Federao CAF

11 / 2011

Introduo Federao CAFe

Conceito de Federao
Infraestrutura de autenticao e autorizao federada Elementos de uma federao Interao entre os elementos de uma federao Exemplos de federaes acadmicas Federao CAFe

Conceito de Federao O conceito de federao acadmica visa minimizar as demandas dos provedores e dos usurios de servios disponibilizados por instituies de ensino e pesquisa no que diz respeito manuteno de informaes usadas para autenticao e autorizao de acesso a esses servios.

Conceito de Federao

As informaes sobre uma pessoa so mantidas em uma nica base, gerida por sua instituio de vnculo, cabendo a cada instituio estabelecer seu modelo de gesto de identidade, isto , de que forma informaes sobre pessoas so mantidas e atualizadas e quais mtodos de autenticao so usados.
Os provedores de servio confiam no modelo de gesto de identidade das instituies e disponibilizam seus servios para os usurios vinculados a essas instituies, criando assim o princpio de identidade federada

Infraestrutura de autenticao e autorizao: Modelo Usual

Cada servio mantm informaes sobre seus usurios.

Infraestrutura de autenticao e autorizao: Federao

Informaes sobre os usurios concentradas em local nico.

Elementos de uma Federao Uma federao inclui dois elementos: Provedor de Identidade (IdP) Provedor de Servio (SP) Atores em uma federao: Usurio: deseja usar um recurso protegido Provedor do recurso: aplicao com um SP instalado Instituio do usurio: possui um IdP e um processo interno de autenticao

Elementos de uma Federao

Provedor de Identidade (IdP)

Implementam a poltica interna de gesto de identidade de uma instituio

Atributos dos usurios Nome, data do vnculo, cargo ocupado, matrcula etc.
Mtodo de autenticao: Login/senha, certificados etc. Identificador nico para cada pessoa vinculada instituio

Elementos de uma Federao

Provedor de Servio (SP)

Implementam servios que devem ser disponibilizados para pessoas vinculadas s instituies. Requerem: Autenticao: Identificao dos usurios do servio Autorizao: Atributos adicionais do usurio que garantem certos privilgios de acesso Foco na implementao do servio, e no na manuteno dos registros dos usurios

Interao entre os elementos de uma federao

Passo 1: usurio faz acesso ao provedor de servio (SP). Passo 2: o servio apresenta escolhas fornecidas pelo repositrio centralizado WAYF (Where Are You From). Passo 3: o usurio seleciona a sua instituio de origem.

Passo 4: o usurio redirecionado para o seu provedor de identidade (IdP).

Passo 5: o IdP autentica o usurio com o mtodo escolhido pela instituio. Passo 6: o SP recebe garantia de autenticao do usurio pelo IdP. Passo 7: se necessrio, o SP requisita atributos adicionais desse usurio ao IdP; para garantir a privacidade do usurio, apenas so disponibilizados atributos previamente acordados entre o IdP e o SP. Passo 8: o provedor de servio decide sobre as autorizaes e disponibiliza o servio para o usurio.

Interao entre os elementos de uma federao

Passo 1: usurio faz acesso ao provedor de servio (SP). Passo 2: o servio apresenta escolhas fornecidas pelo repositrio centralizado WAYF (Where Are You From). Passo 3: o usurio seleciona a sua instituio de origem.

Interao entre os elementos de uma federao

Passo 4: o usurio redirecionado para o seu provedor de identidade (IdP). Passo 5: o IdP autentica o usurio com o mtodo escolhido pela instituio. Passo 6: o SP recebe garantia de autenticao do usurio pelo IdP.

Interao entre os elementos de uma federao

Passo 7: se necessrio, o SP requisita atributos adicionais desse usurio ao IdP; para garantir a privacidade do usurio, apenas so disponibilizados atributos previamente acordados entre o IdP e o SP.

Interao entre os elementos de uma federao

Passo 8: o provedor de servio decide sobre as autorizaes e disponibiliza o servio para o usurio.

Exemplos de federaes acadmicas Federaes acadmicas j so implementadas e mantidas em outros pases. Alguns exemplos: InCommon Federao nos EUA com 107 instituies e dois milhes de usurios Feide Federao na Noruega Switch Federao na Sua SDSS Federao no Reino Unido

Federao CAFe
Iniciativa da RNP para criar uma Federao Acadmica no Brasil Projeto iniciado em julho de 2007 envolvendo cinco instituies: UFC, UFMG, UFF, UFRGS e Cefet-MG
Metodologia adotada: Integrar padres e solues de software utilizadas por outras federaes Desenvolver ferramentas auxiliares e definir polticas para a federao

Federao CAFe
Ferramentas utilizadas na verso atual de implementao da Federao CAF:
Base de Usurio LDAP Esquema BrEduPerson

Esquema proposto para membros de instituies de ensino superior no Brasil Divide-se em:
Informaes gerais sobre qualquer cidado Informaes gerais sobre membros de uma instituio Informaes especficas sobre funcionrios e alunos Relacionamentos modelados em estrutura hierrquica

Federao CAFe
Ferramentas utilizadas na verso atual de implementao da Federao CAF:
Base de Usurio LDAP Esquema BrEduPerson Necessidade de refletir na base de dados o fato de uma mesma pessoa desempenhar diferentes papis dentro da sua instituio ou possuir mais de um nmero VoIP, cada um com suas caractersticas, ou armazenar dados biomtricos de fontes distintas

Federao CAFe
Ferramentas utilizadas na verso atual de implementao da Federao CAF: EID (Export Import Directory) Ferramenta para criao de Metadiretrio e Alimentao do LDAP

Federao CAFe
Ferramentas utilizadas na verso atual de implementao da Federao CAF: Plataforma Shibboleth Provedor de Identidade (Idp) / Provedor de Servio (SP) / WAYF
O Shibboleth composto majoritariamente pelos provedores de identidade e de servio, que proveem, respectivamente, autenticao e autorizao. Contudo, uma federao Shibboleth geralmente apresenta dois componentes adicionais: servio de WAYF (Where Are You From?) ou Discovery Service (Shibboleth 2.x), usados para localizar o provedor de identidade de um usurio, e servio de Metadata, usado para concentrar as informaes dos provedores pertencentes federao.

Raimundo Arlindo A. Matias raimundo.matias@rnp.br