Este documento recoge el caso más genérico de una organización que quiere adherirse a la federación SIR2, implementando el perfil tecnológico de Web Single-Sign-On, y adhiriéndose también a la interfederación eduGAIN.
Si desea que su institución se adhiera al Servicio de Federación Identidades de RedIRIS como proveedor de identidad en la federación SIR2, por favor, lea detenidamente este procedimiento y siga los pasos descritos a continuación:
- En primer lugar deberá contactar con nosotros para indicarnos que su institución quiere adherirse a la iniciativa, y deberá también elegir un software que permita implementar
su proveedor de identidad. Este es la pieza de software que se comunica con el hub
de la federación mediante el uso del perfil SAML2int.
Hay numerosas implementaciones de SAML2 como software de IdP, quizá las más conocidas en el
entorno académico, y que mejor se adaptarán al mencionado perfil, son las siguientes:
- SimpleSAMLphp (ver información disponible sobre el IdP de referencia)
- adAS
- Apereo CAS
- Shibboleth Identity Provider
- Google Workspace, Microsoft ADFS, Microsoft Azure AD, y Microsoft Entra ID, (a través de pasarela proporcionada desde el servicio).
El primero que se menciona en la lista es el que RedIRIS ha denominado 'IdP de referencia', y es la implementación que documentamos, así como la base de un IdP que debería soportar todo lo necesario para unirse con garantías a la federación. Este software tiene además una amplia comunidad de usuarios, y se integra bastante bien con numerosos repositirios de identidad, tales como LDAP, bases de datos relacionales, CAS, ADFS,...
Sin embargo, RedIRIS no impone el uso de este software, y deja a las instituciones elegir cualquier otra implementación que se adapte al mencionado perfil SAML2int, y que cumpla con la emisión de atributos recomendados en la federación. - La institución deberá configurar correctamente su proveedor de identidad. En el caso del
IdP de referencia, hemos elaborado una guía de instalación que cubre los pasos
más importantes.
El IdP de una institución deberá configurar al menos los siguientes parámetros:
- Metadatos del hub de la federación que le indicaremos
- Certificados con los que se comunicará con el hub de la federación
- Mapeo de atributos locales a atributos de la federación
- El siguiente paso será intercambiar los metadatos SAML con los operadores de la federación.
Estos metadatos incluyen:
- Clave pública que usará el IdP para comunicarse con el hub de la federación
- URL donde se encuentra el punto al que enviar peticiones de autenticación
- URL donde se encuentra el punto al que enviar peticiones de Log-Out
- Logotipo y nombre con el que aparecerá el proveedor de identidad en la federación
RedIRIS configurará el proveedor de identidad en el entorno de pruebas, y la institución deberá realizar una prueba de conexión al proveedor de servicio de pruebas que se le indicará, remitiendo el resultado de dicha prueba.
Una vez que todo esté correcto, la institución deberá validar su solicitud de pertenencia a la federación SIR2 rellenando un documento de aceptación de condiciones de uso, siguiendo los pasos que se le indicarán. Entre otros datos, este documento recogerá información técnica del IdP, así como de los contactos de la institución. También incluye la solicitud de pertenencia a la interfederación eduGAIN.
A continuación se incluye una muestra del documento de condiciones de uso que se pedirá rellenar:
Validada la solicitud, RedIRIS configurará el proveedor de identidad en el entorno de producción de SIR2, quedando, por tanto, la institución unida a la federación, hecho que será comunicado a los responsables que figuren en la solicitud.
Los metadatos de las instituciones adheridas serán incorporados como mínimo al conjunto global de IdPs de la federación, con posibilidad además de ser incluidos en otros conjuntos si se requiriese. Es posible también que la organización desee la activación de determinados servicios o pasarelas; en tal caso, invitamos a los administradores de la organización a solicitar dicha activación.