Proveïdor d'Identitat (IdP) ofereix als usuaris un únic punt d'autenticació per a les aplicacions web externes

06/06/2016 | SI
Compartir

Compartir

Facebook
X
Linkedin
Whatsapp
Gmail
Imprimir

Introducció

El proveïdor d'Identitat (IdP) ofereix als usuaris un únic punt d'autenticació per a les aplicacions web externes. Tota aquella aplicació amb acord explícit amb l'UJI o amb el SIR de RedIris, pot oferir l'accés als seus serveis mitjançant l'IdP.

Aquest mecanisme, anàleg a l'SSO, és conegut com a federació de l'autenticació, el qual ens ofereix els següents avantatges:

  • De cara a l'usuari:

- Permet la ubiqüitat (independència de la localització geogràfica i l'organització que li proporcione accés a Internet).
- No és necessari de cap aplicació addicional del tipus VPN/FREEnet per accedir a serveis web.
- Es redueixen els parells nom d'usuari/contrasenya que cal recordar per a diferents SPs.
- El registre als SPs és més àgil.
- Control dels atributs propis que s'envien cap al SP.

  • De cara a l'IdP:

- Les credencials d'autenticació no viatgen fora de la xarxa de l'IdP.
- Control sobre els atributs de l'usuari que demana cada SP.

  • De cara a l'SP:

- Es redueixen les tasques de gestió de credencials i usuaris.
- Es faciliten els acords entre organitzacions per tal d'expandir el servei a altres comunitats d'usuaris.
- La seua tasca és autoritzar, no cal que autentique.

Com funciona

Breument, l'usuari accedeix a un SP, per exemple Scopus (base de dades de revistes electròniques amb acord amb el SIR i UJI), es demana autenticació, es tria l'entitat IdP (SIR-Rediris o Universitat Jaume I), l'usuari és redirigit cap a l'IdP, indica les seues credencials i torna automàticament a Scopus per començar a treballar. Al nostre cas, si ja teníem una sessió al Portal/Webmail/etc, no ens tornaria a demanar les credencials.

Hi ha un pas que no apareix a l'exemple, molt significatiu, i és el consentiment de l'usuari per tal de comunicar a Scopus certes dades personals. No apareix donat que el conveni UJI-Scopus indica que només es necessita l'organització de la persona que intenta accedir i el seu perfil (estudiant o treballador). En altres casos, l'SP podria demanar altres dades personals, que només es transmetrien previ consentiment.

A RedIris podeu vore en més detall el funcionament.

Quins protocols i SPs es suporten

Gràcies a l'acord amb RedIris, estem oferint aquests protocols de federació:

El llistat d'SPs creix a mesura que es va popularitzant la federació, en tot cas, ja es disposa d'accés a diferents bases de dades bibliogràfiques, programari de blogs(enviament de comentaris a Blogger), descàrregues de programari, Universia, etc.

Existeix també una iniciativa a nivell Europeu per tal de proporcionar mobilitat i serveis electrònics entre les administracions dels diferents països de la CE, amb els pilars bàsics de la federació d'autenticació i la identitat electrònica.

Informació proporcionada per: Servei d'Informàtica