Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Shibboleth, el cas d'ús de la UOC

74 views

Published on

Presentació de Manolo García, de la UOC, a la sessió 2 sobre Experiències d'implementacions d'IDP i/o SP's, dins la Jornada d'identitat federada: UNIFICA'T!

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Shibboleth, el cas d'ús de la UOC

  1. 1. uoc.edu uoc.edu Jornada Identitat / CSUC Shibboleth a la UOC: L’experiència.
  2. 2. uoc.edu16/05/2018 2 Per què ho vam fer? Volíem… ● solucionar el problema del perfilat (per tant autorització), ● facilitar la integració amb serveis i aplicacions de tercers (Office 365, Oracle Cloud, Adobe, Confluence / JIRA....) ... ● … i amb altres federacions (SIR2, UNIFICA’T), ● poder desplegar serveis autenticats al “cloud” (Azure, AWS…). i no volíem… ● fer un canvi radical en la autenticació / autorització.
  3. 3. uoc.edu17/10/16 3 Com ho vam fer? ● Abans de res, vam posar en marxa una Gestió de la Identitat: OpenIAM. Per què: ○ Algú ha de generar la informació que Shibboleth consumeix. ○ El LDAP ha de contenir els més de 300 mil usuaris amb la informació de perfilat. ○ Sovint federar no és suficient, s’ha de provisionar (ex. Office 365). ● Vam preparar una política d’atributs que donés servei a la majoria dels SP. La resta la vam tractar com excepcions. ● Vam enriquir l'asserció SAML amb atributs propis de UOC (però sempre seguint el estàndard).
  4. 4. uoc.edu17/10/16 4 Què va anar malament? ● El concepte d’estàndard és un ideal platònic. ● La configuració és un infern. Necessitem experts per modificar-la. ● Diversitat vs. control. Si es gestiona cada SP diferent el cost de gestió és molt gran; si no, canvis a la configuració afecten a molts SP. ● Cada modificació en la configuració és un desplegament. ● Explotació de dades molt manual. ● De vegades fer les coses millor pot anar en contra. Cas de MS Imagine i els affiliations.
  5. 5. uoc.edu17/10/16 5 Què va anar bé? ● La preparació de documentació clara i detallada va facilitar molt les primeres integracions. ● Desprès dels primers problemes, les integracions van ser gairebé automàtiques per la part de l’IdP. ● Mantenir el mecanisme d’autenticació (CAS) va ser un factor clau d’èxit. ● Un cop posat en marxa, entorn estable i molt fiable. ● Versatilitat. Sempre que hem necessitat alguna adaptació l’hem pogut fer modificant la configuració. ● Facilitat per emportar-nos aplicacions i continguts al núvol. Exemple materials a Azure. ● Molts recursos ja fets en torn a SAML: eines de TEST, llibreries, documentació… (no és només de Shibboleth). Tothom té un conector SAML.
  6. 6. uoc.edu17/10/16 6 Què canviaríem si ho féssim ara? ● No arrencar sense un circuit automàtic de modificació de la configuració. ● Facilitaríem la integració de serveis “interns” (atributs estandaritzats) i controlaríem els serveis “externs” (atributs personalitzats). ● Dedicaríem més temps a pensar en els atributs que volem emetre (i els del LDAP). ● No cauríem en el parany dels entitlements (permisos per servei). La temptació és gran, però un IdP no pot resoldre tots els problemes d’autorització dels SP. ● Pensaríem més en les implicacions de perfilar millor els usuaris.
  7. 7. uoc.edu17/10/16 7 Preguntes? Timendi causa est nescire (Séneca).
  8. 8. uoc.edu UOC.universitat @UOCuniversitat @uocuniversitat

×