Este documento presenta Open Identity Technologies, una pila de tecnologías de identidad digital abiertas desarrolladas por PRiSE. Describe adAS Fed, el componente central de la federación de identidad UNIFICAT, y ofrece un resumen de los pasos para configurar un proveedor de identidad en dicha federación.
5. PRiSE
¿Quiénes somos?
• Comenzamos en 2009
• Tras detectar un nicho de mercado en el manejo de
la identidad digital de las organizaciones de esta
índole
• Desde entonces hemos diseñado federaciones de
identidad y desplegado muchos SSO
• Entre otras cosas, claro
6. PRiSE
¿Quiénes somos?
• Nuestros principios se basan en
• Interoperabilidad
• Adaptación
• Apuesta por el conocimiento
• Independencia tecnológica
• Aunque sobre todo tratamos de hacer las cosas de
manera simple, sencilla y clara, ¡pero que
funcionen!
7. Índice
• PRiSE
• Open Identity Technologies
• Modelo de negocio
• Cómo me pongo un IdP
9. Open Identity Technologies
¿Por qué un modelo abierto? I
• Imprescindible que sea abierto
• Trabajamos con datos de identidad de personas
• Estos datos pueden ser sensibles
• Ayuda a la creación de comunidad
• Deriva en conocimiento y entendimiento compartido de
la tecnología utilizada
• El modelo abierto debe ser transversal
• Se aplica a toda la pila de productos (SS.OO,
middleware y aplicaciones)
10. Open Identity Technologies
¿Por qué un modelo abierto? II
• Debemos ser tolerante con herramientas cerradas
• Hay asegurar la integración de productos cerrados/
propietario
• Puesto que la infraestructura que nos encontramos
suelen ser mixtas
• Ojo, abierto no tiene por que ser a coste cero
11. Open Identity Technologies
¿Qué es identity technologies? I
• Concepto que da soporte a todo el ciclo de vida de
la identidad digital…
• …mediante una pila de tecnologías abiertas
• Realmente el soporte se da a la automatización de
los procesos que se derivan del ciclo de vida
• Pero esa es otra historia
Aprovisionamiento Desaprovisionar
Mantenimiento
UsoPropagación
12. Open Identity Technologies
¿Qué es identity technologies? II
Ámbito de trabajo
de PRiSE
• La pila a grosso modo se compone de 3 capas
• Sistema operativo
• Middleware
• Directorio/BBDD
• IdP/SP
• IAM
• Aplicación final
14. adAS Fed
¿Qué es?
• Rápidamente:
• adAS Fed es el HUB de UNFICAT
• el componente que abstrae a los IdPs y SPs
• exigiéndoles a ambos unos criterios de
internoperabilidad comunes
• esto es que datos de identidad de los disponibles
se pueden solicitar (caso de lo SPs), se deben
emitir (caso de los IdPs)
15. adAS Fed
Open Identity Technologies I
• Por qué adAS
• Si ya existe software similar
• y es abierto… y además hay caso de uso y
documentación
• La respuesta obvia es la cercanía, pero también
• Por que mejora la eficiencia y la solución de
problemas
• Por independencia tecnológica
16. adAS Fed
Open Identity Technologies II
• Porque construir software desde cero permite
• Generar conocimiento, no sólo aprovecharlo
• Controlar el producto final
• Agilidad de respuesta
• Flexibilidad de diseño
• Adaptación a necesidades específica
• etc.
17. adAS Fed
en UNIFICAT
• Qué ha supuesto y supone la apuesta del CUSC
por adAS Fed
• Participación de un equipo con experiencia en
federaciones similares durante el diseño y puesta en
marcha
• Adaptación del software a las necesidades de la
federación desde el entendimiento compartido
• Conocer en todo momento qué está sucediendo en la
federación y cómo se está llevando a cabo
19. Cómo me pongo un IdP…
Paso 0
• Pregúntese por la identidad digital de su
organización
• Si no sabe qué responder piense en
• Quién debería acceder a un servicio de UNIFICAT y
quién no
• Cómo identifico a esas personas (email, usuario, dni,
etc.)
• Dónde está esa información (identidad digital)
20. Cómo me pongo un IdP…
Paso 1
• Realizar un análisis del estado de la identidad
digital en su organización
• Esto no es muy complicado, pero hay que saber
qué buscar y dónde
• credenciales de usuarios potenciales
• atributos, preferencias y características
• Ya sabemos qué va a consumir nuestro IdP y
desde dónde
21. Cómo me pongo un IdP…
Paso 2
• Elegir el software de IdP adecuado, esto ya es más
complicado
• Abierto o propietario
• Debe “hablar” SAML2/SAML2Int
• Fácil de integrar en el entorno de la organización
• Conexión con directorios, BBDD, etc
• Permitir el uso de las credenciales actuales de los
usuario, etc.
• Soporte, mantenimiento
22. Cómo me pongo un IdP…
Paso 3
• Instalar el proveedor de identidad y realizar una
configuración básica
• Probar con algunos de los servicios internos de la
organización
23. Cómo me pongo un IdP…
Paso 4
• Aplicar los requisitos de la federación UNIFICAT
• Publicar metadatos de nuestro IdP bajo HTTPS
• Añadir información de contacto administrativo y técnico
en los metadatos
• Emitir los atributos requeridos/recomendados
• Añadir el HUB de la federación como SP
24. Cómo me pongo un IdP…
Paso 5
• Solicitar las pruebas en la federación de validación
• Depurar posibles errores
• Si todo está bien, paso a producción
25. Cómo me pongo un IdP…
… SAML2Int para UNIFICAT
• Hasta aquí muy bien
• muy bonito…
• Pero si se quiere unir y esto le parece un lío
• no se preocupe que ese es mi trabajo
26. Cómo me pongo un IdP…
con PRiSE
• Desde PRiSE ofrecemos servicios de despliegue de
SSO basado en adAS SSO
• O simplemente instalar adAS como IdP para UNFICAT
• Si no necesita tanto, puede optar por un modelo
más ligero como LoginUp
• Disponemos de gran conocimiento de la federación
UNIFICAT
• y tenemos una amplia experiencia en entornos
similares al suyo