ESPECIFICACIONES TÉCNICAS DEL ACCESO FEDERADO A LOS SISTEMAS DE ENSEÑANZA VIRTUAL DE LAS UNIVERSIDADES ANDALUZAS QUE CONFORMAN EL CAMPUS ANDALUZ

Transcripción

1 ESPECIFICACIONES TÉCNICAS DEL ACCESO FEDERADO A LOS SISTEMAS DE ENSEÑANZA VIRTUAL DE LAS UNIVERSIDADES ANDALUZAS QUE CONFORMAN EL CAMPUS ANDALUZ VIRTUAL

2 Índice de contenido 1.Introducción Requisitos generales Especificaciones Identificación de atributos de conexión Identificación de atributos y mecanismos de provisión Módulos de conexión Mecanismos de provisión Módulos de extracción Adaptación de procesos y documentos de CAV Servicios de implantación en las instituciones participantes Organización y coordinación del proyecto: fases, plazos de ejecución, composición equipo decisorio Equipo de Trabajo Comité de Seguimiento Jefe de Proyecto Fases del Trabajo y Entregables. Plazos de ejecución Presupuesto de Licitación Criterios de valoración de las ofertas Coordinación de los trabajos Referencias Glosario Anexo I (Recomendaciones relativas a la implantación de una infraestructura federada de identidad para las universidades andaluzas) Anexo 2 (Caso de uso del Campus Andaluz Virtual.) Descripción Objetivos Acceso de los alumnos a la plataforma de enseñanza virtual de otra universidad Condiciones previas...14 Versión de Octubre de 2008 Página: 2

3 1. Introducción Este documento define las especificaciones técnicas básicas que han de regir la contratación del desarrollo e implantación posterior de los elementos para que los sistemas integrados en el Campus Andaluz Virtual hagan uso de la Infraestructura de Identidad Federada de las Universidades de Andalucía (CONFIA). El objetivo final de los trabajos a contratar es incluir los sistemas de enseñanza virtual(lms) de las universidades que participan en el Campus Andaluz Virtual (CAV) como proveedores de servicios (SPs) de la federación, de tal manera que los alumnos matriculados en una universidad en asignaturas que se imparten en otra, puedan acceder al sistema de esta última con las credenciales de su universidad de origen, identificándose en el proveedor de identidad (IdP) de ésta. Además, esto se debe hacer teniendo en cuenta la legalidad vigente en cuanto al intercambio electrónico de datos personales y proponiendo procesos que mejoren los flujos de trabajo y reduzcan al mínimo imprescindible la cantidad de datos personales que sea necesario intercambiar. Es importante reseñar desde el inicio que cada universidad puede utilizar el sistema, o sistemas, de enseñanza virtual que considere adecuado. Para conseguir estos objetivos se requiere realizar, al menos: Identificar los atributos necesarios para el uso y la provisión en los LMS. Determinar mecanismos adecuados de provisión para poder usar los LMS. Desarrollar los módulos de conexión para los LMS en uso en las universidades participantes. Desarrollar los módulos de provisión para los LMS en uso en las universidades participantes. Desarrollar los módulos necesarios para extraer información de los sistemas de registro de las universidades participantes. Propuestas de mejora de los flujos de trabajo y documentación del CAV en función del conocimiento adquirido. Versión de Octubre de 2008 Página: 3

4 2. Requisitos generales Proporcionar la infraestructura software necesaria que permita la implantación del sistema ofertado por el licitador. Se valorará positivamente el uso de software libre. En caso de que el sistema ofertado incluya software propietario, se entenderá que el licitador aportará las licencias necesarias para todos los participantes, durante un periodo mínimo de cinco años. Se penalizará, en todo caso, la dependencia de de software o servicios de carácter comercial El desarrollo del sistema debe hacerse mediante lenguajes y herramientas de programación estándar y de uso suficientemente extendido, con facilidad de mantenimiento, seguros y no dependientes de productos comerciales, siempre que sea posible. El código fuente del proyecto debe aportarse íntegramente a la federación en formato digital y será licenciado bajo una licencia de código abierto (GPL, Apache) etc Se valorará el modelo de licencia seleccionado. La empresa adjudicataria se compromete a hacer todo lo posible por contribuir e incluir el código de conexión a la federación al código fuente base (upstream) de los LMS de código abierto. Los LMS que están en uso en las universidades que participan en el CAV y, por tanto, que deberán conectarse a CONFIA como resultado de los trabajos contratados, son: WebCT Moodle ILIAS Versión de Octubre de 2008 Página: 4

5 3. Especificaciones El ANEXO I del presente documento contiene el documento de referencia técnica de la federación [RAUPAAI] y el ANEXO II la descripción del caso de uso del Campus Andaluz Virtual definido por el grupo de trabajo [RCAV]. A continuación se detallan los elementos a desarrollar objeto de este pliego Identificación de atributos de conexión Se deberán determinar los atributos que el IdP de la Universidad de origen del alumno deberá enviar al LMS que actúa como SP en la aserción SAML, para que lo pueda identificar y le permita acceder a los contenidos y recursos a los que tiene derecho Identificación de atributos y mecanismos de provisión Se deberán determinar los mecanismos por los que los alumnos realizarán la primera conexión con los LMS y se determinará la información que debe intercambiarse para que se creen todas las entidades necesarias en dicho sistema para que en sucesivas conexiones el alumno pueda acceder a aquellos contenidos a los que tiene derecho. En este punto es importante activar los mecanismos de consentimiento informado y políticas de liberación de atributos. Igualmente se debe identificar un proceso seguro para el intercambio de dichos datos personales, si es posible, sin que pasen por el navegador del usuario, por ejemplo, utilizando OAuth Módulos de conexión Se deberán desarrollar los módulos necesarios para cada uno de los LMS en uso que permitan identificar al usuario por mecanismos federados, recibir los atributos necesarios establecidos en 3.1 e iniciar una sesión en el sistema Mecanismos de provisión Se deberán desarrollar los módulos necesarios para que el proceso definido en 3.2 resulte en la provisión de la información y creación de los objetos de datos que requiera cada LMS para incluir como propio al alumno y asignarle los recursos a los que tenga derecho Módulos de extracción No toda la información requerida para realizar la provisión ha de encontrarse necesariamente en el sistema de gestión de identidad de la universidad de origen. Es Versión de Octubre de 2008 Página: 5

6 posible que parte de la información se encuentre en los sistemas de registro, habitualmente el sistema de gestión académica. Por esto, será necesario desarrollar los procesos y módulos necesarios para que el mecanismo de provisión pueda obtener la información necesaria para enviar al LMS del sistema de registro y enviarla al por el canal adecuado Adaptación de procesos y documentos de CAV Una vez probados los sistemas y procesos se realizará una propuesta de mejora de los procesos y documentación actual del Campus Andaluz Virtual basada en la experiencia adquirida con el uso del sistema desplegado como resultado del presente pliego. Versión de Octubre de 2008 Página: 6

7 4. Servicios de implantación en las instituciones participantes. El adjudicatario será responsable de desplegar los desarrollos resultantes de los trabajos objeto de la licitación en las instituciones participantes, en estrecha colaboración con el personal técnico de las mismas y bajo la supervisión del mismo y del comité de seguimiento. El personal externo habrá de contar con la experiencia profesional y los conocimientos necesarios para la realización de las tareas requeridas (a criterio de la institución y oído el comité de seguimiento). Versión de Octubre de 2008 Página: 7

8 5. Organización y coordinación del proyecto: fases, plazos de ejecución, composición equipo decisorio Equipo de Trabajo Comité de Seguimiento. Se designará un grupo de personas que constituirán el Comité de Seguimiento, cuyas funciones son las siguientes: Resolver cualquier duda técnica sobre los términos de este pliego. Velar por el cumplimiento de los objetivos del proyecto. Actuar como interlocutor y punto de contacto preferente para la comunicación entre las instituciones participantes y el adjudicatario, resolviendo conjuntamente las cuestiones sobrevenidas que puedan afectar a la ejecución de cualquiera de las obligaciones derivadas de la adjudicación. El comité supervisará de forma periódica (con una cadencia mínima de un mes) conjuntamente con el jefe de proyecto, la adecuación de los trabajos a los objetivos propuestos Jefe de Proyecto. El adjudicatario designará un Jefe de Proyecto, que lo representará ante el Comité de Seguimiento, y que será el responsable de la ejecución correcta en tiempo y forma de las obligaciones derivadas de la adjudicación Fases del Trabajo y Entregables. Plazos de ejecución. El trabajo deberá estar finalizado en un plazo máximo de seis meses, incluyendo la documentación. Su evolución será certificada mensualmente mediante comisiones de seguimiento. Será responsabilidad del Jefe de Proyecto junto con la Comisión de Seguimiento determinar los prerrequisitos de cada entregable. El proyecto se descompone en los siguientes paquetes de trabajo y entregables: Paquete de trabajo número 1: Atributos Incluye los trabajos relativos al intercambio de atributos, con los siguientes entregables: 1. Identificación de atributos para uso 2. Identificación de atributos para provisión 3. Especificaciones de provisión Paquete de trabajo número 2: WebCT Incluye los trabajos relacionados con el LMS WebCT, con los siguientes Versión de Octubre de 2008 Página: 8

9 entregables: 1. Módulo de conexión 2. Mecanismo de provisión Paquete de trabajo número 3: Moodle Incluye los trabajos relacionados con el LMS Moodle, con los siguientes entregables: 1. Módulo de conexión 2. Mecanismo de provisión Paquete de trabajo número 4: ILIAS Incluye los trabajos relacionados con el LMS ILIAS, con los siguientes entregables: 1. Módulo de conexión 2. Mecanismo de provisión Paquete de trabajo número 5: Despliegue Incluye todas las tareas necesarias para el despliegue de los desarrollos de los otros cuatro paquetes de trabajo, con los siguientes entregables: 1. Despliegue de los módulos de conexión en cada LMS de las instituciones 2. Despliegue del módulo de extracción de cada institución 3. Despliegue de los módulos de provisión en cada LMS de las instituciones Paquete de trabajo número 6: Política Incluye un único entregable con la documentación de mejora de procesos y propuestas de adaptación de los documentos del CAV. Las entregas se producirán de acuerdo a los siguiente hitos, siendo X el día de adjudicación del concurso: P1 P2 P3 P4 P5 P6 Entrega Plazo E1 E2 E1 E2 E1 E2 E1 E2 E1 E2 E3 E1 E#1 X + 90 E#2 X Presupuesto de Licitación. El presupuesto máximo de licitación es de , IVA incluido, debiéndose licitar a la baja. No se aceptarán en ningún caso las ofertas que superen el presupuesto máximo de licitación. Versión de Octubre de 2008 Página: 9

10 7. Criterios de valoración de las ofertas. La oferta deberá contener como parte principal una memoria técnica que describa con suficiente precisión: El planteamiento del licitante en relación con el proyecto La solución técnica ofertada, tanto en lo que respecta a la arquitectura general del sistema como a los componentes que la integran y sus interfaces La especificación de las tecnologías y productos disponibles que constituyen la base de partida de la solución propuesta La oferta deberá contener una declaración expresa de aceptación y acatamiento de todas y cada una de las cláusulas del presente pliego. Los criterios de evaluación de las ofertas son la calidad técnica con un 85 por ciento de la ponderación y el importe económico ofertado con un 15 por ciento de ponderación Importe económico: se asignará la mayor puntuación a la oferta que resulte más ventajosa para la Universidad, es decir, a la que oferte el presupuesto más bajo, siempre que no incurra en situación de temeridad. Se valorará de acuerdo con la siguiente formula: Pb= 15 * Bb/Bmax. Siendo: Bb: el porcentaje de baja correspondiente al presupuesto ofertado. Bmax: el porcentaje de baja máxima ofertada, sin considerar las que resulten temerarias según el criterio expuesto a continuación. Los resultados se redondearán con una (1) cifra decimal. Se considerarán que son bajas temerarias las correspondientes a aquellas ofertas económicas que sean inferiores en DIEZ puntos o más a la que resulte ser la baja media. El concepto que la Universidad hará de la calidad técnica de la oferta se basará en los siguientes conceptos (ponderados cada uno de ellos sobre el 85 por ciento correspondiente al concepto Calidad técnica ): A. Entendimiento de la problemática (25 puntos) Se valorará la comprensión de la problemática planteada así como la idoneidad del enfoque de la solución propuesta. B. Solución aportada (30 puntos) Se valorará el planteamiento metodológico y su adecuación a la consecución de los Versión de Octubre de 2008 Página: 10

11 objetivos del proyecto. Se valorarán los tiempos de ejecución del proyecto, y especialmente los planteamientos viables con tiempos de ejecución iguales o inferiores a los preestablecidos. C. Implantación (20 puntos) Se valorará la definición de las pruebas de aceptación así como las de rendimientos. Asimismo serán criterios a valorar la definición del escenario de implantación, el plan de puesta en explotación del sistema y el plan de formación. D. Aportación de valor añadido (10 puntos) Las mejoras se entienden como aquellas condiciones que la Comisión calificadora estime que aumentan el interés de la propuesta, no estando previstas en el pliego de condiciones, y no formando parte del presupuesto de licitación. A modo de resumen, se incluyen en la siguiente tabla, los criterios de valoración de las ofertas, con sus diferentes pesos: CRITERIO Importe económico Calidad técnica TOTAL A. Entendimiento de la problemática 25 puntos B. Solución aportada 30 puntos C. Implantación 20 puntos D. Aportación de valor añadido 10 puntos PESO 15 puntos 85 puntos 100 puntos 8. Coordinación de los trabajos. El adjudicatario del presente pliego debe coordinarse tanto con las universidades constituyentes de la federación andaluza como con el adjudicatario del pliego de acceso federado a los sistemas de enseñanza virtual de las universidades andaluzas que conforman el campus Andaluz Virtual. Versión de Octubre de 2008 Página: 11

12 9. Referencias [LOPD] [RAUPAAI] [RCAV] Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal Recomendaciones relativas a la implantación de una infraestructura federada de identidad para las universidades andaluzas (CONFIA) Caso del uso del Campus Andaluz Virtual: Glosario SP: Del inglés Service Provider (proveedor de servicio). El proveedor de servicio es un sistema que protege recursos accesibles a través de la red. Cuando un usuario intenta acceder a un recurso protegido por el SP, el sistema localiza (normalmente, con ayuda del usuario) el IdP de la institución a la que pertenece el usuario. El usuario es redirigido a su IdP para que se autentique y una vez que se ha autenticado correctamente, el SP obtiene los atributos del IdP necesarios para saber si tiene o no derechos de acceso al recurso. IdP: Del inglés Identity Provider (proveedor de identidad). El IdP se encarga de autenticar a un usuario en una institución cuando intenta acceder a los recursos de un sitio protegido por un SP, garantizando que efectivamente ese usuario es miembro de dicha institución. Una vez autenticado, el IdP le proporciona al SP los atributos necesarios sobre el usuario. Basándose en estos atributos, el SP otorgará o denegará el acceso al usuario de los recursos en cuestión. LMS: Del inglés Learning Management System (Sistema de Gestión del Aprendizaje). También Sistemas de Enseñanza Virtual. Sistemas utilizados para enseñanza a distancia por medio de mecanismos de Internet, principalmente basados en web. Versión de Octubre de 2008 Página: 12

13 11. Anexo I (Recomendaciones relativas a la implantación de una infraestructura federada de identidad para las universidades andaluzas) -Incorporado al final de este documento, tras anexo Anexo 2 (Caso de uso del Campus Andaluz Virtual.) Descripción El Campus Andaluz Vritual(CAV) es un elemento clave del proyecto *Universidad Digital* (Consejería de Innovación, Ciencia y Empresa de la Junta de Andalucía) que promueve una docencia completamente virtual y a distancia. El CAV se sustenta en las plataformas de enseñanza virtual de todas las universidades públicas andaluzas y es coordinado por el grupo UVAS. (tomado de la página web del Campus Andaluz Virtual en sep 07). En el CAV cada universidad participante ofrece varias asignaturas que se imparten con la plataforma de enseñanza virtual de su universidad. Los alumnos de las asignaturas provienen de todas las universidades que participan en el CAV. El acceso de los alumnos a las plataformas de universidades distintas a la universidad en la que se han matriculado requiere la transferencia de datos entre universidades, pero es muy difícil transmitir con seguridad las claves de acceso, por lo que los alumnos tienen claves e identificadores distintos en cada universidad con la que se relacionan. Para la coordinación e intercambio de datos entre las universidades se utiliza un portal común, actualmente situado en Este portal tiene una parte de información general, noticas etc. y otra parte de gestión del intercambio de los datos entre las universidades. En este portal de gestión es donde cada universidad introduce los datos personales de sus alumnos y recoge los datos personales de los alumnos matriculados en las asignaturas que imparte. Además se utiliza para agilizar el intercambio de actas con las calificaciones de los alumnos. La utilización de una infraestructura de identificación y autenticación son de utilidad en 2 aspectos diferentes del proyecto: las interacciones de los usuarios (alumnos, profesores, personal administrativo) con el portal de información y gestión, y las interacciones de los alumnos con las plataformas de enseñanza virtual, siendo esta última la más interesante y útil Objetivos El objetivo fundamental de aplicar la federación de identidades al Campus Andaluz Virtual es conseguir que los alumnos puedan acceder a las plataformas de otras universidades con la misma clave que utilizan para acceder a la plataforma de enseñanza virtual de su propia universidad. Además, utilizando la misma tecnología los estudiantes, profesores y personal técnico y administrativo pueden acceder al portal del CAV usando su identificación y utilizar recursos específicos para cada uno. Versión de Octubre de 2008 Página: 13

14 12.3. Acceso de los alumnos a la plataforma de enseñanza virtual de otra universidad A continuación se enumeran los sucesos principales que ocurren durante la identificación de un alumno para la utilización la plataforma de enseñanza virtual de una universidad de la federación. 1.El alumno accede a la página web de la plataforma donde se imparte la asignatura. Cómo consigue la dirección de esa página web depende de la universidad en que se matriculó. En el portal del CAV se encuentran las direcciones de las plataformas de todas las universidades participantes. 2.En esa página hay algún enlace o botón (u otro artefacto) que lleva al alumno hasta la página web del "Where are you from? (WAYF)". El WAYF muestra los proveedores de identidad que pueden ser utilizados por el alumno. 3.El alumno selecciona el *proveedor de indentidad (IdP)* que quiere utilizar, que será el que corresponda a la clave que utiliza en la plataforma de su universidad, y es dirigido hacia la página de dicho proveedor. 4.En la página del IdP el alumno introduce su identificador y clave habitual y es dirigido automáticamente a la página web de la plataforma donde se imparte la asignatura. El navegador del alumno (programa Firefox, Safari, Opera, Internet Explorer,...) recibe un mensaje seguro de autenticación que se entregará automáticamente cuando se conecte a la plataforma donde se imparte la asignatura. 5.Al conectarse (tras la redirección automática) a la página web de la plataforma donde se imparte la asignatura, el navegador (programa) entrega el mensaje a la plataforma, que conoce así la identidad del alumno y el IdP utilizado. 6.La plataforma comunica con el IdP a fin de obtener algunos datos más del alumno, por ejemplo los códigos de asignaturas del CAV en los que está matriculado, el correo electrónico del alumno, etc. Este intercambio de datos debe ajustarse a las normas de la federación. 7.La plataforma muestra al alumno las asignaturas que el alumno puede cursar y continua la interacción alumno/plataforma. El intercambio de datos que se produce en el penúltimo punto debe ser discutido en profundidad dentro del proyecto CAV; sin embargo, puede adelantarse que todas las asignaturas incluidas en el CAV reciben un código de 9 cifras que las identifica unívocamente y que podría utilizarse para que el IdP especificase a que asignaturas tiene derecho a acceder el alumno Condiciones previas Cada universidad debe configurar un proveedor de servicios (SP) para su plataforma de enseñanza virtual, especificando que proveedores de identidad miembros de la federación serán admitidos como IdP válidos. Hay que tener en cuenta que la federación puede crecer incluyendo otros miembros que no tengan nada que ver con el CAV, y que, por tanto, se ha de mantener una lista de los IdP que serán reconocidos en el CAV. Versión de Octubre de 2008 Página: 14

15 ANEXO I Recomendaciones relativas a la implantación de una infraestructura federada de identidad para las universidades andaluzas

16 Índice Introducción Modelo general de una infraestructura federada de identidad Federaciones de identidad SWITCHaai (Suiza) UK Access Management Federation (Reino Unido) Haka (Finlandia) Feide (Noruega) Esquemas de federación y directorios corporativos Identidad federada y sistemas SSO Protocolos y perfiles Perfil básico para acceso Web Formato de metadatos Determinación del IdP de origen Privacidad. Gestión de derechos de acceso a los atributos Esquema de confianza Perfiles de los certificados Política de certificación y declaración de prácticas de certificación Validación TLS Validacion de la firma XML Integración de aplicaciones Tipos de protección de aplicaciones Web Páginas estáticas o aplicaciones que no contemplan control de acceso Aplicaciones que admiten plugins de autenticación/autorización Aplicaciones con mecanismos cerrados de autenticación/autorización Aplicaciones que son un interfaz o proxy para otro servicio que requiere autenticación Obtención de atributos Paso de atributos a la aplicación Casos de uso Campus Andaluz Virtual Objetivos Condiciones previas Descripción detallada Cuestiones abiertas Transferencia de ficheros. Aplicación Consigna Condiciones previas Descripción detallada Atributos Cuestiones abiertas Registro recíproco de usuarios de biblioteca Solución propuesta Condiciones previas Descripción detallada Atributos Cuestiones abiertas Provisión de cuentas Solución propuesta Condiciones previas Atributos Aula de informática virtual Solución propuesta Condiciones previas Descripción detallada Atributos Referencias...24 Página: 2

17 Introducción La identidad constituye un elemento estratégico en organizaciones de cualquier índole, dado que es la base para el acceso a los servicios y la información institucionales. Gestionar adecuadamente los mecanismos de autenticación y autorización se está convirtiendo en una tarea cada vez más relevante (y en algunas ocasiones, complicada) para las instituciones académicas. Especialmente si tenemos en cuenta que la naturaleza abierta de las mismas implica de manera natural que la comunidad de usuarios está sometida a un cambio continuo. Estos cambios no sólo afectan a los individuos que pertenecen a la institución sino también a sus papeles dentro de la misma. El coste de mantener sistemas de identidad electrónica, credenciales de autenticación y roles de autorización es alto. Y es conveniente recordar que tanto los aspectos de seguridad como las demandas de colaboración a nivel nacional e internacional son altos y crecen de manera continuada. Las infraestructuras de autenticación y autorización (IAA) y, en especial, los esquemas que permiten su integración por medio de mecanismos de federación, son un componente esencial de las infraestructuras TIC de las instituciones académicas y administrativas en la actualidad y son elementos fundamentales para la consecución de uno de los objetivos de importancia radical en el entorno académico europeo, como es la puesta en práctica del Proceso de Bolonia. Estas infraestructuras son elementos clave para la implantación de servicios como el correo corporativo, los sistemas de e-learning y un amplio conjunto de aplicaciones que pueden ser solicitadas de manera autónoma por los usuarios (acceso a expedientes, reserva de espacios comunes, acceso a recursos bibliográficos, actualizaciones de software, etc.). Extender estos servicios a toda la comunidad académica sin los mecanismos que proporciona una IAA es enormemente costoso en términos de recursos humanos. Las mejoras en los servicios integrales que constituyen los objetivos de una universidad (investigación y docencia) son incluso más relevantes si se utiliza una IAA con capacidad de federación, que permita el establecimiento de lazos de confianza entre las instituciones participantes. Estas mejoras están directamente imbricadas con los objetivos del Proceso de Bolonia, especialmente en los casos de proyectos de investigación internacionales y de la movilidad de estudiantes. La colaboración en tareas de investigación se ve enormemente facilitada por el uso de herramientas colaborativas, cuyo acceso y administración son mucho más simples en el caso de disponer de una IAA federada. Estos mecanismos constituyen la base fundamental del nuevo paradigma de colaboración por medio de lo que se ha dado en llamar e-ciencia: las organizaciones virtuales. Estas organizaciones virtuales permiten no solo el uso de determinados recursos por sus miembros, sino también (y eso diferencia este concepto de otros anteriores) facilitan la incorporación de nuevos miembros y, aún más, simplifican el compartir recursos por parte de aquéllos que pueden ofrecerlos. Es importante notar aquí la idea de que los servicios se centran en la comunidad de usuarios, que emplean el soporte middleware ofrecido por las IAA e infraestructuras similares para que los propios usuarios utilicen los recursos ofrecidos por las redes de comunicaciones para facilitar su interacción. Evidentemente, el paradigma de las organizaciones virtuales es perfectamente aplicable a otros campos, como la docencia o las facilidades para la interacción entre estudiantes. Un sistema federado de gestión de identidad reduce también de forma significativa el alto coste comparativo de la incorporación de estudiantes (especialmente extranjeros) de acuerdo con los mecanismos de movilidad asociados con el proceso de Bolonia, facilitando la aplicación automática de los intercambios de datos previstos en el European Credit Transfer System (ECTS): una IAA federada permite la verificación de los datos relevantes de un nuevo estudiante procedente de otra institución por medio de la adecuada referencia a la identidad electrónica del nuevo estudiante. Página: 3

18 1.1. Modelo general de una infraestructura federada de identidad La figura siguiente ilustra los componentes de un sistema federado de identidad. En los extremos aparecen, por un lado, el repositorio de datos sobre los usuarios ubicados en una cierta institución (institución origen, IO) participante y, por el otro, los recursos que ofrece otra de las instituciones (institución remota, IR). La infraestructura permite a los usuarios de la IO acceder a los servicios en la IR utilizando sus datos de identidad local, y a los responsables de la IR decidir los permisos de acceso a sus recursos de manera autónoma. Los datos entre las dos instituciones se intercambian por medio de un conjunto de protocolos acordados para la infraestructura federada. De izquierda a derecha, es decir, de la IO a la IR, los elementos intervinientes en la federación son: 1. El repositorio de identidad en la IO, gestionado de manera independiente por los responsables de la misma. Se corresponde típicamente con un directorio corporativo de personal y estudiantes. 2. Los mecanismos de adaptación del esquema local al esquema de la federación. El esquema local se aplica en el entorno de la IO y, por tanto, es decidido de manera autónoma por la misma. Como es evidente, el intercambio de datos de identidad entre los participantes en la federación debe ajustarse a unas reglas de sintaxis y semántica comunes. 3. El Proveedor de Identidad (IdP en sus siglas en inglés comúnmente empleadas), encargado de enviar los datos de identidad requeridos a partir del repositorio de identidad local. Actúa como productor de aserciones de identidad. 4. El protocolo de federación, que regula el intercambio de los datos de identidad. 5. El Proveedor de Servicio (SP en sus siglas en inglés comúnmente empleadas), encargado de requerir y procesar los datos de identidad enviados por el IdP y de hacerlos llegar a los servicios locales. Actúa como consumidor de aserciones de identidad. 6. Los metadatos que permiten a IdPs y SPs establecer los lazos de confianza necesarios tanto para (en el caso del IdP) estar seguros que los datos se envían a un receptor autorizado de los mismos, como para (en el caso del SP) poder establecer la autenticidad de la fuente de los datos. Los metadatos constituyen la espina dorsal de la federación y deben ser gestionados por una entidad en la que los participantes depositen su confianza. Página: 4

19 7. Los mecanismos de adaptación del esquema de la federación a las aplicaciones locales en la IR. Cada aplicación suele requerir mecanismos específicos para explotar los datos de identidad, aunque existen técnicas comunes para su interconexión con los SPs e incluso propuestas de estandarizar APIs para ello. 8. Como es evidente, las aplicaciones en la IR tomarán sus decisiones de acceso y personalización en función de los datos recibidos y de la política de uso de la institución, de manera completamente autónoma. 2. Federaciones de identidad Como referencia para este documento, el grupo de trabajo ha analizado las características de las federaciones de identidad académicas ya implantadas o en proceso de implantación en países de nuestro entorno. Esta sección ofrece un resumen de las mismas SWITCHaai (Suiza) Los estudios preliminares comienzan a finales del La federación es operativa desde agosto del Los IdPs asociados dan cobertura a usuarios de educación superior, un porcentaje superior al 75%. En la actualidad, el número de IdPs es de 26 (SWITCHaai Home Organizations), comprendiendo universidades, escuelas técnicas, hospitales, centros de investigación, el VHS (Virtual Home Organization Service) y socios tecnológicos. El número de SPs ofrecidos por los participantes superan los 180. La SWITCHaai participa en la confederación edugain, bajo los auspicios de GÉANT2. Los servicios más relevantes son: E-learning: ILIAS, CASUS, Claroline, Dokeos, Moodle, OLAT, VITELS, WebCT. Bibliotecas y bases de datos: DigiTool, EBSCO, ScienceDirect. Aplicaciones web: BSCW, Compicampus, econf Portal, EVA, Jahia, OpenCMS, Plone, SLCS, Sympa, Twiki, WebSMS. Servicios comerciales y socios tecnológicos: Tribunal Federal, Neptun Store, MSDNAA. Herramientas: AAI Portal, ArpViewer, Group Management Tool, Resource Registry, Virtual Home Organization Service (para usuarios sin identidad en la AAI), WAYF Service UK Access Management Federation (Reino Unido) La federación es operativa desde noviembre del Abarca a 108 organizaciones asociadas ( Member Organizations ), comprendiendo universidades y colleges ( Higher Education ), escuelas profesionales ( Further Education ), escuelas primarias y secundarias ( Schools ), centros de investigación y organizaciones e instituciones que proveen servicios a las anteriores. En la actualidad, el número de IdPs es de 63 y el número de SPs ofrecidos por las organizaciones asociadas es de 71. Conviven recursos basados en Shibboleth y en el antiguo sistema centralizado Athens haciendo uso de pasarelas. Los servicios más relevantes son: Página: 5

20 E-learning: BMJ Learning, estep Foundation. Bibliotecas y bases de datos: CAB Abstracts, CrossFire, EBSCO, Education Image Gallery (archivo Getty), Landmap, ScienceDirect, SilverPlatter WebSPIRS Herramientas colaborativas: JANET Videoconferencing Booking Service, JISCmail 2.3. Haka (Finlandia) La federación es operativa desde agosto del Agrupa únicamente instituciones de educación superior. El número de miembros es de 26 Federation Members y 2 Federation Partners. Las instituciones asociadas dan cobertura a usuarios de educación superior, un porcentaje en torno al 75% de los edupersons definidos y el 90% en Universidades. El número de IdPs operativos es de 13, dando servicio a usuarios finales (51% de los edupersons definidos), comprendiendo únicamente instituciones de educación superior. El número de SPs ofrecidos por los Federation Members y Federation Partners es de 20. Haka participa en la Kalmar Union (una confederación de federaciones de identidad de los paises nórdicos) y en edugain. Los servicios más relevantes son: E-learning: A&O, Moodle (varias Universidades), Optima, TRAKLA2. Bibliotecas y bases de datos: MatTaFi, Nelli, Pirkka, Teemu, Wilma. Intranet de FUNET Feide (Noruega) La federación es operativa desde mayo del Las organizaciones afiliadas comprenden instituciones de educación superior y escuelas primarias y secundarias. Los Proveedores de Identidad (IdPs) asociados dan cobertura a usuarios, en torno a 73% de usuarios de educación superior y 89% de usuarios en universidades. El número de IdPs es de 17 y el número de SPs es de 27. Participa en la Kalmar Union y edugain, e interopera con MinID (el servicio de identidad digital del gobierno noruego). En la actualidad se está investigando y probando la integración con OpenID. Los servicios más relevantes son: E-learning. Bibliotecas y bases de datos. Aplicaciones web: Intranets, Sympa, Wiki. Servicios a las instituciones: Compra de licencias software académicas, servicios administrativos, sistemas de seguimiento. Página: 6