Jorge López Pérez <jorgelp@us.es> Universidad de Sevilla 5 de octubre de 2010
Índice 1 La identidad en la US 2 Cómo funciona OpenSSO 3 Futuro 4 Conclusiones 2 / 21
UVUS La identidad en la US Usuario Virtual de la Universidad de Sevilla Generado automáticamente al comienzo de la vinculación (matriculación, contratación,... ) 3 / 21
UVUS La identidad en la US Usuario Virtual de la Universidad de Sevilla Generado automáticamente al comienzo de la vinculación (matriculación, contratación,... ) Almacenamiento de la identidad Directorio corporativo, LDAP (2003) 170.000 entradas Dos ramas: Alumnos PAS, PDI y otros 3 / 21
La situación previa al SSO Software principalmente de Sun: JES, Identity Manager, Sun DS,... Creciente número de aplicaciones externas validando usuarios mediante LDAP 4 / 21
Elegimos un SSO Comenzamos las pruebas con Sun Access Manager Ya lo usábamos internamente para JES Soporte oficial de Sun 5 / 21
Elegimos un SSO Comenzamos las pruebas con Sun Access Manager Ya lo usábamos internamente para JES Soporte oficial de Sun Finales de 2008: Licencia libre (CDDL) Sustituye a Access Manager Varias versiones (Express, Enterprise) En septiembre/octubre de 2009 se lanza el servicio públicamente Integración paulatina de aplicaciones web 5 / 21
Funcionalidades de OpenSSO Single Sign-On Cross Domain Single Sign-On Federación: SAML 1.x, SAML 2, Liberty Integración con Google Apps 6 / 21
OpenSSO como Single Sign-On Módulos de autenticación Dada una configuración concreta: instancias del módulo Organizados en cadenas de autenticación Almacenes de datos (atributos) 7 / 21
Métodos de integración con OpenSSO Policy Agents Disponibles para múltiples servidores web y plataformas Obliga al establecimiento de políticas de URL Control fino de liberación de atributos Consulta de servicios web SOAP y REST Muy sencillo Control de consultas por IP (a nivel de servidor web) Sin Control fino sobre liberación de atributos 8 / 21
Cómo funciona Los Policy Agents usan los servicios web REST Pilar fundamental: identificador de sesión en cookie para *.us.es Las aplicaciones consultan vía HTTP directamente al SSO 9 / 21
Nuestro OpenSSO Entornos preproducción y producción Tres métodos de autenticación 1 UVUS y contraseña 2 Certificado de la FNMT 3 Tarjeta universitaria Control por IP del acceso a los servicios web (Apache) 10 / 21
Lo que ven los usuarios 11 / 21
Arquitectura de nuestra instalación 12 / 21
Facilidades a los desarrolladores e integradores Proporcionamos documentación de integración en https://opensso.us.es/integracion/ Desarrollo de una biblioteca de integración para PHP: libopensso-php Soporte vía email Lista de distribución (avisos, novedades) 13 / 21
Sorpresas te da la vida En abril de 2009 se anuncia que Oracle ha comprado Sun En enero de 2010 Oracle comunica el abandono de OpenSSO para centrarse en Oracle Access Manager ForgeRock se da a conocer en la lista de usuarios de OpenSSO en febrero Fork de OpenSSO: OpenAM 14 / 21
En una encrucijada ForgeRock no es Sun El producto tiene muchas funcionalidades que no usamos = producto complejo que no dominamos Otros productos adolecen de lo mismo: Oracle Access Manager JOSSO CAS Y alguno más Ya se está usando OpenSSO, las aplicaciones actuales deben seguir funcionando 15 / 21
Premisas: Work in progress Compatible y transparente para consumidores de OpenSSO de la US Licencia libre (GPL) Preparado para entornos LAMP Sólo funcionalidad Single Sign-On (con servicios web) Logo: Daniel García Moreno <dani@danigm.net> 16 / 21
Work in progress Multi-idioma Módulos de autenticación y de extracción de atributos Mensajes de registro más claros y completos (Vade retro Excepciones) Histórico de eventos accesible vía web para administradores Mensajes de error más claros para los usuarios 17 / 21
Work in progress Indicadores/estadísticas de uso Mejoras de los servicios web Control por aplicación/ip (a nivel de aplicación, no de servidor web): liberación de atributos configurable Optimización de conexiones (unificación de algunos servicios web) Comprobación de IP y navegador de las sesiones (evitar spoofing de sesiones) Single Log Out (SLO) Uso de memcached 18 / 21
La identidad en la US Cómo funciona OpenSSO Futuro Conclusiones Work in progress Proyecto joven, pero en marcha 19 / 21
Lo que hemos aprendido Elegir un SSO es una tarea arriesgada Apostar por software libre no da garantía total de éxito, pero ayuda mucho Hay que facilitar al máximo la tarea de integrar aplicaciones (documentación, software, soporte) Los entornos mixtos pueden cambiar progresivamente (e.g. OpenSSO + PAPI) e incluso convivir 20 / 21
Gracias por aguantar sentados. Alguna preguntilla? 21 / 21