Presentació de Manolo García, de la UOC, a la sessió 2 sobre Experiències d'implementacions d'IDP i/o SP's, dins la Jornada d'identitat federada: UNIFICA'T!
2. uoc.edu16/05/2018 2
Per què ho vam fer?
Volíem…
● solucionar el problema del perfilat (per tant autorització),
● facilitar la integració amb serveis i aplicacions de tercers (Office
365, Oracle Cloud, Adobe, Confluence / JIRA....) ...
● … i amb altres federacions (SIR2, UNIFICA’T),
● poder desplegar serveis autenticats al “cloud” (Azure, AWS…).
i no volíem…
● fer un canvi radical en la autenticació / autorització.
3. uoc.edu17/10/16 3
Com ho vam fer?
● Abans de res, vam posar en marxa una Gestió de la
Identitat: OpenIAM. Per què:
○ Algú ha de generar la informació que Shibboleth
consumeix.
○ El LDAP ha de contenir els més de 300 mil usuaris
amb la informació de perfilat.
○ Sovint federar no és suficient, s’ha de provisionar (ex.
Office 365).
● Vam preparar una política d’atributs que donés servei a la
majoria dels SP. La resta la vam tractar com excepcions.
● Vam enriquir l'asserció SAML amb atributs propis de UOC
(però sempre seguint el estàndard).
4. uoc.edu17/10/16 4
Què va anar malament?
● El concepte d’estàndard és un ideal platònic.
● La configuració és un infern. Necessitem
experts per modificar-la.
● Diversitat vs. control. Si es gestiona cada SP
diferent el cost de gestió és molt gran; si no,
canvis a la configuració afecten a molts SP.
● Cada modificació en la configuració és un
desplegament.
● Explotació de dades molt manual.
● De vegades fer les coses millor pot anar en contra. Cas de MS Imagine i
els affiliations.
5. uoc.edu17/10/16 5
Què va anar bé?
● La preparació de documentació clara i detallada va facilitar
molt les primeres integracions.
● Desprès dels primers problemes, les integracions van ser
gairebé automàtiques per la part de l’IdP.
● Mantenir el mecanisme d’autenticació (CAS) va ser un factor
clau d’èxit.
● Un cop posat en marxa, entorn estable i molt fiable.
● Versatilitat. Sempre que hem necessitat alguna adaptació
l’hem pogut fer modificant la configuració.
● Facilitat per emportar-nos aplicacions i continguts al núvol.
Exemple materials a Azure.
● Molts recursos ja fets en torn a SAML: eines de TEST,
llibreries, documentació… (no és només de Shibboleth).
Tothom té un conector SAML.
6. uoc.edu17/10/16 6
Què canviaríem si ho féssim ara?
● No arrencar sense un circuit automàtic de modificació de
la configuració.
● Facilitaríem la integració de serveis “interns” (atributs
estandaritzats) i controlaríem els serveis “externs”
(atributs personalitzats).
● Dedicaríem més temps a pensar en els atributs que
volem emetre (i els del LDAP).
● No cauríem en el parany dels entitlements (permisos per
servei). La temptació és gran, però un IdP no pot resoldre
tots els problemes d’autorització dels SP.
● Pensaríem més en les implicacions de perfilar millor els
usuaris.