) La cadena de atributos que se envía al Servicio de Identidad de RedIRIS (SIR) y que este envía posteriormente a Dreamspark es del tipo: o ePA=student,ePTI=…………….,sHO=uvigo.es,ePE=urn:mace:entitle ment:common-lib-terms Servicio de Identidad de RedIRIS (SIR) 7 Directorio LDAP 2: Autentifica usuario Obtiene atributos 1: Autentificación Navegador 3: Devuelve resultado y atributos Indica usuario (cuenta completa) y contraseña) Usuario Universidad de Vigo 4: Accede a SIR indicando resultado y atributos 5: Devuelve resultado y atributos Servicio de Identidad de RedIRIS (SIR) 6: Vuelve a Dreamspark indicando resultado y atributos Microsoft Dreamspark 4: Se autentifica y se le devuelve a Dreamspark con el resultado de la autentificación y los atributos del usuario Servicio de Identidad de RedIRIS (SIR) • 8 Si la autentificación es correcta y los atributos devueltos indican que se trata de un alumno, este puede continuar con la navegación y descarga de software de Dreamspark. Navegador Continúa navegación Usuario 5: Continúa la navegación en Microsoft Dreamspark Si la verificación del usuario ha sido correcta podrá continuar con la descarga de software Microsoft Dreamspark https://downloads.channel8.msdn.com Servicio de Identidad de RedIRIS (SIR) 9 Servicios a los que proporciona acceso SIR En estos momentos RedIRIS está en negociaciones con varios proveedores de servicios para dar acceso a estos a la comunidad académica a través de SIR. De momento se puede acceder ya a los siguientes servicios: • Dreamspark: http://channel8.msdn.com • Web of Knowledge • ScienceDirect: http://www.sciencedirect.com • Usuarios OpenID En la página de SIR (http://www.rediris.es/sir) se mantiene una relación actualizada de estos servicios.