Proyecto de Investigación y Desarrollo para implementar un inicio de sesión único e integración de los servicios de Google en una aplicación web, desarrollado en la Facultad de Ingeniería y Tecnología de la Universida de Montemorelos
Good Stuff Happens in 1:1 Meetings: Why you need them and how to do them well
Inicio de Sesión Único e Integración con los Servicios de Google
1. Proyecto de Investigación Inicio de SesiónÚnico con Google Alumno: Seth Karim Luis Martínez Profesor: Daniel Gutiérrez Colorado Facultad de Inteniería y Tecnologíade la Universidad de Montemorelos
2. Presentación del problema Cómoimplementar un inicio de sesiónúnicopara los usuarios de los diferentessistemasexistentes en la Universidad de Montemorelos? Cómointegrar los recursos de Google tales como Calendar, Gmail, Docs y demás, a los sistemasexistentes en la Universidad de Montemorelos?
3. Objetivos y Justificación del Problema Porvariosaños se ha pensado en tener un solo login paratodos los sistemasexistentes en la Universidad de Montemorelos, peropordiversosmotivos no se ha logradoimplementar. El propósito del presenteproyectoeslograrimplementar en todos los sistemas de la Universidad de Montemorelos un mecanismo de autenticación (login) únicoparatodos, usandoparaellolascuentas de correo de los empleados, con la finalidad de que los empleados no tenganqueestarrecordandodistintosnombres de usuario y contraseñas nitenganqueestarselogueandocadavezquecambian entre los diversossistemasexistentes, ahorrando de estamanera mucho tiempovaliosoparaellos. De igualmanera el uso de Gogolecomoproveedor de identidadahorrara la necesidad de almacenar y protegercontraseñas en bases de datos locales De igualmanera se intentapoderintegrar a los sistemas de la Universidad de Montemorelos los servicios de Google tales como Calendar, Documentos, Correo, etc.
4. Limitaciones y Delimitaciones Tiempo: Se cuenta con 70 días, del 01 de Marzo del 2011 al 20 de Mayo del 2011. Tecnología: El desarrolloestálimitado al framework appfuse 1.9.4, Spring 2.0.6 y esnecesarioadaptarmcuhascosas a estasversiones no tan recientes Estructura y Desarrollo del resto de los sistemas:Puedequehayadiversasincompatibilidades entre los diversossistemas a integrar en un solo login debido a queusandistintasplataformas de desarrollo Información: Al sereste, un proyectorealizado “a la medida”, no hay muchainformacióndisponible al respecto, asíquetodo lo que se hará sera nuevo
5. Recursos a usar y definición de términos Framework Appfuse 1.9.4 – Framework de desarrollo web robustoqueintegradiversastecnologías y usa el patrón de desarrollo en capas MVC (Modelo-Vista-Controlador) Spring Framework 2.0.6 – Framework paraaplicaciones Java basado en la inyección de dependenciasbasado en XML (Extensible Markup Language) OpenID – Estandar de identificacion digital descentralizado con el que un usuariopuedeidentificarse a través de una URL proveídapor un Proveedor de Identidad (IdP) SSO (Single Sign On) – Procedmiento de autenticaciónquehabilita al usuarioparaacceder a variossistemas con una sola instancia de identeificación Google – Empresapropietaria del buscador de dichonombre y de muchosservicios mas LDAP – Lightweight Directory Access Protocol) Protocolo a nivel de aplicacionquepermite el acceso a un serviio de directorioordenado y distribuidoparabuscarinformacion en un entorno de red
12. Proceso de Investigacion (1) Estudio de diversas tecnologías que permiten un inicio de sesión único *OpenSSO y OpenID: Comparativa y capacidad de integracion http://www.mundointernet.es/IMG/pdf/ponencia151_2.pdf CONCLUSION: OpenSSO-Un solo login, varias credenciales. Funciona mejor en intranets. La autenticacion es lleavada a cabo por el propio sistema OpenID-Una sola credencial, mas de un login. Aun es inseguro y la autenticacion es delagada a un tercero Integración: Permitir el acceso al Sistema Institucional con un identificador OpenID y asociar a OpenSSO el identificador OpenID y asi se puede navegar entre aplicaciones teniendo las ventajas de tener una sola credencial (OpenID) y al mismo tiempo un solo login (OpenSSO) MI PUNTO DE VISTA: Mezclar ambas cosas es complicado, asi que pienso que lo mejor es implementar OpenSSO (Single SignOn), lo cual hace que, con loguearnos a una sola aplicacion, se crea una cookie con nuestra identidad y de ahi en adelante, el proceso de logueo a las demas aplicaciones lo hace el mismo sistema en base a la cookie. OpenID no me da confianza porque cualquiera con una cuenta Google/Gmailpodria acceder a los sistemas UM ya que el encargado de la autenticacion es Google (proveedor de identidad) ACTUALIZACIÓN: Hay que usar OpenID. Es la única manera de que Google pueda actuar como proveedor de identidad, ya que la manera de loguearse será a través del correo electrónico
13. Proceso de Investigacion (2) *OpenID, Infocards y Contexto http://estandaresytecnologiasdefi.wordpress.com/page/2/ CONCLUSIÓN: Muestra una perspectiva sobre las tecnologias actuales que proveen una autenticacion o identidad *SimpleSAMLphp http://simplesamlphp.org/ CONCLUSION: Se ocupa de proveer una identidad a los usuarios. Puede funcionar como Proveedor de Servicios y como Proveedor de Identidad. Es multilenguaje y tiene su documentacionaqui: http://simplesamlphp.org/docs/1.7/ . Lo malo es que es en PHP *OpenSSO Java https://opensso.dev.java.net/ CONCLUSION: No lo he leido mucho, pero aqui esta toda la informacion.
14. Proceso de Investigacion (3) *Shibboleth http://shibboleth.internet2.edu/ CONSLUSION: Provee OpenSSO *LOGINS EXTRAS Con Facebook: http://developers.facebook.com/docs/guides/web#login Con Yahoo: http://developer.yahoo.com/bbauth/user.html Con Twitter: http://dev.twitter.com/pages/oauth_faq *Login Federado con cuentas Google http://code.google.com/intl/es-419/apis/accounts/docs/OpenID.html NOTA: ESTO LO USARÉ PARA EL LOGIN OPENID USANDO GOOGLE NOTA2: A partir de ahora los links moradosserán los links mas valiosos
15. Proceso de Investigación (4) *MI SOLUCION PROPUESTA -Para permitir el acceso de los usuarios puede usarse OpenSSO y utilizar a Google como Proveedor de Identidad (no encuentro como) ACTUALIZACIÓN: La única manera de usar a Google como Proveedor de Identidad es usar OpenID, así que este será el punto de entrada al Sistema Institucional -Para que Google actue como proveedor de identidad, es necesario usar openID -Para parmitir usar los recursos de Google, el Sistema actuara como Proveedor de Identidad y Google como Proveedor de Servicios (Tutorial de Pedro Ventura)
16. Proceso de Investigación (5) Después de llegar a la conclusión de que mi punto de partida en esta investigación/proyecto era poder implementar OpenID en el Sistema y lograr de esa manera la autenticación usando Google, me di a la tarea de investigar cosas relacionadas que me permitieran llevar esto a acabo: *Que es un LDAP http://ldapman.org/articles/sp_intro.html CONCLUSION: LDAP es una Base de Datos donde se almacenan los datos de autenticacion de un usuario (nombre, contrasenia y otros) y sus roles *Proyecto de SSO por inmuna para la Municipalidad de Rosario http://www.google.com.mx/url?sa=t&source=web&cd=3&ved=0CCkQFjAC&url=http%3A%2F%2Fwww.rosario.gov.ar%2FArchivosWeb%2Fmunix%2Fdoc_arq2.pdf&rct=j&q=sso%20y%20ldap&ei=IfpCTYirI4WisQOVlaX4Cg&usg=AFQjCNFe1X0cbMtKtET6qSqjF_FjY0aaLw&sig2=tjl3rIuXEE2AhGTOlUvL8g&cad=rja CONCLUSION: Tiene una explicacion detallada de como se configuro SSO, usando Kerberos y LDAP para lograr el SSO. Viene explicado paso a paso
17. Proceso de Investigación (6) CONCLUSIÓN GENERAL *Bueno, basado en el comentario de David Cifuentes -http://groups.google.com/group/colombia-gtug/browse_thread/thread/f851a1d4ad020e8e-, si lo que se necesita es delegar el proceso de autenticación a Google como proveedor de identidad se debe usar OpenID. Google Accounts soporta Single Sign-On mediante OpenID, es decir Google actua como proveedor de identidad y, si tus aplicaciones internas soportan OpenID, éstas actuaran como proveedoras de servicios. Asi que, por lo tanto, para permitir, el logueounico, usando a Google como proveedor de identidad, es necesario usar OpenID. Para hacer la parte de usar los servicios de Google (correo, calendario, etc), este debera actuar como proveedor de servicio y aqui es donde aplican los tutoriales de PedroVentura -http://www.pedroventura.com/blog_programacion/2009/06/23/login-externo-usando-api-de-google-apps/- Otra opción menos viable, porque no le entendi mucho a la informacion y hay poca, es usar CAS (Central AuthenticationService): http://www.jasig.org/cas -Aqui un tuto para usar CAS con Eclipse: https://wiki.jasig.org/display/CASUM/Using+CAS+with+Maven+2+and+Eclipse
18. Proceso de Investigación (7) Decidido a implementar OpenID en appfuse, como primer paso, investigué sobre este tema las diferentes opciones que existen para implementar OpenID en tu aplicación web: *Como funciona OpenID http://es.wikipedia.org/wiki/OpenID INVESTIGACION DE COMO IMPLEMENTAR OPENID EN MI APLICACION WEB *Tecnologias/Proyectos disponibles -- http://wiki.openid.net/w/page/12995176/Libraries -JOpenID -- http://code.google.com/p/jopenid/ WIKI: http://code.google.com/p/jopenid/wiki/JOpenId -OpenID4Java -- http://code.google.com/p/openid4java/ -Hacer a mi aplicacion mi propia proveedora de identidad -- http://wiki.openid.net/w/page/12995226/Run-your-own-identity-server *Implementar OpenID en mi aplicacion: http://www.ibm.com/developerworks/java/library/j-openid/index.html?ca=drs- *Escribir un Proveedor de OpenID para SSO: http://www.ibm.com/developerworks/java/library/j-openid2/index.html?ca=drs-
19. Proceso de Investigación (8) Otras alternativas: -OpenSSO: https://opensso.dev.java.net/ , http://developers.sun.com/identity/reference/techart/app-integration.html -JOSSO: http://www.josso.org/confluence/display/JOSSO1/JOSSO+-+Java+Open+Single+Sign-On+Project+Home -OpenAM: http://www.forgerock.com/openam.html , https://wikis.forgerock.org/confluence/display/openam/Home -Login Federado para Usuarios de Cuentas Google: http://code.google.com/intl/es-ES/apis/accounts/ , http://code.google.com/intl/es-ES/apis/accounts/docs/OpenID.html Tutorial a seguir para implementar OpenID por medio de Login Federado para usuarios de cuentas Google http://code.google.com/intl/es/apis/accounts/docs/OpenID.html Que libreria usar???? -OpenId4Java ya que es la que ha sido probada para Logins Federados -- http://code.google.com/intl/es/apis/accounts/docs/OpenID.html Como implementar OpenID4Java? -- http://code.google.com/p/openid4java/wiki/QuickStart Como diseniar una buena interfaz para ingresar al Sistema: http://sites.google.com/site/oauthgoog/UXFedLogin/summary
20. Proceso de Investigación (9) Acegi soporta OpenID http://www.infoq.com/news/2008/04/spring-security http://www.acegisecurity.org/ NOTA: Acegies lo mismoque Spring Security ahora, yaque lo absorbió. A partir de su version 2 pasó a llamarse Spring Security A partir de estemomento, debido a queappfuseviene con Acegi, buscaré la maner de implementarOpenIDusando el acegi o en sudefecto, actualizarlaslibrerías y usar Spring Security
21. Proceso de Investigación (10) Como configurar Spring Security paraquesoporteOpenID http://forum.springsource.org/showthread.php?t=80655 DocumentacionoficialparaconfigurarSpringSecurityparaquesoporteOpenID http://static.springsource.org/spring-security/site/docs/2.0.x/reference/ns-config.html#ns-openid AutenticacionOpenIDusando Spring Security http://blog.fredvos.org/2008/10/openid-authentication-with-spring.html Tutorial de configuracion de OpenID con Spring Security en un proyecto Grails http://www.gruposp2p.org/wordpress/?p=225 Unasconfiguracionesinteresantes http://blog.jotadeveloper.com/2009/06/23/spring-security-2-la-configuracion-a-la-medida-con-dao-hibernate-iv/ Todoslassubetiquetas de <openid-login> http://static.springsource.org/spring-security/site/docs/3.0.x/reference/appendix-namespace.html#nsa-openid-login
22. Proceso de Investigación (11) Spring Security OpenID con Google (Ejemplo) http://code.google.com/p/spring-security-openid/downloads/detail?name=spring-security-openid-google.zip Tutorial Oficinal OpenID4Java http://code.google.com/p/openid4java/ *Configurando un LDAP en Apffuse http://appfuse.org/display/APF/LDAP+Authentication#LDAPAuthentication-appfuse1xx
23. Proceso de Investigación () A partir de ahoradetallolasconfiguraciones y cosasque he aprendidoacerca de comohabilitar el soporteparaOpenID en Spring parapoderutilizarlo en Appfuse 1.9.4: