Yaco Sistemas » uniquid

Estuvimos en la TNC 2012

Yaco Sistemas — Sat, 26 May 2012 16:38:33 +0000

Esta semana he estado en la TNC2012 en representación de Yaco y he de decir que ha sido una experiencia fantástica y muy productiva en todos los sentidos.

La TNC es la Terena Networking Conference y es el evento anual más importante en Europa sobre temas de redes de comunicaciones y middleware. Va gente de todo el mundo y he conocido a personas de Nueva Zelanda, Japón, Canada, Chile y, por supuesto, la mayoría de países europeos.

Este año se ha celebrado en Reykjavik, Islandia y hemos tenido la enorme suerte de que prácticamente todos los días ha hecho un tiempo envidiable con mucho sol y poca lluvía. Eso no quiere decir que no hiciera falta un buen chaquetón pero bueno, esas latitudes es lo que tienen.

Todo empezó el pasado domingo 20 con el encuentro de REFEDS. Allí tuve la oportunidad de hablar sobre el proyecto PEER y su historia. Aunque sigue habiendo dudas en cuánto a su utilidad y principales casos de uso, lo cierto es que cada vez hay más gente interesada en desplegar su propia instancia y utilizarla de herramienta de apoyo para una federación de identidades. El objetivo siempre ha sido simplificar todo lo posible la incorporación de un servicio a una federación existente. PEER lo simplifica desde el punto de vista técnico pero no intenta definir ningún tipo de política de comportamiento sobre el uso que cada uno dé a los metadatos que aloja. Me gusta mucho la comparación con el sistema DNS en el sentido que DNS hace principalmente una sóla cosa (traducir nombres a direcciones IP) y no se mete en el uso que la gente haga de esas direcciones IPs. PEER intenta conseguir lo mismo en cuanto a metadatos de entidades de una federación de identidades.

El propio domingo por la noche hubo una gala de recepción para los ponentes y estuvimos en el ayuntamiento de Reykjavik. Allí encontré a viejos conocidos como Leif Johansson y Johan Berggren de Nordu.net, los cuáles me presentaron a Jørgen Qvist con quién estuvimos hablando sobre posibles formas de colaboración entre Nordu.net y Yaco.

La mañana del lunes la pase en compañia de Victoriano Giralt y Diego López haciendo un poco de turismo y viendo algunas maravillas de la naturaleza de Islandia como fallas, geyseres o cascadas de extraordinarias dimensiones. Muy bonito y divertido pero había que estar pronto de vuelta en la TNC porque a las 16:00 tenía que dar mi Lighting Talk junto a otros 15 compañeros. Brook Schofield era el maestro de ceremonias y se encargó de que ninguno de nosotros excedieramos los 5 minutos de que disponíamos. Fue bastante divertido a pesar de la rigurosidad de Brook y su fatídico Ipad. Podéis ver la charla que dí sobre el trabajo que Sixto Martín ha realizado sobre Provisionamiento Asíncrono usando AttributeQuery de SAML2.

Otras lighting talks que me parecieron interesantes fueron la de Mujina, por Joost van Dijk, una herramienta que facilita el testing de IdPs y SPs mediante un sistema que se puede modificar via una API REST. Chris Philips, de Canada, estuvo hablando de SCIM y fue interesante aunque muy poco tiempo para la amplitud del tema. Los chicos de Powefolder hablaron de su producto y de como es una más que viable opción para tener un clon de Dropbox en tus propia infraestructura. Ahora están trabajando junto con el proyecto Moonshot para añadir capacidades SAML2 de forma nativa. Maria Isabel Gandia, a quién conocí el día anterior también dió una lighting talk sobre redes de comunicación y un sistema para poder encontrar a las personas pertenecientes a estas organizaciones de forma simple y eficaz.

Esa misma noche nos llevaron a un sitio muy turístico llamado Viking Village donde pasamos un rato agradable comiendo cosas típicas (taquitos de tiburón) y viendo a los nativos disfrazados de antiguos vikingos. Allí mismo tuve la oportunidad de charlar con Niels van Dijk sobre futuras ideas de las federaciones de identidades y como construir routers y cortafuegos de identidad para conseguir que las federaciones desaparezcan o, lo que es lo mismo, que haya una federación global. Victoriano Giralt o Ken Klingenstein también comparten estas ideas.

El día siguiente pude hablar con mucha gente interesante y más que charlas estuve haciendo mucho networking. Conocí a la gente de la federación Australiana con los que estuve charlando acerca de la integración entre PEER y su Federation Registry, un software genial destinado a los operadores de una federación que permite gestionar metadatos, realizar estadísticas, monitorizar los sistemas y muchas más cosas. Ahora han publicado la versión 2.0 y estaban dándola a conocer en la TNC. También estuve hablando con Marco Fargetta sobre el modelo Hub & Spoke en las federaciones de identidad y las ventajas que supone frente al model tradicional de Mesh. Más tarde hablé con Rok Papež, de la federación Eslovena. Rok se mostró interesado en nuestro trabajo en PEER y me preguntó por tecnologías como djangosaml2 ya que ellos están empezando a usar Django para crear herramientas para su federación. Por supuesto que intercambiamos tarjetas de información para seguir en contacto y quién sabe si poder hacer proyectos juntos. Finalmente tuve un rato de descanso para hablar con mi amigo Roland Hedberg. Me preguntó si habíamos pensado sobre el problema del consentimiento informado en nuestro trabajo de Provisionamiento Asíncrono y aunque no lo habíamos tenido en cuenta, juntos estuvimos pensando en posibles soluciones. También comentamos que pysaml2 es un poco complicada de usar para desarrolladores que quieren añadir soporte SAML2 a sus aplicaciones escritas en Python y juntos esbozamos un plan para simplificar las APIs públicas de pysaml2 y hacerlas más sencillas. También me comentó su intención de migrar el proyecto a Github y la verdad es que creo que es una buena decisión porque vamos a conseguir más visibilidad y, sobre todo, va a ser más sencillo de gestionar que con Launchpad.

El miércoles dediqué parte del día a refactorizar el código de pysaml2 para conseguir el objetivo que nos habíamos marcado Roland y yo el día anterior y la verdad es que avancé bastante. También estuve en una reunión con Licia Florio, Nicole Harris, Andreas Soldberg, Miroslav Milinovic, Brook Schofield y Milan Sova haciendo un análisis de requisitos sobre la herramienta Metadata Explorer que Terena quiere desarrollar. La verdad es que aún hay bastantes dudas sobre qué tiene que hacer exactamente la herramienta pero también hay bastantes cosas claras como que debe sustituir al actual wiki de REFEDS sobre Federaciones y que tendrá más datos que los que se encuentran en los metadatos de las entidades que pertenecen a las federaciones. Andreas sugirió un modelo pull donde cada federación proporcione una URL con la información que se decida en formato JSON y a los demás les pareció bastante bien la idea.

Más tarde pude hablar con Leif Johansson en el camino de vuelta al hotel y estuvimos charlando sobre el futuro de PEER y las distintas funcionalidades que deben añadirse para poder convertirse en un agregador y publicador de metadatos. De ahí tuve el tiempo justo para ir a dejar las cosas al hotel y luego ir a la cena de gala donde nos sirvieron deliciosidades islandesas y pude charlar un rato con Johan Berggren, Andreas Soldberg y un chico de la federación Suiza cuyo nombre no recuerdo. Luego Victoriano me presentó a Jacob Appelbaum, del proyecto Tor y también a María José López Purailly de la Red CLARA, en Latinoamerica.

Con eso concluía mi visita a Islandia ya que el jueves a primera hora salía mi avión de vuelta a casa. Ha sido una experiencia muy positiva donde he conocido a multitud de personas de esta comunidad. Espero poder estar el año que viene en Maastricht en la TNC2013 y también espero que la participación de Yaco en esta comunidad no haga más que aumentar.

No Related Posts

(English) PEER 0.9.0 highlights

Yaco Sistemas — Sun, 04 Mar 2012 11:00:51 +0000

Disculpa, pero esta entrada está disponible sólo en inglés

No Related Posts

Proyecto de investigación sobre Provisión asíncrona de usuarios basado en SAML2.0

Yaco Sistemas — Fri, 17 Feb 2012 18:30:28 +0000

En Yaco Sistemas hemos empezado hace poco un proyecto de investigación consistente en el desarrollo de una prueba de concepto en la que se va a tratar de realizar la provisión asíncrona de usuarios desde una herramienta de gestión de aplicaciones. Para ello haremos uso de la tecnología SAML2, concretamente con el software simpleSAMLphp.

Este proyecto de investigación ha sido posible gracias a la colaboración del Sistema nacional de Educación a Distancia de México (SINED) con el que ya hemos trabajado con anterioridad.

Actualmente y utilizando el software simplesamlphp es posible la provisión de usuarios bajo demanda, es decir, una vez que el usuario requiere entrar en un sitio, la aplicación final automáticamente da de alta el usuario y no sólo eso sino que es capaz de mantener los datos del usuario actualizados (se actualizarían cada vez que el usuario accede).

Esto es posible mediante la técnología de simplesamlphp montando un Proveedor de identidad, un proveedor de Servicio y desarrollando un conector para la herramienta final, que proporcione soporte SAML2.0 y que además incluya la lógica de crear y actualizar los datos del usuario.

Problemática a resolver

Nos encontramos con escenarios en los que se requiere que los usuarios sean dados de alta por un administrador en un determinado momento y de manera asíncrona. Por ejemplo en el caso de Moodle, un profesor necesita de antemano la lista de usuarios a los que va a impartir un curso y si estos no se provisionan en el Moodle hasta que el alumno accede por primera vez, el profesor nunca será consciente de la existencia de ese usuario.

Escenarios de provisionamiento

A continuación vemos una tabla basada en la información extraída de un estudio desarrollado por SURFnet en el que se analizan como se resuelven el provisionamiento y el deprovisionamiento en las diferentes soluciones existentes.

Soluciones	Provisionamiento		Deprovisionamiento	Hibrido
	Masivos	Uno x Uno y en el momento	Uno x Uno	Cambios en IdP
On-the-fly usando SAML	Bueno	Muy bueno		Muy Bueno
Manuales	Bueno
Automático desde el IdP, asistido por la federacion	Muy bueno	Muy bueno	Muy bueno	Muy bueno
Iniciados en el SP, con SAML Attribute Query			Bueno	Bueno
Iniciados en el IdP, SAML NameID			Bueno	Bueno

Nuestra solución se alinearía con la de escenario de provisionamiento/deprovisionamiento iniciado en el IdP y asistido por la federación, haciendo uso de Attribute Query para el caso de Uno x Uno.

Objetivo de la investigación

El objetivo es estudiar la viabilidad de desarrollar un sistema que permita a un administrador de un proveedor de identidad dar de alta usuarios en las aplicaciones de forma asíncrona y segura, haciendo uso del estándar SAML2.0.

Una diferencia notable de la solución que planteamos que difiere de los anteriores mecanismos es que nuestro método no requiere de nuevos mecanismos de seguridad/autenticación para validar las acciones. Nuestra solución utilizara SAML no solo para la transferencia de la información del usuario a provisionar, sino también para validar que la persona que ejecuta la acción de provisionar posee los permisos para ello.

Por tanto se ofrecera una solución segura y de garantias utilizando los mecanismos que ya existen en un entorno que soporte SAML2, sin la necesidad de hacer uso de otro tipo de tecnologías que aumentarían la complejidad del sistema.

Esquema de la solución

En el siguiente esquema se muestran los diferentes elementos que componen el sistema:

: Provisionamiento asíncrono de usuarios

Planificación

El proyecto tiene una planificación corta (6 meses), actualmente nos encontramos en la fase de investigación, aunque paralelamente ya estamos poniendo a prueba el protocolo AttributeQuery.

Otros datos de interés

Las pruebas de concepto serán desarrolladas con una aplicación ficticia implementada para la prueba de concepto y para la aplicación Moodle.

En el caso de Moodle se mejorarán los actuales plugins existentes (saml y enrol) para que ofrezcan esta nueva funcionalidad de provisionamiento asíncrono.

Como resultado de esta implementación serán reforzadas las actuales funcionalidades de simpleSAMLphp al contribuir con mejoras del Attribute Query, mecanismo que será utilizado para la transferencia de información.

Proyectos relacionados

Actualmente existen 2 proyectos que tratan de resolver la problemática del provisionamiento de usuarios pero con un enfoque totalmente diferente al de nuestra investigación. Estos proyectos son:

STINUS
Es un proyecto que inicialmente comenzaron WAYF.dk y SURFnet, que pretendía ser una herramienta multi-protocolo que permita la administración web de forma centralizada de los permisos/roles de un conjunto de aplicaciones.
De este proyecto ya hablamos en una antigua entrada de nuestro blog.
GigaPort3
Es un proyecto de SURFnet basado en el software Java Syncope liderado por Remco Poortinga. Su objetivo principal es la de construir un mecanismo central para el provisionamiento y utilizarlo en su plataforma SURFconext.

Publicado PEER 0.8.0 Resumen de mejoras

Yaco Sistemas — Wed, 01 Feb 2012 00:56:04 +0000

Acabamos de liberar PEER 0.8.0 despues de un mes de duro trabajo de nuestro equipo. Hemos desarrollado una gran cantidad de funcionalidades interesantes y quería daros un avance.
Recuerda que puedes probar el software y ver las mejoras por ti mismo en beta.terena-peer.yaco.es. Estamos siempre abiertos a escuchar cualquier comentario o sugerencia.

Refresco de metadatos

Esta funcionalidad permite a los usuarios configurar PEER para que actualice sus metadatos de forma periódica. Para un correcto funcionamiento es necesario que el identificador de la entidad sea una URL que apunte a los mismo metadatos.

Estableciendo la frecuencia de refresco de los metadatos

Vista previa antes de comitear

Uno de los principales problemas de la vista de edición de metadatos era que el mensaje de commit se perdía con cierta frecuencia y que se mostraban al usuario mensajes de errores en los campos una vez enviados los cambios. Además después de realizar varios cambios no era posible ver el impacto que estos cambios tendrían en los metadatos finales, siendo obligatorio realizar commit de los mismos para visualizarlos.

Hemos solucionado estos problemas en la versión 0.8.0, añadiendo un dialogo modal con el mensaje del commit y las diferencias con respecto a la versión anterior. Este cuadro de dialogo aparece cuando el usuario hace clic en el botón de enviar y es útil para separar el flujo de la edición del flujo del envio.

¡Revisa siempre los cambios antes de enviarlos!

Co-existencia con repositorios Git

Antes de la versión 0.8.0, PEER siempre usaba su propio repositorio Git para almacenar los metadatos de las entidades. Si el repositorio no existía lo creaba.

En ésta entrega hemosañadido la posibilidad de utilizar un repositorio externo en el que ya existieran datos previos de entidades. Ahora será necesario indicar que repositorio queremos utilizar para almacenar los metadatos.

Esperamos que esta mejora haga mas facil la integración de PEER con otras herramientas.

Agrupamiento de metadatos

Haciendo uso de esta mejora cualquier usuario de PEER puede definir los grupos de entidades que desee. Un grupo no es más que un nombre que lo identifica y una “query” que lo define. Por decirlo de otro modo, los grupos son conjuntos dinámicos de entidades. Una entidad pertenece a un grupo si sus metadatos cumplen con los argumentos especificados en la “query” dque define ese grupo. Una funcionalidad guay pero, ¿para que sirven realmente los grupos? Bien, tu puedes obtener una fuente RSS con los cambios de los metadatos de cualquier entidad de ese grupo, un mapa con las localizaciones de las entidades y una bonita URL para distribuir el conjunto de entidades.

Un grupo es realmente un nombre y una “query” que lo define

Hemos implementado un potente lenguaje de consultas para las entidades basado en la especificación XPATH. Da al usuario una gran flexibilidad para definir grupos. En estos momentos podemos definir multiples expresiones XPATH que son agregadas con el operador lógico AND. En un futuro será soportado el operador OR.

Conjunto de entidades que pertenecen al grupo

Enriqueciento de los metadatos

Por último hemos hecho mejoras en el editor SAMLmetaJS para añadirle soporte de algunas nuevas funcionalidades del estandar de Metadatos SAML y algunas extensiones. Soporte para definir las urls de RequestInitiator y DiscoveryResponse, establecer keywords y logos y algunas mejoras en el plugin de geolocalización como la posibilidad de auto-desciubrir tu geolocalización usando la API de HTM5. Hemos tratado de desarrollar estos componentes externos de la manera menos intrusiva para que Andreas Soldberg el mantenedor de SAMLmetaJS pueda integrar estas mejoras de la manera más fácil posible.

Vista del plugin SAMLmetaJS que permite añadir/editar información del logo

Pero no sólo hemos realiazado cambios en el editor SAMLmetaJS, si tus metadatos son lo suficientemente ricos, la vista pública de tus metadatos mostrará el logo y la localización de tu entidad en el mapa. De esta manera podemos hacer que se destaque y sea más reconocible. Los atributos MDUI son particularmente importantes cuando realizamos descubrimientos por lo que animo a cualquiera que este encargado de los metadatos de su entidad a que agregue esta información. Rodd Widdowson ha escrito una serie de documentos que resumen recomendaciones para las federaciones y softwares referentes a estos atributos.

Software: https://refeds.terena.org/index.php/MDUI_-_Software_recommendations
Federations: https://refeds.terena.org/index.php/MDUI_-_Federation_recommendations

En la vista detallada podemos ver el logo y la localización

Y esto es todo lo nuevo que traemos en esta versión 0.8.0 . Estar atentos pues la entrega de la 0.9.0 será el próximo mes y traera nuevas mejoras.

Presentado el proyecto CONFIA en la IV Convocatoria de Premios @asLAN a Administraciones y Organismos Públicos

Yaco Sistemas — Sat, 21 Jan 2012 13:29:10 +0000

Se ha presentado el proyecto CONFIA para optar por el premio @asLAN a Administraciones y Organismos Públicos en la categoría de Educación.

Los Premios @asLAN son una iniciativa que, año tras año, se refuerza como marco en el que presentar, conocer y premiar experiencias de éxito en la Administración Pública Española en la aplicación y uso de Tecnologías de la Información y Comunicaciones.

Algunos datos sobre CONFIA

En 2007 la Asociación de Universidades Públicas de Andalucía decidió crear una federación de identidades entre sus diez miembros, uno de sus primeros objetivos sería facilitar el funcionamiento del Campus Andaluz Virtual, formado por los sistemas de teleeducación de las diez universidades, que permiten impartir docencia reglada no presencial a alumnos matriculados en cualquiera de ellas. Este sistema de Campus Virtual integrado requería un importante esfuerzo de gestión de usuarios cada año para provisionar los alumnos. En 2009 se pone en producción Confía permitiendo el acceso a los alumnos con sus credenciales de origen sin necesidad de provisión previa. Todo ello respetando escrupulosamente la LOPD, ya que se solicita a los alumnos el consentimiento informado para la transferencia de datos personales.

El proyecto de Confía se realizó compliendo con exactitud plazos y costes y ha permitido reducir la complejidad de los procesos de provisión de alumnos. Además, su arquitectura permite seguir creciendo con un coste de mantenimiento muy bajo.

Puedes comprobar e informarte de como ha sido la evolución de CONFIA accediendo a las numerosas entradas que sobre el hemos escrito en este blog o leyendo este resumen.

Desde Yaco Sistemas pedimos tu colaboración. Si el proyecto te parece interesante puedes apoyarlo depositando tu voto en el portal del SITI en la categoría de Educación.

Nota: Para poder realizar tu voto debes tener una cuenta en @asLAN, sino tienes la tuya puedes registrarte rápidamente aquí, tras darte de alta únicamente tienes que introducir tu correo en el formulario de login de @asLAN y se te enviará la clave a ese correo. Será cuando entonces tengas tus credenciales (correo/clave) para poder ingresar en el formulario de login que te aparece en el portal del SITI para poder votar.

Métricas a tener en cuenta para evaluar la política de gestión de identidad de una organización (IAM)

Yaco Sistemas — Sat, 03 Dec 2011 16:56:21 +0000

En este artículo pretendemos ofrecer una guía rápida para detectar posibles deficiencias en cuestiones de control de acceso y gestión de identidad que se pudieran estar produciendo en sus organizaciones.

A continuación se citan aspectos a tener en cuenta para medir la política de gestión de identidad de nuestra organización:

Numero de restablecimientos e incidencias con las contraseñas al mes

: ¿Olvidaste tu clave?

Este es un dato clásico a tener en cuenta en la gestión de la identidad, y es clave para ayudar a las organizaciones a medir la eficacia de sus programas de IAM. Las empresas generalmente observan el numero de llamadas relacionadas con incidencias con las contraseñas a los centros de atención (help desk), bloqueos de cuentas y el número de restablecimientos automáticos de las contraseñas que se producen al mes como buenos indicadores de la eficacia de su política de contraseñas. Esta métrica generalmente debería de tender a la baja, si no lo hace, la política de contraseñas y las herramientas de gestión de la organización requieren una revisión.

Número medio de credenciales distintas que hacen falta por usuario

¿Cuantas claves usas?

Este es otro dato clásico, y durante años, un argumento de peso para justificar la necesidad de sistemas de inicio de sesión único (SSO). Generalmente las grandes organizaciones hacen manejar a sus empleados del orden de 10-12 cuentas por usuario. Es necesario reducir ese numero para facilitar la experiencia del usuario final y disminuir el sobre coste de gestión que esto conlleva a los administradores de sistemas.

Numero de cuentas duplicadas/que no tienen dueño

: ¿Quien soy?

En ocasiones se puede dar el caso en que en una misma aplicación tengamos dadas de alta varias cuentas para una misma persona, ya sea por error en el alta de la cuenta o poque no se tenga clara la identidad de cada usuario, o porque el usuario posea mas de un rol en esa aplicación y se creara una cuenta por cada rol. Si detectamos un gran numero de este tipo de cuentas duplicadas querrá decir nuestra política FIAM falla. Deberémos de tener mecanismos para detectar rápidamente este tipo de anomalías y políticaspara que no se produzcan.

Lo mismo ocurre con cuentas que no tienen dueño, bien sea porque el usuario ya no pertenece a la organización, porque han quedado obsoletas, etc.

Número de cuentas provisionadas

: ¿Cuantos usuarios?

Es interesante conocer el numero de cuentas que se provisionan al més y el numero total de cuentas que maneja la organización. Un buena infraestructura IAM debe siempre permitir el alta de nuevos usuarios que necesitan poder acceder a los diferentes sistemas y aplicaciones. Cuanto mayor sea el volumen de las cuentas más preciso tendrá que ser nuestro sistemas de alta/actualización/baja de usuarios.

Tiempo medio que se tarda en provisionar/dar de baja a un usuario

: ¿Cuanto tarda el alta?

Hay que medir el tiempo medio que debe esperar un usuario en poder acceder a los recursos que necesita. Este parámetro se suele emplear para medir productividad y ROI. También es necesario medir el tiempo en dar de alta a un usuario y que este tiempo cumpla con los requisitos de una buena política de bajas de empleados.

Nivel de automatización del proceso de provisionamiento/actualización/baja de un usuario.

: ¿Modernizado?

Este parámetro influirá enormemente en la métrica anterior. Cuanto más automatizado y definido esté el proceso de negocio de las altas/actualizaciones/bajas de cuentas, más eficiente y veloz será y menos recursos humanos consumirá. No es lo mismo que el administrador registre los datos de un usuario, le asigne sus roles en las aplicaciones, haga un click y las cuentas se creen automáticamente que tener ir dando de alta manualmente de alta cuentas al usuario en las diferentes aplicaciones.

Tiempo medio en autorizar un acceso

: ¿Mucha burocracia?

Esta medida puede dar una idea de la eficiencia de los procesos de aprobación de su organización. Por ejemplo, si hay 4 personas involucradas en conceder el acceso a salesforge a un comercial y se tarda 2 semanas en conceder el acceso, el empleado verá limitada su capacidad de ventas en ese periodo hasta que limitado esas 2 semanas semanas el usuario verá reducida su capacidad de venta apor no disponer de los recursos que necesita. Analizar cuanto se tarda en conceder el acceso puede ayudar a identificar donde se produce el cuello de botella del proceso.

Numero de cuentas privilegiadas que no tienen dueño/responsable y privilegios mal distribuidos

: ¿Sysadmins profesionales?

Este tipo de cuentas surgen cuando la gente que tenía las credenciales para conceder el acceso a importantes recursos no estaban bien formados.
Puede darse el caso en que se utilizaran cuentas con privilegios de uso compartido entre varios usuarios. También puede darse el caso de que los propios responsables de dar cuentas se dieran así mismos o a sus conocidos más privilegios de la cuenta. Es evidente el riesgo que conlleva que se den este tipo de situaciones. De igual forma que pueden producirse errores a la hora de asignar los roles y privilegios, pueden existir fallos a la hora de definir los permisos que tendrá un determinado rol dentro de cada aplicación. Las organizaciones deben implantar mecanismos de monitorización sobre los recursos para detectar los accesos indebidos.

Artículo basado en “10 identity management metrics that matter” de Frank Villavicencio.

Como hacer que nuestras aplicaciones de Google Apps autentiquen contra nuestra fuente de usuarios local (base de datos, ldap, etc) usando Uniquid (protocolo SAML 2.0).

Yaco Sistemas — Sun, 20 Nov 2011 15:38:07 +0000

En esta entrada mostraremos lo sencillo que resulta configurar Uniquid y nuestra cuenta de Google Apps para que los usuarios de nuestra aplicación autentiquen contra nuestra fuente de usuarios local. Concretamente en este ejemplo veremos como hacerlo para ldap.

Lo primero que tenemos que hacer es instalar y configurar un IdP de Uniquid.

Supongamos que ya tenemos la instancia de Uniquid accesible en https://idp.example.org y con su configuración básica y certificados a utilizar establecidos.

Accedemos al asistente: “Asistente para Conectar Google Apps con tu IdP ”

Comenzamos el Paso 1, Configuración de la fuente de autenticación con la que queremos conectar a las aplicaciones de Google Apps.

El proceso para utilizar una base de datos sería parecido, en lugar de configurar la fuente de autenticación ldap configuraríamos los datos de conexión de la base de datos. Están soportados muchos formatos de bases de datos: mysql, oracle, posgresql, etc

Una vez hecho esto accederíamos al paso 2 “Configurar conexión con Google”, donde se nos pedirá que añadamos nuestro dominio de Google apps y seleccionemos el atributo que queremos usar como identificador de las cuentas de usuario.

A continuación accedemos al paso 3, “Configurar la nueva autenticación de Google” donde se nos muestran los datos de conexión de nuestro IdP que deberemos introducir en el panel de administración de Google.

Accedemos a nuestra cuenta de administrador de Google, entramos en la vista de administración del dominio de nuestras apliacciones de Google Apps, accedemos a las “Opciones Avanzadas” y seleccionamos la configuración del single sign-on (SSO)

1. Habilitamos el Single-Sign-On activando la casilla.
2. Copiamos y pegamos las urls de SSO, SLO y cambio de claves
3. Subimos el archivo con nuestro certificado público.
4. Opcionalmente configuramos la mascara de red
5. Guardamos

Y ya podríamos acceder a través de nuestro proveedor de identidad.

Crónica del FAM11

Yaco Sistemas — Mon, 14 Nov 2011 11:57:23 +0000

La semana pasada estuve en Londres en el evento FAM11 (Federated Access Management) que organiza todos los años Eduserv. Fue una experiencia muy positiva para Yaco y para mí ya que tuve la oportunidad de conversar con muchas personas destacadas en la comunidad de federación de identidades. Por supuesto, las charlas fueron también muy interesantes y además de aprender mucho pude constatar la dirección que empieza a tomar esta serie de tecnologías.

La verdad es que el viaje fue algo relámpago ya que fui y volví a Londres en el mismo día. A las 10 de la mañana ya estaba en el centro de conferencias donde se celebraba el FAM11. En la recepción inicial pude hablar con Andreas Solberg, creador de SimpleSAMLphp, DiscoJuice, SAMLMetaJS y muchos otros proyectos de enorme relevancia en el mundo de la federación de identidades. En nuestra conversación pude hablarle de nuestras ideas de mejoras en SimpleSAMLphp y su respuesta fue muy positiva. También hablamos del problema del descubrimiento del proveedor de identidad y como DiscoJuice intenta resolverlo mejorando enormemente el estado del arte de los servicios WAYF. Finalmente mencionamos el proyecto SAMLMetaJS y las futuras contribuciones que haremos dentro del proyecto PEER. Uno de los problemas que me preocupaban era la limitación del interfaz de usuario actual basado en pestañas en cuanto al número de plugins posibles que se puedan tener activados. En principio pensamos que en lugar de añadir muchos más plugins lo que haríamos sería enriquecer los actuales.

A continuación asistí a la keynote impartida por Jonathan Richardson de la University of East Anglia. En su charla nos contó cómo han tenido que empezar a tomarse mucho más en serio los datos de identidad de sus alumnos desde perspectivas como el valor que se le ofrece a sus alumnos y también con respecto a la seguridad de esa información tan sensible. Las universidades deben tomar la decisión de publicar la información básica o mantenerla en privado. En general a los usuarios no les importa la tecnología y el proceso de la autenticación. Lo que quieren es acceder a las aplicaciones. En cuanto a la seguridad se pueden considerar 3 dimensiones principales: la seguridad del dispositivo, la seguridad de la red y la seguridad de las credenciales utilizadas. En el extremo de lo más seguro tendríamos un ordenador personal conectado con un cable de red a la red del campus y un sistema de credenciales basado en tarjetas criptográficas. En el otro extremo encontraríamos un telefóno móvil conectado via WIFI utilizando OpenID como credenciales de acceso. Otro tema interesante que trató Richardson fue la idea de que los consumidores de datos suelen tener costes derivados mientras que los publicadores de datos suelen tener ingresos por tal actividad. Finalmente mencionó el problema del phising, que ellos han sufrido, y recomendó al menos dos prácticas muy simples: no tener pantallas de acceso distintas para cada aplicación y nunca enviar tú contraseña o datos personal en respueta a un email. Parece muy básico pero se nos suele olvidar demasiado a menudo. Igual que el no bloquear el teléfono móvil cuando lo tenemos configurado con el acceso al correo electrónico, que, como todo el mundo sabe es la llave principal a todas nuestras identidades digitales.

Tras esta interesante charla pude conversar en el descanso con Paul Tallentire, un técnico de IT de la biblioteca del Birtbeck College. Aunque estaba empezando en el mundo de la federación de identidades lo cierto es que se mostró muy interesado y tuve la oportunidad de mencionarle nuestros trabajos en el sur de España.

De vuelta a las charlas asistí a la que se daba del proyecto Moonshot en la que Rhys Smith nos contó el problema de que la federación de identidades es actualmente una colección de tecnologías bastante fragmentada. Por un lado tenemos Radius y Eduroam (entre otros) para la autenticación federada de las redes de comunicación. Por otro tenemos la autenticación federada de las aplicaciones con protocolos como SAML2, OpenId o Facebook Connect. Incluso hay un hueco en las aplicaciones de escritorio ya que no se suelen utilizar tecnologías federadas en este caso. El objetivo del proyecto Moonshot es poner un poco de orden en todo este caos sin reinventar ninguna rueda, sólo basándose en tecnologías maduras como GSSA-API, SSPI, SASL, Radius, EAP, SAML y un poco de código de pegamento. Moonshot no quiere sustituir nada, sólo complementarlo. Por ejemplo, vimos un caso de autenticación federada entre un cliente ssh, un servidor ssh y un servidor Radius. En este ejemplo la autenticación la resolvía Radius mientras que la autorización se delegaba a un componente que “hablaba” SAML. Rhys habló del estado de Moonshot diciendo que está listo para testeo intensivo en el caso de Linux y Mac y que los clientes de Windows estarán listos en el primer cuatrimestre del 2012. Hay un piloto en JANET y quieren pasar el proceso de estandarización de la IETF. En el futuro ven su software como una parte integrada del Sistema Operativo.

A continuación Alex Bilbie que nos habló del protocolo Oauth. Aunque fue una charla algo básica siempre es bueno escuchar las opiniones de una persona tan joven que no tiene ningún background en federación de identidades ya que le coloca en una posición en la que ver las cosas desde otras perspectivas muy interesantes.

En el descanso de la comida puede hablar con otras personas procedentes de distintas universidades y comprobé que se enfrentan a un problema similar al que tenemos en la federación CONFIA: han sido capaces de construir una federación formada por una enorme cantidad de proveedores de identidades pero escasean los proveedores de servicios. En el caso de la federación inglesa el proveedor de servicio dominante es el acceso a las bibliotecas y es común que a este tipo de eventos acudan tanto especialistas en federación de identidades como bibliotecarios, ya que son los principales usuarios por ahora. También es importante destacar que los LMS se están abriendo camino poco a poco.

Por la tarde estuve en las charlas de usabilidad con ponentes de la talla de Andy Powell, Rod Widdowson y Andreas Solberg. Los tres hablaron de cómo las tecnologías de la federación de identidades han madurado y son bastante solidas pero lo mismo no ocurre con la usabilidad de las soluciones ofrecidas. En este sentido trabajos como el conjunto de metadatos MDUI son un paso en la dirección adecuada pero es necesario que los responsables de los servicios y los proveedores de identidad lo adopten y proporcionen dichos metadatos. Los avances en servicios WAYF son también muy importantes y en este sentido DiscoJuice es una herramienta muy útil.

En otro de los descansos estuve charlando con Joost van Dijk al que ya conocí en Helsinki. En esta ocasión hablamos del software Filesender y le comenté posibles vías de colaboración. Aunque él no lleva directamente este proyecto sí que me facilitó los contactos adecuados para que les podamos transmitir nuestras ideas.

Para terminar el evento asistí a una charla en la que se habló del futuro de OpenAthens. OpenAthens es un software de proveedor de identidad muy popular en Inglaterra y por lo que pude comprobar las próximas versiones (OpenAthens LA y el proyecto Monteverde) incluyen una interfaz de usuario totalmente rediseñada y espectacular.

En definitiva, un evento muy productivo y bien organizado. Espero poder acudir a futuras ediciones.

Os dejo una foto con Andreas

Presentaciones del FAM11 – Federated Access Management Conference

Yaco Sistemas — Thu, 10 Nov 2011 00:41:18 +0000

A falta de que nuestro compañero Lorenzo Gil vuelva de Londres y nos detalle todo lo que aconteció en la conferencia os adeltanto las presentaciones que he podido recopilar del evento.

EDITO: Las transparencias ya están disponibles en la web de la conferencia FAM11

An Identity Economy for R&E?

Nicole Harris (UK Access Management Focus , JISC Advance)

( Es del OASP11 pero la he añadido porque es muy interesante)

Discojuice: Servicio de descubrimiento del proveedor de identidad usable
Andreas Åkre Solberg (UNINETT) (no es exactamente la misma presentación)

Google Apps with Cambridge’s SSO system
Jon Warbrick (no es exactamente la misma presentación)

Dark Clouds & Silver Linings
Martin Hamilton

Managing the new normal – limited resources. Internet Librarian International 2011
Tom Edmonds (Product Manager, OpenAthens)

IP and Open Athens authentication
Tom Edmonds & DavidOrrell (Open Athens)

EDITO: Las transparencias ya están disponibles en la web de la conferencia FAM11

¿Conoces el proyecto EUDAT? Una infraestructura colaborativa de datos científicos paneuropea

Yaco Sistemas — Tue, 08 Nov 2011 15:01:28 +0000

El proyecto EUDAT, inaugurado el pasado 1 de octubre, es la respuesta para encontrar una infraestructura paneuropea sostenible ante el problema de la proliferación de datos en las comunidades científicas y de investigación en Europa. Coordinado por el centro de supercomputación finlandés CSC-IT Center for Science, y cofinanciado por el 7º Programa Marco de I+D+i de la Unión Europea, EUDAT cuenta con un presupuesto de 43 millones de euros y su duración será de tres años.

EUDAT pretende desarrollar un modelo de infraestructura colaborativa de datos (“Collaborative Data Infrastructure”, CDI) que mejore el acceso a los datos científicos y ofrezca respuesta a las necesidades de los investigadores. Para ello integrará a todos los agentes involucrados (gestores de repositorios de datos nacionales, centros de almacenamiento y computación, redes, proveedores de identidad, y centros de investigación y universidades que utilizan esas infraestructuras de datos). El proyecto pretende que su infraestructura sea colaborativa, orientada a las necesidades de los investigadores, sostenible y flexible, paneuropea y multidisciplinaria.

El Barcelona Supercomputing Center (BSC), apuesta también por este proyecto. / "By courtesy of Barcelona Supercomputing Center – www.bsc.es".

“EUDAT llenará un vacío importante en el actual panorama europeo de e-Infraestructuras”, afirma el Dr. Kimmo Koski, director gerente de CSC y coordinador del Proyecto EUDAT. “Nuestro objetivo es desarrollar una infraestructura genérica para la gestión de datos científicos que pueda ser utilizada por una gran diversidad de comunidades de investigación e infraestructuras existentes”.

“Esto únicamente se puede lograr con un enfoque sistemático y concentrado que cubra el ciclo vital completo de los datos, y a través de la colaboración entre las diversas partes interesadas y en particular entre las comunidades implicadas en el diseño de servicios específicos y entre los centros de datos dispuestos a ofrecer soluciones genéricas”, asegura el Dr. Koski. “Nuestro objetivo final es desarrollar un ecosistema de datos paneuropeo de alta calidad, rentable y sostenible, que ofrezca respuesta a las necesidades de los investigadores y de las comunidades de usuarios europeos”.

Los resultados esperados de la infraestructura colaborativa de datos son, fundamentalmente, impulsar la investigación y la colaboración intensiva de datos multidisciplinarios (desarrollando el despliegue de servicios comunes por parte de las comunidades investigadoras, colaborando y explotando las sinergias interdisciplinarias entre comunidades y colaborando con otras infraestructuras a gran escala); asegurar un acceso amplio y preservar los datos de un modo sostenible (teniendo una infraestructura sólida capaz de sostener la escala y complejidad de los datos que se generarán durante los próximos 10-20 años, situando a Europa en una posición competitiva en el ámbito de repositorios de datos de relevancia mundial); y desarrollar economías de escala y coste-eficiencia (compartiendo recursos y trabajo a bajo coste).

Miembros

En el proyecto EUDAT participa un consorcio de 23 socios representando a 13 países y a 15 comunidades usuarias de distintas disciplinas. Entre los socios se encuentran los principales representantes de las comunidades de investigación en lingüística (CLARIN), ciencias de la tierra (EPOS), ciencias del clima (ENES), ciencias ambientales (LIFEWATCH) y ciencias biológicas y médicas (VPH). A todos ellos se les han asignado recursos del proyecto para que puedan especificar sus necesidades y co‐diseñar los servicios relacionados. Otras comunidades se han unido a EUDAT como miembros asociados, y representan 15 disciplinas de investigación en los principales campos de la ciencia.

“EUDAT llenará un vacío importante en el actual panorama europeo de e-Infraestructuras”

El coordinador científico de EUDAT, Peter Wittenburg, del Instituto Max Planck de Psicolingüística en Nijmegen, los Países Bajos, asegura que “además de proporcionar servicios comunes como el alojamiento y la preservación de datos, EUDAT allanará el terreno para facilitar un acceso integrado e interoperable a los datos y, de esta manera, facilitar la nueva ciencia y la creación de un conocimiento eficiente”. “Es precisamente esta doble oportunidad lo que hace a la iniciativa EUDAT tan interesante para las comunidades de investigación e infraestructuras”.

Wittenburg ha destacado, sin embargo, que los retos de la integración, la interoperabilidad, la gestión del ciclo de vida de los datos, y la creación de confianza implicarían un proceso de discusión global y continuo. “EUDAT hace un llamamiento a las aportaciones de aquellos interesados en adaptar sus soluciones o colaborar en el diseño del CDI. Los foros de usuarios de EUDAT y el Grupo de Trabajo para el Acceso y la Interoperabilidad de Datos (DAIFT) ya ofrecen la oportunidad de participar en el debate”. Por su parte, Sergi Girona, director de operaciones del Barcelona Supercomputing Center (BSC), destaca la apuesta decidida del centro por este proyecto que “supone un paso adelante en materia de colaboración científica y que, al mismo tiempo, consolida la presencia del BSC en infraestructuras europeas y no únicamente en computación como hasta ahora, sino que también en la gestión de datos, que se están convirtiendo de facto en el cuarto pilar de la ciencia”.

Participación de REDIRIS

RedIRIS colabora en el proyecto EUDAT como un organismo que intenta proporcionar su experiencia en tecnologías federadas, tanto en aspectos relacionados con Infraestructuras de Autenticación y Autorización (“AAI”, en sus siglas en inglés) como en la relación de acceso a datos y metadatos. Además, contribuirá a la adaptación de las correspondientes infraestructuras necesarias para las necesidades del proyecto y apoyará las tareas operacionales del centro de investigación Barcelona Supercomputer Center.

En concreto, la labor de RedIRIS en el proyecto EUDAT se centra en la actividad WP5 del mismo, dedicada a la evaluación de los servicios y tecnologías que se aplicarán en el proyecto.

Actividades

“► WP4. Capturing Communities Requirements (conocer las necesidades de las comunidades).

“► WP5. Building the services (construir los servicios).

“► WP6. Deploying the services and operating the federated infraestructure (desarrollar los servicios y operar la infraestructura federada).

Fuente original

Yaco Sistemas » uniquid

Estuvimos en la TNC 2012

Related Posts:

(English) PEER 0.9.0 highlights

Related Posts:

Proyecto de investigación sobre Provisión asíncrona de usuarios basado en SAML2.0

Problemática a resolver

Escenarios de provisionamiento

Objetivo de la investigación

Esquema de la solución

Planificación

Otros datos de interés

Proyectos relacionados

Related Posts:

Publicado PEER 0.8.0 Resumen de mejoras

Refresco de metadatos

Vista previa antes de comitear

Co-existencia con repositorios Git

Agrupamiento de metadatos

Enriqueciento de los metadatos

Related Posts:

Presentado el proyecto CONFIA en la IV Convocatoria de Premios @asLAN a Administraciones y Organismos Públicos

Related Posts:

Métricas a tener en cuenta para evaluar la política de gestión de identidad de una organización (IAM)

Related Posts:

Como hacer que nuestras aplicaciones de Google Apps autentiquen contra nuestra fuente de usuarios local (base de datos, ldap, etc) usando Uniquid (protocolo SAML 2.0).

Related Posts:

Crónica del FAM11

Related Posts:

Presentaciones del FAM11 – Federated Access Management Conference

Related Posts:

¿Conoces el proyecto EUDAT? Una infraestructura colaborativa de datos científicos paneuropea

“EUDAT llenará un vacío importante en el actual panorama europeo de e-Infraestructuras”

Related Posts: