Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

AdAS-sso, el cas d'ús de la UPF

69 views

Published on

Presentació de Xavier Herrero, de la UPF, a la sessió 2 sobre Experiències d'implementacions d'IDP i/o SP's, dins la Jornada d'identitat federada: UNIFICA'T!

Published in: Technology
  • Be the first to comment

  • Be the first to like this

AdAS-sso, el cas d'ús de la UPF

  1. 1. Xavi Herrero 16/05/2018 adAS SSO a la Universitat Pompeu Fabra
  2. 2. 2 Sumari 1. De SSO-CG a adAS SSO 2. UNIFICAT i adAS Fed 3. Connexió adAS SSO amb adAS Fed 4. UPF preparada per a connectar-se a) Check list de requisits b) Informació UPF -> CSUC c) Connexió a l’entorn de validació d) Condicions d’ús 5. UPF a producció a UNIFICAT 6. Un exemple: Unidisc adAS SSO a la UPF
  3. 3. 3 Sumari 1. De SSO-CG a adAS SSO 2. UNIFICAT i adAS Fed 3. Connexió adAS SSO amb adAS Fed 4. UPF preparada per a connectar-se a) Check list de requisits b) Informació UPF -> CSUC c) Connexió a l’entorn de validació d) Condicions d’ús 5. UPF a producció a UNIFICAT 6. Un exemple: Unidisc adAS SSO a la UPF
  4. 4. 1. De SSO-CG a adAS SSO adAS SSO a la UPF • La UPF tenia un SSO propi • Al 2012 es va optar per migrar a adAS SSO • El SSO-CG es va fer compatible amb l’adAS SSO de manera transparent per l’usuari • Ha permès la migració de nombroses aplicacions • Ha estat un procés senzill per als desenvolupadors i sense cap afectació per l’usuari final • Comptem amb un entorn de preproducció i un de producció 4
  5. 5. 1. De SSO-CG a adAS SSO adAS SSO a la UPF 5 IdM CAS PAPI SAML2 Liferay Moodle Leyenda: Módulos integrados en adAS Servicios/Aplicaciones internos que componen en SSO Fuentes de datos con información de identidad de usuarios Conectores de protocolos SSO para las aplicaciones Aplicaciones Java Conector PAPI Conector Moodle/SSPhp Conector CAS Redmine Conector SAML SIR Servicios/Aplicaciones externos Google Apps UPF SSO Portal
  6. 6. 6 Sumari 1. De SSO-CG a adAS SSO 2. UNIFICAT i adAS Fed 3. Connexió adAS SSO amb adAS Fed 4. UPF preparada per a connectar-se a) Check list de requisits b) Informació UPF -> CSUC c) Connexió a l’entorn de validació d) Condicions d’ús 5. UPF a producció a UNIFICAT 6. Un exemple: Unidisc adAS SSO a la UPF
  7. 7. 2. UNIFICAT i adAS Fed adAS SSO a la UPF 7 CAS OpenID OpenID Connect SAML 1.1 SAML 2.0 App estadísticas FED SPs PAPI SPs SAML 2 SPs SAML 1.1 SPs OpenID SPs eduGAIN otras federaciones SPs Validación SPs CAS SPs Protocolos Popietarios PAPI OAuth 2 API REST WAYF Metadatos Política de consentimiento Política ARP Política AuthZ Estadísticas WAYF WAYFLess Protocolos propietarios Consola administración SAML 2.0 IdP SAML 2.0 Base de datos
  8. 8. 8 Sumari 1. De SSO-CG a adAS SSO 2. UNIFICAT i adAS Fed 3. Connexió adAS SSO amb adAS Fed 4. UPF preparada per a connectar-se a) Check list de requisits b) Informació UPF -> CSUC c) Connexió a l’entorn de validació d) Condicions d’ús 5. UPF a producció a UNIFICAT 6. Un exemple: Unidisc adAS SSO a la UPF
  9. 9. 3. Connexió adAS SSO amb adAS Fed adAS SSO a la UPF • Comptem amb el servei de suport de PRiSE 9
  10. 10. 3. Connexió adAS SSO amb adAS Fed adAS SSO a la UPF • Comptem amb el servei de suport de PRiSE • Ens informen de la necessitat d’actualitzar la versió d’adAS SSO per a assegurar els requisits sol·licitats des d’UNIFICAT • Actualitzem a adAS SSO 1.7.0 sobre màquines noves (octubre 2017) • Entorn de preproducció • Entorn de producció 10
  11. 11. 11 Sumari 1. De SSO-CG a adAS SSO 2. UNIFICAT i adAS Fed 3. Connexió adAS SSO amb adAS Fed 4. UPF preparada per a connectar-se a) Check list de requisits b) Informació UPF -> CSUC c) Connexió a l’entorn de validació d) Condicions d’ús 5. UPF a producció a UNIFICAT 6. Un exemple: Unidisc adAS SSO a la UPF
  12. 12. 4. UPF preparada per a connectar-se adAS SSO a la UPF • Ens posem en contacte amb el CSUC • Comprovació de requisits superada: • adAS SSO té connexió directa amb UNIFICAT • Però anem a repassar-los… 12
  13. 13. 4. a) Check list de requisits [Protocol] adAS SSO a la UPF • IdP amb protocol SAML 2.0 • adAS SSO opera amb SAML2, PAPI, CAS 13
  14. 14. 4. a) Check list de requisits [Contacte amb l’org.] adAS SSO a la UPF • Contacte tècnic • Contacte administratiu • Des de l’eina d’administració podem indicar els contactes necessaris 14
  15. 15. 4. a) Check list de requisits [Metadades HTTPS] adAS SSO a la UPF • URL pública de les metadades del nostre IdP sota HTTPS • https://sso.upf.edu/metadata/saml2 • https://presso.upf.edu/metadata/saml2 15
  16. 16. 4. a) Check list de requisits [HUB com a SP] adAS SSO a la UPF • Incorporació de les metadades del HUB al nostre IdP • Necessitarem les URL de les metadades del HUB quan actuï com a SP • https://unificat.csuc.cat/metadata/sml/saml2/ • Copiem i enganxem el contingut XML en el formulari de metadades d’SP a l’adAS 16
  17. 17. 4. a) Check list de requisits [HUB com a SP] adAS SSO a la UPF • Les metadades s’analitzen i mostren la informació de forma intel·ligible 17
  18. 18. 4. a) Check list de requisits [Atributs requerits] adAS SSO a la UPF • Indiquem quins atributs enviarem a la federació mitjançant una política d’atributs 18
  19. 19. 4. a) Check list de requisits [Atributs requerits] adAS SSO a la UPF • Des de l’eina d’administració es troben definits atributs globals per fer ús als diferents SP’s/HUB’s de federació • UNIFICAT requereix uns atributs amb un nom i/o valor particular • Per exemple, fem servir l’atribut global • eduPersonEntitlement • Però es redefineix de forma especial només per a UNIFICAT 19
  20. 20. 4. a) Check list de requisits [Atributs requerits] adAS SSO a la UPF • En el cas de l’atribut • eduPersonScopedAffiliation • No es feia servir i es defineix i crea en particular pel UNIFICAT 20
  21. 21. 4. a) Check list de requisits [Atributs requerits] adAS SSO a la UPF • Proporcionem els noms requerits per la federació per a aquells atributs ja definits a adAS SSO 21
  22. 22. 4. b) Informació UPF -> CSUC adAS SSO a la UPF • Des de la UPF indiquem al CSUC la nostre URL de les metadades del nostre IdP • Primer del nostre entorn de preproducció per a fer les proves pertinents • https://presso.upf.edu/metadata/saml2 22
  23. 23. 4. c) Connexió a l’entorn de validació adAS SSO a la UPF • Des del CSUC ens connecten el nostre SSO de preproducció a l’entorn de validació • Comprovem la connexió a través de les aplicacions test • http://lab.prise.es/simplesaml/module.php/core/authentic ate.php?as=sp_prueba_csuc 23
  24. 24. 4. c) Connexió a l’entorn de validació adAS SSO a la UPF • Aquesta aplicació ens envia al WAYF de la federació de validació 24
  25. 25. 4. c) Connexió a l’entorn de validació adAS SSO a la UPF • Seleccionem com a IdP el de la UPF 25
  26. 26. 4. c) Connexió a l’entorn de validació adAS SSO a la UPF • Des d’on serem redirigits automàticament al nostre IdP, i introduirem les nostres credencials 26
  27. 27. 4. c) Connexió a l’entorn de validació adAS SSO a la UPF • Abans de realitzar l’accés a l’aplicació tindrem un parell de redireccions • La primera per a enviar la resposta SAML2 des de l’IdP de la UPF cap al HUB de la federació 27
  28. 28. 4. c) Connexió a l’entorn de validació adAS SSO a la UPF • La segona redirecció per a enviar la resposta SAML2 des del HUB de la federació cap a l’aplicació de test 28
  29. 29. 4. c) Connexió a l’entorn de validació adAS SSO a la UPF • Per últim, l’accés a l’aplicació de test 29
  30. 30. 4. d) Condicions d’ús adAS SSO a la UPF • Una vegada està tot correcte: • Repliquem les passes amb el nostre entorn de producció i l’entorn real d’UNIFICAT • Cal signar entre les dues institucions el document de Condicions d’ús http://www.csuc.cat/sites/default/files/docs/condicionsus_idp_feder acioidentitats.pdf 30
  31. 31. 31 Sumari 1. De SSO-CG a adAS SSO 2. UNIFICAT i adAS Fed 3. Connexió adAS SSO amb adAS Fed 4. UPF preparada per a connectar-se a) Check list de requisits b) Informació UPF -> CSUC c) Connexió a l’entorn de validació d) Condicions d’ús 5. UPF a producció a UNIFICAT 6. Un exemple: Unidisc adAS SSO a la UPF
  32. 32. 5. UPF a producció a UNIFICAT adAS SSO a la UPF • Ja podem fer servir els serveis que s’ofereixen des del CSUC • https://www.csuc.cat/ca/recerca/federacio-d- identitats-unificat/serveis-connectats 32
  33. 33. 33 Sumari 1. De SSO-CG a adAS SSO 2. UNIFICAT i adAS Fed 3. Connexió adAS SSO amb adAS Fed 4. UPF preparada per a connectar-se a) Check list de requisits b) Informació UPF -> CSUC c) Connexió a l’entorn de validació d) Condicions d’ús 5. UPF a producció a UNIFICAT 6. Un exemple: Unidisc adAS SSO a la UPF
  34. 34. 6. Un exemple: UNIDisc adAS SSO a la UPF • https://unidisc.csuc.cat/index.php/login 34
  35. 35. 6. Un exemple: UNIDisc adAS SSO a la UPF 35
  36. 36. 6. Un exemple: UNIDisc adAS SSO a la UPF 36
  37. 37. 6. Un exemple: UNIDisc adAS SSO a la UPF 37

×