Shibboleth, el cas d'ús de la UOC
•
0 likes•152 views
Presentació de Manolo García, de la UOC, a la sessió 2 sobre Experiències d'implementacions d'IDP i/o SP's, dins la Jornada d'identitat federada: UNIFICA'T!
Recommended
More Related Content
Similar to Shibboleth, el cas d'ús de la UOC
Similar to Shibboleth, el cas d'ús de la UOC (20)
More from CSUC - Consorci de Serveis Universitaris de Catalunya
More from CSUC - Consorci de Serveis Universitaris de Catalunya (20)
Shibboleth, el cas d'ús de la UOC
- 1. uoc.edu uoc.edu Jornada Identitat / CSUC Shibboleth a la UOC: L’experiència.
- 2. uoc.edu16/05/2018 2 Per què ho vam fer? Volíem… ● solucionar el problema del perfilat (per tant autorització), ● facilitar la integració amb serveis i aplicacions de tercers (Office 365, Oracle Cloud, Adobe, Confluence / JIRA....) ... ● … i amb altres federacions (SIR2, UNIFICA’T), ● poder desplegar serveis autenticats al “cloud” (Azure, AWS…). i no volíem… ● fer un canvi radical en la autenticació / autorització.
- 3. uoc.edu17/10/16 3 Com ho vam fer? ● Abans de res, vam posar en marxa una Gestió de la Identitat: OpenIAM. Per què: ○ Algú ha de generar la informació que Shibboleth consumeix. ○ El LDAP ha de contenir els més de 300 mil usuaris amb la informació de perfilat. ○ Sovint federar no és suficient, s’ha de provisionar (ex. Office 365). ● Vam preparar una política d’atributs que donés servei a la majoria dels SP. La resta la vam tractar com excepcions. ● Vam enriquir l'asserció SAML amb atributs propis de UOC (però sempre seguint el estàndard).
- 4. uoc.edu17/10/16 4 Què va anar malament? ● El concepte d’estàndard és un ideal platònic. ● La configuració és un infern. Necessitem experts per modificar-la. ● Diversitat vs. control. Si es gestiona cada SP diferent el cost de gestió és molt gran; si no, canvis a la configuració afecten a molts SP. ● Cada modificació en la configuració és un desplegament. ● Explotació de dades molt manual. ● De vegades fer les coses millor pot anar en contra. Cas de MS Imagine i els affiliations.
- 5. uoc.edu17/10/16 5 Què va anar bé? ● La preparació de documentació clara i detallada va facilitar molt les primeres integracions. ● Desprès dels primers problemes, les integracions van ser gairebé automàtiques per la part de l’IdP. ● Mantenir el mecanisme d’autenticació (CAS) va ser un factor clau d’èxit. ● Un cop posat en marxa, entorn estable i molt fiable. ● Versatilitat. Sempre que hem necessitat alguna adaptació l’hem pogut fer modificant la configuració. ● Facilitat per emportar-nos aplicacions i continguts al núvol. Exemple materials a Azure. ● Molts recursos ja fets en torn a SAML: eines de TEST, llibreries, documentació… (no és només de Shibboleth). Tothom té un conector SAML.
- 6. uoc.edu17/10/16 6 Què canviaríem si ho féssim ara? ● No arrencar sense un circuit automàtic de modificació de la configuració. ● Facilitaríem la integració de serveis “interns” (atributs estandaritzats) i controlaríem els serveis “externs” (atributs personalitzats). ● Dedicaríem més temps a pensar en els atributs que volem emetre (i els del LDAP). ● No cauríem en el parany dels entitlements (permisos per servei). La temptació és gran, però un IdP no pot resoldre tots els problemes d’autorització dels SP. ● Pensaríem més en les implicacions de perfilar millor els usuaris.
- 7. uoc.edu17/10/16 7 Preguntes? Timendi causa est nescire (Séneca).