Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Servicio de Identidad de RedIRIS (SIR)

Anuncio 
Servicio de Identidad de RedIRIS (SIR)
Servicio de Identidad de
RedIRIS
(SIR)
1
Servicio de Identidad de RedIRIS (SIR)
2
Servicio de Identidad de RedIRIS
El servicio de identidad de RedIRIS (SIR) permite autentificar a usuarios de sus
instituciones afiliados en servicios web proporcionados por proveedores externos.
•
•
La autentificación de los usuarios se lleva a cabo en los servidores de la
Universidad de Vigo
o No hay problemas de privacidad, los usuarios y contraseñas no se
proporcionan a proveedores de servicio externos
o No se pierde flexibilidad.
Las modificaciones en la organización de usuarios o en los
sistemas usados para autentificarlos no se han de comunicar a
proveedores externos.
El único acceso para el que necesariamente se usará HTTPS
será el que se haga al servidor de autentificación de la propia
Universidad de Vigo
En la Universidad de Vigo se asignan permisos de acceso.
o La asignación de permisos de acceso se hace dentro de la propia
organización, únicamente se han de establecer con los administradores
del Servicio de Identidad de RedIRIS (SIR) los valores que se han de
devolver en estos atributos para que sean interpretados correctamente
por los proveedores de servicio
o Esta labor la lleva a cabo RedIRIS al negociar con los proveedores
externos la autentificación de sus servicios a través de SIR. Es RedIRIS
quien indica a las instituciones afiliadas qué información han de
devolver los servidores de autentificación al proveedor de servicio.
Cuando un usuario se autentifica en un servicio externo a través de SIR, al proveedor
de servicio se le indica:
• Si la autentificación ha sido correcta o no
• En caso de que haya sido correcta se le indican:
o Tipo de usuario: alumno, personal, etc.
o Institución a la que pertenece (en nuestro caso la Universidad de Vigo)
o Permisos de acceso
o Identificador único de usuario. Algunos servicios pueden necesitar
distinguir a un usuario de otro (mantener sesiones, historial de acceso
al sitio, etc.). Para esto se les envía este identificador opaco (no revela
información del usuario) y único.
Para realizar la autentificación se ha instalado un sistema de Single Sign On (PAPI)
configurado en la Universidad de Vigo: http://www.papi.uvigo.es (http://sso.uvigo.es)
• Este Single Sign On autentifica a los usuarios y obtiene los permisos de los
mismos del directorio LDAP de usuarios
• Se registra con el Servicio de Identidad de RedIRIS (SIR) este servidor de
autentificación (AS) PAPI
Servicio de Identidad de RedIRIS (SIR)
3
Funcionamiento de SIR
Aunque se puede tener algún paso adicional previo fijado por el proveedor de servicio,
los pasos a seguir en general para autentificarse en un permiso que utilice el Servicio
de Identidad de RedIRIS serán los siguientes:
•
El usuario accede a la página web del proveedor de servicio
•
Este le indicará que seleccione entre varios servicios de identidad, entre los
cuales uno de ellos será RedIRIS
•
Al seleccionarlo se le redirigirá a la página de SIR (SIRGPoA,
http://www.rediris.es/SIRGPoA)
•
En esta página seleccionará de entre las instituciones afiliadas la Universidad
de Vigo, esto lo redirigirá al servidor de autentificación de la Universidad de
Vigo (http://www.papi.uvigo.es)
•
En esta página el usuario se autentificará indicando su cuenta completa
(incluyendo dominio) y contraseña, el servidor lo autentificará y redigirá
nuevamente a SIR, que a su vez lo redirigirá al proveedor de servicio.
•
Este recibirá la petición del usuario a la que se habrán añadido los atributos
que devolvió el servidor de autentificación de su institución: tipo de usuario,
permisos de acceso, identificador único opaco, nombre o dominio de la
institución, etc.
Servicio de Identidad de RedIRIS (SIR)
4
Acceso a Microsoft Dreamspark
Como ejemplo del funcionamiento del servicio de autentificación de RedIRIS (SIR)
se indica el caso del acceso a Microsoft Dreamspark, un servicio de Microsoft que
permite a estudiantes universitarios la descarga gratuita de software para desarrollo de
Microsoft (Visual Studio, Windows Server 2003, etc.).
Este servicio se da a estudiantes universitarios en virtud de un acuerdo entre RedIRIS
y Microsoft: http://www.microsoft.com/spain/prensa/noticias/2008/febrero/n19.mspx
El sistema de acceso es algo peculiar, en el sentido de que se exige que el alumno
cree una cuenta en Windows Live, con el identificador que desee.
•
El alumno, con un login de Windows Live creado (esto es algo que exige
Microsoft para acceder a este servicio) se conecta a Dreamspark para la
descarga de software:
o https://downloads.channel8.msdn.com/
o Este login de Windows Live tiene las condiciones de uso que imponga
Microsoft, en ningún caso la Universidad de Vigo responde de las
condiciones de este servicio
o Al crear este usuario en Windows Live no se debería indicar la misma
combinación de usuario y contraseña que se tiene en la Universidad de
Vigo, en todo caso el hacerlo y las consecuencias que esto pueda tener
(pérdida de privacidad en los datos de la cuenta) son una decisión del
usuario
Navegador
Login
Windows Live ID
Microsoft Dreamspark
https://downloads.channel8.msdn.com
Usuario
1: Autentificación en Microsoft Dreamspark con un
Login de Windows Live
•
En el primer acceso que realiza a Dreamspark se le pide que indique en un
mapa su procedencia, deberá indicar España y seleccionar de entre la lista de
proveedores de autentificación a RedIRIS.
Servicio de Identidad de RedIRIS (SIR)
Navegador
5
Selecciona proveedor
de identidad
Usuario
2: Selecciona el proveedor de identidad (servicio SIR
de RedIRIS)
•
Selecciona región: Europa
Selecciona país: España
Selecciona proveedor de identidad: RedIRIS
Una vez hecho esto se le redirige al servicio de autentificación de RedIRIS
(SIR), que le permite elegir entre un listado de instituciones afiliadas al servicio.
Navegador
Selecciona institución
Usuario
3: Selecciona la institución a que pertenece
Servicio de Identidad de RedIRIS (SIR)
Selecciona institución: Universidad de Vigo
•
Seleccionando de entre las instituciones adscritas a SIR “Universidad de Vigo”
se le redirige al servidor de autentificación, que le pedirá su cuenta de correo
completa (del tipo [email protected] o [email protected]) y
contraseña.
•
Una vez autentificado, si la autentificación es correcta, se le devolverá a la
página de Dreamspark indicando que la autentificación ha tenido éxito e
indicando también una serie de atributos que habrán sido proporcionados por
el servidor de autentificación de la Universidad de Vigo:
• Tipo de usuario de que se trata (alumno, personal, etc.).
o Los tipos de usuario son los que se indican en
http://rnd.feide.no/node/1021
student: alumno
employee: trabajador (pas/pdi)
staff: otro tipo de vinculación con la institución
o Se podrían tener otros valores que se acordarían con los
proveedores de servicio
• Permisos de acceso
Servicio de Identidad de RedIRIS (SIR)
•
•
•
6
Identificador único del usuario
o Este identificador lo utilizan los proveedores de acceso para
distinguir los accesos de distintos usuarios y para mantener un
historial de navegación
o Para mantener la privacidad de los usuarios el identificador en
cuestión debe ser opaco. Se está usando un hash MD5 de la
ubicación del usuario en el directorio LDAP (dn)
Organización a la que pertenece el usuario
o En este caso se envía un valor fijo (uvigo.es)
La cadena de atributos que se envía al Servicio de Identidad de RedIRIS
(SIR) y que este envía posteriormente a Dreamspark es del tipo:
o ePA=student,ePTI=…………….,sHO=uvigo.es,ePE=urn:mace:entitle
ment:common-lib-terms
Servicio de Identidad de RedIRIS (SIR)
7
Directorio LDAP
2: Autentifica usuario
Obtiene atributos
1: Autentificación
Navegador
3: Devuelve resultado y atributos
Indica usuario (cuenta completa) y contraseña)
Usuario
Universidad de Vigo
4: Accede a SIR indicando
resultado y atributos
5: Devuelve resultado y atributos
Servicio de Identidad de RedIRIS (SIR)
6: Vuelve a Dreamspark
indicando resultado y atributos
Microsoft Dreamspark
4: Se autentifica y se le devuelve a Dreamspark con
el resultado de la autentificación y los atributos del
usuario
Servicio de Identidad de RedIRIS (SIR)
•
8
Si la autentificación es correcta y los atributos devueltos indican que se trata de
un alumno, este puede continuar con la navegación y descarga de software de
Dreamspark.
Navegador
Continúa navegación
Usuario
5: Continúa la navegación en Microsoft Dreamspark
Si la verificación del usuario ha sido correcta podrá
continuar con la descarga de software
Microsoft Dreamspark
https://downloads.channel8.msdn.com
Servicio de Identidad de RedIRIS (SIR)
9
Servicios a los que proporciona acceso SIR
En estos momentos RedIRIS está en negociaciones con varios proveedores de
servicios para dar acceso a estos a la comunidad académica a través de SIR.
De momento se puede acceder ya a los siguientes servicios:
• Dreamspark: http://channel8.msdn.com
• Web of Knowledge
• ScienceDirect: http://www.sciencedirect.com
• Usuarios OpenID
En la página de SIR (http://www.rediris.es/sir) se mantiene una relación actualizada de
estos servicios.
Documentos relacionados
Solicitud de reactivación de una deuda aplazada
Solicitud de reactivación de una deuda aplazada
Fase Piloto del Proyecto de "Infraestructura común para el
Fase Piloto del Proyecto de "Infraestructura común para el
POLITICA DE USO ACEPTABLE Los servicios que se ofrecen en
POLITICA DE USO ACEPTABLE Los servicios que se ofrecen en
Descargar
Anuncio
Anuncio