SlideShare ist ein Scribd-Unternehmen logo

SimpleSAMLphp

J
Jaime Pérez Crespo

SimpleSAMLphp es una implementación en PHP del estándar SAML para autenticación única y delegada entre aplicaciones. Proporciona funciones de proveedor de identidad y servicio, es fácil de instalar y configurar, y se usa en federaciones académicas como Feide y WAYF para autenticar millones de usuarios.

Software
1 von 16
Downloaden Sie, um offline zu lesen
SimpleSAMLphp SAML made easy Jaime Pérez 28 de Abril de 2015
¿Qué es?   Una implementación del estándar SAML* en PHP. Tanto la versión 1.1 como la 2.0 del estándar de OASIS. Implementa tanto proveedores de identidad (autenticación institucional) como de servicio (autenticación delegada en aplicaciones). Fácil de instalar, gestionar y mantener. Código abierto.   Y mucho más… 28 de abril de 2015 2 * https://www.oasis-open.org/standards#samlv2.0
¿Qué hace? Autentica usuarios y envia aserciones con su identidad (y, opcionalmente, atributos) a terceros de confianza (función IdP). Delega la autenticación del usuario en terceros que albergan las credenciales e información adicional (función SP). Implementa Single-Sign-On entre aplicaciones. Realiza traducción de protocolos (función proxy, soportada parcialmente).   PAPI   CAS   OpenID   OAuth 28 de abril de 2015 3
¿Qué hace? Implementa reglas de autorización de acceso a recursos. Controla los atributos enviados a las aplicaciones. Soporta múltiples formas de autenticación: Cuentas almacenadas en un fichero LDAP Base de datos Radius Certificados digitales O incluso otros protocolos, haciendo que se comporte como un proxy o pasarela: PAPI, CAS, OpenID, Windows Live, Facebook, Twitter, Myspace, Linked In, etc. 428 de abril de 2015
Ejemplo de uso: Feide* Federación académica noruega. Un sólo proveedor de identidad para todas las instituciones. Apenas unos millones de usuarios potenciales. Pero más de 75 millones de autenticaciones en 2014. Basado en SimpleSAMLphp y una arquitectura de altas prestaciones. 5 * https://www.feide.no/introducing-feide 28 de abril de 2015
Otro ejemplo: WAYF* Federación académica danesa. Arquitectura hub&spoke usando SimpleSAMLphp como eje central.   Proxy o pasarela SAML entre los proveedores de servicio (que usan SAML) y los proveedores de identidad (las instituciones danesas, también usando SAML). Utilizado incluso más allá del ámbito académico para servicios prestados por la administración pública. 6 * http://www.wayf.dk/ 28 de abril de 2015
Último ejemplo: SIR* Arquitectura hub&spoke usando SimpleSAMLphp como pasarela SAML.   Proxy o pasarela entre los proveedores de servicio (que usan SAML) y los proveedores de identidad (las instituciones españolas, usando el protocolo PAPI desarrollado en RedIRIS**). Ahora en proceso de sustituir la pasarela y eliminar la traducción de protocolos entre SAML y PAPI. Algunas instituciones ya lo usan con un conector PAPI. 7 * http://www.rediris.es/sir **http://papi.rediris.es/ 28 de abril de 2015
Instalación Instalar y configurar Apache. También funciona sobre IIS o nginx. Descargar la última versión estable y descomprimir en el servidor. Configurar el servidor web para que apunte al directorio www/ dentro de la instalación de SimpleSAMLphp. Importante: ¡en caso de no realizar correctamente este paso, estaremos dejando al descubierto información sensible de nuestra instalación! Usar el instalador proporcionado por RedIRIS, o… configurarlo manualmente. 828 de abril de 2015
Configuración y mantenimiento Configuración principal: config/config.php   Los ficheros de configuración son archivos PHP: eso quiere decir que podemos hacer lo que queramos con ellos, incluso cambiar la configuración dinámicamente. Fuentes de autenticación: config/authsources.php Certificados: cert/ Metadatos: metadata/ Locales: metadata/saml20-idp-hosted.php Definen la configuración SAML del proveedor de identidad local. Remotos: metadata/saml20-sp-remote.php Definen la configuración SAML de los proveedores de servicio remotos. En este caso, el hub del SIR. 928 de abril de 2015
A tener en cuenta: seguridad   Es necesario crear un certificado digital con el que firmar las respuestas de autenticación y los metadatos. No es necesario que esté firmado por una CA.   La clave privada debe estar segura en el servidor.   Hay que generar siempre un salt aleatorio. Opción secretsalt en el archivo config/config.php. Un salt por defecto o fácil de adivinar es un problema de seguridad. Evitar que la raíz de la instalación sea accesible desde la web.   Poner una contraseña de administrador decente. Por ejemplo, usando SHA256 + salt. Se puede generar fácilmente usando bin/ pwgen.php 1028 de abril de 2015
A tener en cuenta: automatización   Los metadatos describen cómo intercambiar información entre dos entidades SAML. Para el correcto funcionamiento del protocolo, los metadatos tienen que mantenerse mutuamente actualizados entre el proveedor de servicio y el de identidad.   Lo más recomendable es gestionar los metadatos de forma automática, usando el módulo metarefresh. metarefresh usa una URL permanente para descargar los metadatos de forma periódica y dejarlos disponibles en el formato adecuado para SimpleSAMLphp.   Es necesario configurar un trabajo programado (por ejemplo, con cron) en el servidor. Ventaja: si cambia algo en el SIR, los cambios se propagan de forma automática y sin intervención. 1128 de abril de 2015
Otras ventajas interesantes   Se puede usar SimpleSAMLphp para tener Single-Sign-On entre las aplicaciones locales. Una aplicación = un SimpleSAMLphp. Fácil de integrar, pero eso si, para aplicaciones PHP. Otras soluciones para otro tipo de aplicaciones. Y de paso: ¡Single-Sign-On también con el SIR! Personalización de la interfaz de usuario. SimpleSAMLphp permite crear temas para modificar la apariencia a nuestro gusto. Autenticación de dos factores: es posible configurar authentication processing filters para autenticar de nuevo al usuario con otro factor. Por ejemplo: Yubikey. Manipulación de los atributos y los datos de autenticación mediante authentication processing filters. Distintas configuraciones dependiendo de quién pide autenticar al usuario. Agregación de atributos. Es posible utilizar autoridades externas para añadir nuevos atributos a la autenticación, que no tenemos disponibles en el momento en que se realiza la misma. 1228 de abril de 2015
Roadmap: hacia SimpleSAMLphp 2.0   Se eliminará mucho código e interfaces antiguos. Muchas clases cambiarán de nombre o desaparecerán. Más sencillo de desarrollar, mantener y personalizar: Traducciones mediante herramientas estándar. Apariencia personalizable mediante lenguajes también estándar.   Con la vista en el futuro: SimpleSAMLphp Consortium: Creación de un consorcio que garantice la estabilidad del proyecto y la disponibilidad de los recursos necesarios para su mantenimiento y desarrollo. Posibilidad de unirse al consorcio contribuyendo económicamente, lo que garantiza la vida del software y la capacidad de influir en la toma de decisiones. 1328 de abril de 2015
Más información https://simplesamlphp.org/ Documentación: https://simplesamlphp.org/docs   Internacionalización: https://simplesamlphp.org/translation   Listas de correo: https://simplesamlphp.org/lists Código: https://github.com/simplesamlphp/simplesamlphp 1428 de abril de 2015
¡Preguntas! 1528 de abril de 2015
¡Gracias! jaime.perez@uninett.no 1628 de abril de 2015

Empfohlen

Qué es un api
Qué es un apiQué es un api
Qué es un apilourdes_rocio
 
Desarrollando con APIs
Desarrollando con APIsDesarrollando con APIs
Desarrollando con APIsArturo Garrido
 
Definición de apis con swagger
Definición de apis con swaggerDefinición de apis con swagger
Definición de apis con swaggerj_copete
 
WORKSHOP I: Introducción a API REST
WORKSHOP I: Introducción a API RESTWORKSHOP I: Introducción a API REST
WORKSHOP I: Introducción a API RESTBEEVA_es
 
Laravel
LaravelLaravel
LaravelMichael Daniel Murillo
 
Presentacion sobre asp
Presentacion sobre aspPresentacion sobre asp
Presentacion sobre aspkarenReyes152
 
Arquitectura REST
Arquitectura RESTArquitectura REST
Arquitectura RESTHéctor Fuente Pérez
 
Creando y Orquestando APIs en MuleSoft
Creando y Orquestando APIs en MuleSoftCreando y Orquestando APIs en MuleSoft
Creando y Orquestando APIs en MuleSoftLarry Magallanes
 

Empfohlen

Qué es un api
Qué es un apiQué es un api
Qué es un apilourdes_rocio
 
Desarrollando con APIs
Desarrollando con APIsDesarrollando con APIs
Desarrollando con APIsArturo Garrido
 
Definición de apis con swagger
Definición de apis con swaggerDefinición de apis con swagger
Definición de apis con swaggerj_copete
 
WORKSHOP I: Introducción a API REST
WORKSHOP I: Introducción a API RESTWORKSHOP I: Introducción a API REST
WORKSHOP I: Introducción a API RESTBEEVA_es
 
Laravel
LaravelLaravel
LaravelMichael Daniel Murillo
 
Presentacion sobre asp
Presentacion sobre aspPresentacion sobre asp
Presentacion sobre aspkarenReyes152
 
Arquitectura REST
Arquitectura RESTArquitectura REST
Arquitectura RESTHéctor Fuente Pérez
 
Creando y Orquestando APIs en MuleSoft
Creando y Orquestando APIs en MuleSoftCreando y Orquestando APIs en MuleSoft
Creando y Orquestando APIs en MuleSoftLarry Magallanes
 
API REST FOR THE BD2 DATABASE WITHIN THE IBM I SYSTEMS, USING THE PHP FRAMEWO...
API REST FOR THE BD2 DATABASE WITHIN THE IBM I SYSTEMS, USING THE PHP FRAMEWO...API REST FOR THE BD2 DATABASE WITHIN THE IBM I SYSTEMS, USING THE PHP FRAMEWO...
API REST FOR THE BD2 DATABASE WITHIN THE IBM I SYSTEMS, USING THE PHP FRAMEWO...Héctor Curbelo Barrios
 
Arquitectura Rest
Arquitectura RestArquitectura Rest
Arquitectura RestIsrael Rey
 
Introducción a REST - SymfonyVLC
Introducción a REST - SymfonyVLCIntroducción a REST - SymfonyVLC
Introducción a REST - SymfonyVLCMiguel Ángel Sánchez Chordi
 
Asp .net
Asp .netAsp .net
Asp .netmellcv
 
Servicios web
Servicios webServicios web
Servicios webJoan Sebastián Ramírez Pérez
 
SEMINARIO: Servicios REST. Bases de la tecnología y soporte con Spring MVC
SEMINARIO: Servicios REST. Bases de la tecnología y soporte con Spring MVCSEMINARIO: Servicios REST. Bases de la tecnología y soporte con Spring MVC
SEMINARIO: Servicios REST. Bases de la tecnología y soporte con Spring MVCParadigma Digital
 
REST, JERSEY & SOAP
REST, JERSEY & SOAPREST, JERSEY & SOAP
REST, JERSEY & SOAPea2014G3
 
Charla REST API
Charla REST APICharla REST API
Charla REST APIGlobalLogic Latinoamérica
 
ASP.NET MVC
ASP.NET MVCASP.NET MVC
ASP.NET MVCRodolfo Finochietti
 
Ecosistema laravel
Ecosistema laravelEcosistema laravel
Ecosistema laravelPeter
 
Kumbia PHP Framework - Inicios, Presente y Futuro
Kumbia PHP Framework - Inicios, Presente y FuturoKumbia PHP Framework - Inicios, Presente y Futuro
Kumbia PHP Framework - Inicios, Presente y FuturoDeivinson Tejeda
 
Spring Mvc Final
Spring Mvc FinalSpring Mvc Final
Spring Mvc FinalJose Juan R. Zuñiga
 
Desarrollo Web con Kohana Framework PHP
Desarrollo Web con Kohana Framework PHPDesarrollo Web con Kohana Framework PHP
Desarrollo Web con Kohana Framework PHPJavier López López
 
Framework
FrameworkFramework
Frameworkrichard rodrigo mero sarcos
 
Apache axis v1.1
Apache axis v1.1Apache axis v1.1
Apache axis v1.1Maga Lasic
 
Rest
RestRest
RestIgnacio Muñoz Vicente
 
Introducción Spring Framework
Introducción Spring FrameworkIntroducción Spring Framework
Introducción Spring Frameworkecontinua
 
Desarrollo Web con ASP.NET MVC
Desarrollo Web con ASP.NET MVCDesarrollo Web con ASP.NET MVC
Desarrollo Web con ASP.NET MVCAngel Nuñez
 
Active mq - adopción
Active mq - adopciónActive mq - adopción
Active mq - adopciónCarlos Reinoza
 
Cuadro comparativo 2
Cuadro comparativo 2Cuadro comparativo 2
Cuadro comparativo 2Jesus Guerrero
 
Monitores transaccionales
Monitores transaccionalesMonitores transaccionales
Monitores transaccionalesMatias Yima
 
About SimpleSAMLphp 2009
About SimpleSAMLphp 2009About SimpleSAMLphp 2009
About SimpleSAMLphp 2009Andreas Åkre Solberg
 

Weitere ähnliche Inhalte

Was ist angesagt?

API REST FOR THE BD2 DATABASE WITHIN THE IBM I SYSTEMS, USING THE PHP FRAMEWO...
API REST FOR THE BD2 DATABASE WITHIN THE IBM I SYSTEMS, USING THE PHP FRAMEWO...API REST FOR THE BD2 DATABASE WITHIN THE IBM I SYSTEMS, USING THE PHP FRAMEWO...
API REST FOR THE BD2 DATABASE WITHIN THE IBM I SYSTEMS, USING THE PHP FRAMEWO...Héctor Curbelo Barrios
 
Arquitectura Rest
Arquitectura RestArquitectura Rest
Arquitectura RestIsrael Rey
 
Asp .net
Asp .netAsp .net
Asp .netmellcv
 
SEMINARIO: Servicios REST. Bases de la tecnología y soporte con Spring MVC
SEMINARIO: Servicios REST. Bases de la tecnología y soporte con Spring MVCSEMINARIO: Servicios REST. Bases de la tecnología y soporte con Spring MVC
SEMINARIO: Servicios REST. Bases de la tecnología y soporte con Spring MVCParadigma Digital
 
REST, JERSEY & SOAP
REST, JERSEY & SOAPREST, JERSEY & SOAP
REST, JERSEY & SOAPea2014G3
 
Ecosistema laravel
Ecosistema laravelEcosistema laravel
Ecosistema laravelPeter
 
Kumbia PHP Framework - Inicios, Presente y Futuro
Kumbia PHP Framework - Inicios, Presente y FuturoKumbia PHP Framework - Inicios, Presente y Futuro
Kumbia PHP Framework - Inicios, Presente y FuturoDeivinson Tejeda
 
Desarrollo Web con Kohana Framework PHP
Desarrollo Web con Kohana Framework PHPDesarrollo Web con Kohana Framework PHP
Desarrollo Web con Kohana Framework PHPJavier López López
 
Apache axis v1.1
Apache axis v1.1Apache axis v1.1
Apache axis v1.1Maga Lasic
 
Introducción Spring Framework
Introducción Spring FrameworkIntroducción Spring Framework
Introducción Spring Frameworkecontinua
 
Desarrollo Web con ASP.NET MVC
Desarrollo Web con ASP.NET MVCDesarrollo Web con ASP.NET MVC
Desarrollo Web con ASP.NET MVCAngel Nuñez
 

Was ist angesagt? (20)

API REST FOR THE BD2 DATABASE WITHIN THE IBM I SYSTEMS, USING THE PHP FRAMEWO...
API REST FOR THE BD2 DATABASE WITHIN THE IBM I SYSTEMS, USING THE PHP FRAMEWO...API REST FOR THE BD2 DATABASE WITHIN THE IBM I SYSTEMS, USING THE PHP FRAMEWO...
API REST FOR THE BD2 DATABASE WITHIN THE IBM I SYSTEMS, USING THE PHP FRAMEWO...
 
Arquitectura Rest
Arquitectura RestArquitectura Rest
Arquitectura Rest
 
Introducción a REST - SymfonyVLC
Introducción a REST - SymfonyVLCIntroducción a REST - SymfonyVLC
Introducción a REST - SymfonyVLC
 
Asp .net
Asp .netAsp .net
Asp .net
 
Servicios web
Servicios webServicios web
Servicios web
 
SEMINARIO: Servicios REST. Bases de la tecnología y soporte con Spring MVC
SEMINARIO: Servicios REST. Bases de la tecnología y soporte con Spring MVCSEMINARIO: Servicios REST. Bases de la tecnología y soporte con Spring MVC
SEMINARIO: Servicios REST. Bases de la tecnología y soporte con Spring MVC
 
REST, JERSEY & SOAP
REST, JERSEY & SOAPREST, JERSEY & SOAP
REST, JERSEY & SOAP
 
Charla REST API
Charla REST APICharla REST API
Charla REST API
 
ASP.NET MVC
ASP.NET MVCASP.NET MVC
ASP.NET MVC
 
Ecosistema laravel
Ecosistema laravelEcosistema laravel
Ecosistema laravel
 
Kumbia PHP Framework - Inicios, Presente y Futuro
Kumbia PHP Framework - Inicios, Presente y FuturoKumbia PHP Framework - Inicios, Presente y Futuro
Kumbia PHP Framework - Inicios, Presente y Futuro
 
Spring Mvc Final
Spring Mvc FinalSpring Mvc Final
Spring Mvc Final
 
Desarrollo Web con Kohana Framework PHP
Desarrollo Web con Kohana Framework PHPDesarrollo Web con Kohana Framework PHP
Desarrollo Web con Kohana Framework PHP
 
Framework
FrameworkFramework
Framework
 
Apache axis v1.1
Apache axis v1.1Apache axis v1.1
Apache axis v1.1
 
Rest
RestRest
Rest
 
Introducción Spring Framework
Introducción Spring FrameworkIntroducción Spring Framework
Introducción Spring Framework
 
Desarrollo Web con ASP.NET MVC
Desarrollo Web con ASP.NET MVCDesarrollo Web con ASP.NET MVC
Desarrollo Web con ASP.NET MVC
 
Active mq - adopción
Active mq - adopciónActive mq - adopción
Active mq - adopción
 
Cuadro comparativo 2
Cuadro comparativo 2Cuadro comparativo 2
Cuadro comparativo 2
 

Andere mochten auch

Monitores transaccionales
Monitores transaccionalesMonitores transaccionales
Monitores transaccionalesMatias Yima
 
Middleware
MiddlewareMiddleware
MiddlewareTensor
 
Guía para las madres que amamantan
Guía para las madres que amamantanGuía para las madres que amamantan
Guía para las madres que amamantanCristobal Buñuel
 
Evaluación de las pruebas y programas de detección precoz (criabao o screengi...
Evaluación de las pruebas y programas de detección precoz (criabao o screengi...Evaluación de las pruebas y programas de detección precoz (criabao o screengi...
Evaluación de las pruebas y programas de detección precoz (criabao o screengi...Javier González de Dios
 

Andere mochten auch (7)

Monitores transaccionales
Monitores transaccionalesMonitores transaccionales
Monitores transaccionales
 
About SimpleSAMLphp 2009
About SimpleSAMLphp 2009About SimpleSAMLphp 2009
About SimpleSAMLphp 2009
 
Middleware
MiddlewareMiddleware
Middleware
 
Sistemas de información distribuidos
Sistemas de información distribuidosSistemas de información distribuidos
Sistemas de información distribuidos
 
Middleware
MiddlewareMiddleware
Middleware
 
Guía para las madres que amamantan
Guía para las madres que amamantanGuía para las madres que amamantan
Guía para las madres que amamantan
 
Evaluación de las pruebas y programas de detección precoz (criabao o screengi...
Evaluación de las pruebas y programas de detección precoz (criabao o screengi...Evaluación de las pruebas y programas de detección precoz (criabao o screengi...
Evaluación de las pruebas y programas de detección precoz (criabao o screengi...
 

Ähnlich wie SimpleSAMLphp

Cl@ve Firma - Visión práctica desde el punto de vista del proveedor de servicios
Cl@ve Firma - Visión práctica desde el punto de vista del proveedor de serviciosCl@ve Firma - Visión práctica desde el punto de vista del proveedor de servicios
Cl@ve Firma - Visión práctica desde el punto de vista del proveedor de serviciosTomás García-Merás
 
Mada metodología ágil de desarrollo de apis
Mada metodología ágil de desarrollo de apisMada metodología ágil de desarrollo de apis
Mada metodología ágil de desarrollo de apisCloudAppi
 
Google Cloud Platform y Python
Google Cloud Platform y PythonGoogle Cloud Platform y Python
Google Cloud Platform y PythonCarlos Toxtli
 
"Los Imprescindibles de .NetCore"
"Los Imprescindibles de .NetCore""Los Imprescindibles de .NetCore"
"Los Imprescindibles de .NetCore"www.encamina.com
 
Presentación html5
Presentación html5Presentación html5
Presentación html5aydimdagam
 
Seguridad en las apis desde un punto de vista de developer
Seguridad en las apis desde un punto de vista de developerSeguridad en las apis desde un punto de vista de developer
Seguridad en las apis desde un punto de vista de developerCloudAppi
 
MuleSoft Anypoint Platform - Releases 2019
MuleSoft Anypoint Platform - Releases 2019 MuleSoft Anypoint Platform - Releases 2019
MuleSoft Anypoint Platform - Releases 2019 Larry Magallanes
 
Mulesoft Anypoint platform: Design Center
Mulesoft Anypoint platform: Design CenterMulesoft Anypoint platform: Design Center
Mulesoft Anypoint platform: Design CenterLarry Magallanes
 
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP7th_Sign
 
Seguridad en el Desarrollo de Aplicaciones Web PHP
Seguridad en el Desarrollo de Aplicaciones Web PHPSeguridad en el Desarrollo de Aplicaciones Web PHP
Seguridad en el Desarrollo de Aplicaciones Web PHP7th_Sign
 
Programación web con PHP con Tecnología Bootstrap.
Programación web con PHP con Tecnología Bootstrap.Programación web con PHP con Tecnología Bootstrap.
Programación web con PHP con Tecnología Bootstrap.Jose Fernandez
 
MuleSoft Meetups Panama City 04 - MuleSoft API Manager
MuleSoft Meetups Panama City 04 - MuleSoft API ManagerMuleSoft Meetups Panama City 04 - MuleSoft API Manager
MuleSoft Meetups Panama City 04 - MuleSoft API ManagerLarry Magallanes
 
02 webinar gestion_expedientes_v0.6.1-intix
02 webinar gestion_expedientes_v0.6.1-intix02 webinar gestion_expedientes_v0.6.1-intix
02 webinar gestion_expedientes_v0.6.1-intixRoger CARHUATOCTO
 
Act1 tecnologiaweb uni1
Act1 tecnologiaweb uni1Act1 tecnologiaweb uni1
Act1 tecnologiaweb uni1fanyto
 
Gestión documental colaborativa con Alfresco ECM
Gestión documental colaborativa con Alfresco ECMGestión documental colaborativa con Alfresco ECM
Gestión documental colaborativa con Alfresco ECMzylk net
 
Análisis del TCO del Uso de Sofia2 como backend vs desarrollo a medida sobre ...
Análisis del TCO del Uso de Sofia2 como backend vs desarrollo a medida sobre ...Análisis del TCO del Uso de Sofia2 como backend vs desarrollo a medida sobre ...
Análisis del TCO del Uso de Sofia2 como backend vs desarrollo a medida sobre ...Sofia2 Smart Platform
 
Corp. In. Tec. S.A. - Capacitaciones en Informática - Programación con CodeIg...
Corp. In. Tec. S.A. - Capacitaciones en Informática - Programación con CodeIg...Corp. In. Tec. S.A. - Capacitaciones en Informática - Programación con CodeIg...
Corp. In. Tec. S.A. - Capacitaciones en Informática - Programación con CodeIg...Corporacion de Industrias Tecnologicas S.A.
 

Ähnlich wie SimpleSAMLphp (20)

Cl@ve Firma - Visión práctica desde el punto de vista del proveedor de servicios
Cl@ve Firma - Visión práctica desde el punto de vista del proveedor de serviciosCl@ve Firma - Visión práctica desde el punto de vista del proveedor de servicios
Cl@ve Firma - Visión práctica desde el punto de vista del proveedor de servicios
 
Mada metodología ágil de desarrollo de apis
Mada metodología ágil de desarrollo de apisMada metodología ágil de desarrollo de apis
Mada metodología ágil de desarrollo de apis
 
Google Cloud Platform y Python
Google Cloud Platform y PythonGoogle Cloud Platform y Python
Google Cloud Platform y Python
 
"Los Imprescindibles de .NetCore"
"Los Imprescindibles de .NetCore""Los Imprescindibles de .NetCore"
"Los Imprescindibles de .NetCore"
 
Presentación html5
Presentación html5Presentación html5
Presentación html5
 
Seguridad en las apis desde un punto de vista de developer
Seguridad en las apis desde un punto de vista de developerSeguridad en las apis desde un punto de vista de developer
Seguridad en las apis desde un punto de vista de developer
 
Apli t1 ejr
Apli t1 ejrApli t1 ejr
Apli t1 ejr
 
MuleSoft Anypoint Platform - Releases 2019
MuleSoft Anypoint Platform - Releases 2019 MuleSoft Anypoint Platform - Releases 2019
MuleSoft Anypoint Platform - Releases 2019
 
Mulesoft Anypoint platform: Design Center
Mulesoft Anypoint platform: Design CenterMulesoft Anypoint platform: Design Center
Mulesoft Anypoint platform: Design Center
 
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
[Flisol2011] Seguridad en el Desarrollo de Aplicaciones Web PHP
 
Seguridad en el Desarrollo de Aplicaciones Web PHP
Seguridad en el Desarrollo de Aplicaciones Web PHPSeguridad en el Desarrollo de Aplicaciones Web PHP
Seguridad en el Desarrollo de Aplicaciones Web PHP
 
RAML
RAMLRAML
RAML
 
Programación web con PHP con Tecnología Bootstrap.
Programación web con PHP con Tecnología Bootstrap.Programación web con PHP con Tecnología Bootstrap.
Programación web con PHP con Tecnología Bootstrap.
 
MuleSoft Meetups Panama City 04 - MuleSoft API Manager
MuleSoft Meetups Panama City 04 - MuleSoft API ManagerMuleSoft Meetups Panama City 04 - MuleSoft API Manager
MuleSoft Meetups Panama City 04 - MuleSoft API Manager
 
API como SaaS
API como SaaSAPI como SaaS
API como SaaS
 
02 webinar gestion_expedientes_v0.6.1-intix
02 webinar gestion_expedientes_v0.6.1-intix02 webinar gestion_expedientes_v0.6.1-intix
02 webinar gestion_expedientes_v0.6.1-intix
 
Act1 tecnologiaweb uni1
Act1 tecnologiaweb uni1Act1 tecnologiaweb uni1
Act1 tecnologiaweb uni1
 
Gestión documental colaborativa con Alfresco ECM
Gestión documental colaborativa con Alfresco ECMGestión documental colaborativa con Alfresco ECM
Gestión documental colaborativa con Alfresco ECM
 
Análisis del TCO del Uso de Sofia2 como backend vs desarrollo a medida sobre ...
Análisis del TCO del Uso de Sofia2 como backend vs desarrollo a medida sobre ...Análisis del TCO del Uso de Sofia2 como backend vs desarrollo a medida sobre ...
Análisis del TCO del Uso de Sofia2 como backend vs desarrollo a medida sobre ...
 
Corp. In. Tec. S.A. - Capacitaciones en Informática - Programación con CodeIg...
Corp. In. Tec. S.A. - Capacitaciones en Informática - Programación con CodeIg...Corp. In. Tec. S.A. - Capacitaciones en Informática - Programación con CodeIg...
Corp. In. Tec. S.A. - Capacitaciones en Informática - Programación con CodeIg...
 

SimpleSAMLphp

  • 1. SimpleSAMLphp SAML made easy Jaime Pérez 28 de Abril de 2015
  • 2. ¿Qué es?   Una implementación del estándar SAML* en PHP. Tanto la versión 1.1 como la 2.0 del estándar de OASIS. Implementa tanto proveedores de identidad (autenticación institucional) como de servicio (autenticación delegada en aplicaciones). Fácil de instalar, gestionar y mantener. Código abierto.   Y mucho más… 28 de abril de 2015 2 * https://www.oasis-open.org/standards#samlv2.0
  • 3. ¿Qué hace? Autentica usuarios y envia aserciones con su identidad (y, opcionalmente, atributos) a terceros de confianza (función IdP). Delega la autenticación del usuario en terceros que albergan las credenciales e información adicional (función SP). Implementa Single-Sign-On entre aplicaciones. Realiza traducción de protocolos (función proxy, soportada parcialmente).   PAPI   CAS   OpenID   OAuth 28 de abril de 2015 3
  • 4. ¿Qué hace? Implementa reglas de autorización de acceso a recursos. Controla los atributos enviados a las aplicaciones. Soporta múltiples formas de autenticación: Cuentas almacenadas en un fichero LDAP Base de datos Radius Certificados digitales O incluso otros protocolos, haciendo que se comporte como un proxy o pasarela: PAPI, CAS, OpenID, Windows Live, Facebook, Twitter, Myspace, Linked In, etc. 428 de abril de 2015
  • 5. Ejemplo de uso: Feide* Federación académica noruega. Un sólo proveedor de identidad para todas las instituciones. Apenas unos millones de usuarios potenciales. Pero más de 75 millones de autenticaciones en 2014. Basado en SimpleSAMLphp y una arquitectura de altas prestaciones. 5 * https://www.feide.no/introducing-feide 28 de abril de 2015
  • 6. Otro ejemplo: WAYF* Federación académica danesa. Arquitectura hub&spoke usando SimpleSAMLphp como eje central.   Proxy o pasarela SAML entre los proveedores de servicio (que usan SAML) y los proveedores de identidad (las instituciones danesas, también usando SAML). Utilizado incluso más allá del ámbito académico para servicios prestados por la administración pública. 6 * http://www.wayf.dk/ 28 de abril de 2015
  • 7. Último ejemplo: SIR* Arquitectura hub&spoke usando SimpleSAMLphp como pasarela SAML.   Proxy o pasarela entre los proveedores de servicio (que usan SAML) y los proveedores de identidad (las instituciones españolas, usando el protocolo PAPI desarrollado en RedIRIS**). Ahora en proceso de sustituir la pasarela y eliminar la traducción de protocolos entre SAML y PAPI. Algunas instituciones ya lo usan con un conector PAPI. 7 * http://www.rediris.es/sir **http://papi.rediris.es/ 28 de abril de 2015
  • 8. Instalación Instalar y configurar Apache. También funciona sobre IIS o nginx. Descargar la última versión estable y descomprimir en el servidor. Configurar el servidor web para que apunte al directorio www/ dentro de la instalación de SimpleSAMLphp. Importante: ¡en caso de no realizar correctamente este paso, estaremos dejando al descubierto información sensible de nuestra instalación! Usar el instalador proporcionado por RedIRIS, o… configurarlo manualmente. 828 de abril de 2015
  • 9. Configuración y mantenimiento Configuración principal: config/config.php   Los ficheros de configuración son archivos PHP: eso quiere decir que podemos hacer lo que queramos con ellos, incluso cambiar la configuración dinámicamente. Fuentes de autenticación: config/authsources.php Certificados: cert/ Metadatos: metadata/ Locales: metadata/saml20-idp-hosted.php Definen la configuración SAML del proveedor de identidad local. Remotos: metadata/saml20-sp-remote.php Definen la configuración SAML de los proveedores de servicio remotos. En este caso, el hub del SIR. 928 de abril de 2015
  • 10. A tener en cuenta: seguridad   Es necesario crear un certificado digital con el que firmar las respuestas de autenticación y los metadatos. No es necesario que esté firmado por una CA.   La clave privada debe estar segura en el servidor.   Hay que generar siempre un salt aleatorio. Opción secretsalt en el archivo config/config.php. Un salt por defecto o fácil de adivinar es un problema de seguridad. Evitar que la raíz de la instalación sea accesible desde la web.   Poner una contraseña de administrador decente. Por ejemplo, usando SHA256 + salt. Se puede generar fácilmente usando bin/ pwgen.php 1028 de abril de 2015
  • 11. A tener en cuenta: automatización   Los metadatos describen cómo intercambiar información entre dos entidades SAML. Para el correcto funcionamiento del protocolo, los metadatos tienen que mantenerse mutuamente actualizados entre el proveedor de servicio y el de identidad.   Lo más recomendable es gestionar los metadatos de forma automática, usando el módulo metarefresh. metarefresh usa una URL permanente para descargar los metadatos de forma periódica y dejarlos disponibles en el formato adecuado para SimpleSAMLphp.   Es necesario configurar un trabajo programado (por ejemplo, con cron) en el servidor. Ventaja: si cambia algo en el SIR, los cambios se propagan de forma automática y sin intervención. 1128 de abril de 2015
  • 12. Otras ventajas interesantes   Se puede usar SimpleSAMLphp para tener Single-Sign-On entre las aplicaciones locales. Una aplicación = un SimpleSAMLphp. Fácil de integrar, pero eso si, para aplicaciones PHP. Otras soluciones para otro tipo de aplicaciones. Y de paso: ¡Single-Sign-On también con el SIR! Personalización de la interfaz de usuario. SimpleSAMLphp permite crear temas para modificar la apariencia a nuestro gusto. Autenticación de dos factores: es posible configurar authentication processing filters para autenticar de nuevo al usuario con otro factor. Por ejemplo: Yubikey. Manipulación de los atributos y los datos de autenticación mediante authentication processing filters. Distintas configuraciones dependiendo de quién pide autenticar al usuario. Agregación de atributos. Es posible utilizar autoridades externas para añadir nuevos atributos a la autenticación, que no tenemos disponibles en el momento en que se realiza la misma. 1228 de abril de 2015
  • 13. Roadmap: hacia SimpleSAMLphp 2.0   Se eliminará mucho código e interfaces antiguos. Muchas clases cambiarán de nombre o desaparecerán. Más sencillo de desarrollar, mantener y personalizar: Traducciones mediante herramientas estándar. Apariencia personalizable mediante lenguajes también estándar.   Con la vista en el futuro: SimpleSAMLphp Consortium: Creación de un consorcio que garantice la estabilidad del proyecto y la disponibilidad de los recursos necesarios para su mantenimiento y desarrollo. Posibilidad de unirse al consorcio contribuyendo económicamente, lo que garantiza la vida del software y la capacidad de influir en la toma de decisiones. 1328 de abril de 2015
  • 14. Más información https://simplesamlphp.org/ Documentación: https://simplesamlphp.org/docs   Internacionalización: https://simplesamlphp.org/translation   Listas de correo: https://simplesamlphp.org/lists Código: https://github.com/simplesamlphp/simplesamlphp 1428 de abril de 2015