Implantação de uma Comunidade Acadêmica Federada para Experimentação usando Framework Shibboleth

A disponibilidade de serviços e aplicações acessíveis remotamente hoje na Internet se tornou um processo relativamente simples de implementação. O avanço das tecnologias de redes de computadores foi responsável pela construção dessas aplicações e o acesso remoto (e em tempo real) às mesmas. No entanto, além de manter a própria aplicação, administradores de sistemas necessitam ainda manter uma base de usuários própria com informações e níveis de privilégio para permitir acesso aos serviços, tornando o trabalho custoso [MOREIRA et al. 2011].

Do lado do usuário, com tantos serviços disponíveis, o sistema permite ao usuário a criação de múltiplas identidades para acesso a esses serviços. Cada novo serviço que o usuário deseja acessar, este deve repassar algumas informações pessoais e um nome de usuário e senha para acessar o serviço. Criar um nome de usuário e senha para cada serviço seria uma boa prática de segurança, porém, administrar essas informações é uma tarefa difícil para os usuários, diante da grande gama de serviços que são oferecidos hoje [WANGHAM et al. 2010].

No modelo de gestão de identidade federada [Jøsang ; Pope 2005, Jøsang et al. 2005, Bhargav-Spantzel et al. 2007 apud. WANGHAM et al. 2010], objetiva-se remover essa complexidade do usuário em ter que administrar um nome de usuário e senha para cada serviço que deseja acessar. O conceito de federação visa minimizar as demandas dos provedores de serviço e de usuários de uma instituição, delegando serviços bem específicos para cada elemento da estrutura da federação. Uma federação é composta por dois componentes principais, (1) provedor de identidades, que é responsável por armazenamento e gerenciamento das identidades dos usuários da instituição e (2) provedores de serviços, que irão disponibilizar serviços para acesso dos usuários, que tem suas informações assim como nome de usuário e senha à uma (mas podem ter registros em mais de uma) instituição [MOREIRA et al. 2011].

Neste modelo, informações dos usuários são compartilhadas entre provedores de identidade e provedores de serviços , cujos os quais possuem relações de confiança entre si. Neste modelo, é introduzida a facilidade de autenticação única (Single Sign-On), que garante ao usuário passar uma única vez pelo processo de autenticação e acessar qualquer provedor de serviços da federação, cabendo a esses provedores realizarem somente o controle de acesso dos usuários. Esse modelo se mostra vantajoso para o usuário, que necessitará de uma única identidade para acessar os diversos serviços da federação, e para o administrador do sistema, que ao prover um serviço para a federação não precisa se preocupar com a autenticação e com o cadastro de usuários.

No Brasil, a Rede Nacional de Ensino e Pesquisa (RNP), em conjunto com as instituições de ensino UFC, UFMG, UFF, UFRGS e Cefet-MG, iniciaram o projeto da Comunidade Acadêmica Federada (CAFe) com o intuito de reunir as universidades e instituições de pesquisa do País [MOREIRA et al. 2011]. Desde 2009, a RNP disponibiliza o serviço da CAFe às suas organizações usuárias. Através da CAFe, um usuário mantém todas as suas informações na sua instituição de origem e pode acessar serviços oferecidos pelas instituições que participam da federação acadêmica (http://portal.rnp.br/web/servicos/cafe).

A federação CAFe é um ambiente de produção, ou seja, nesta federação não deve ser permitida a realização de experimentos e assim pesquisadores que fazem prospecções tecnológicas e pesquisas científicas em gestão de identidade necessitam montar sua própria federação de testes para que possam conduzir seus projetos e experimentos. Ciente desta necessidade, a RNP criou em 2013 o Projeto GIDLab[1] - Laboratório de Experimentação em Gestão de Identidade que tem por objetivo geral disponibilizar para a comunidade acadêmica um ambiente virtual no qual os pesquisadores poderão realizar testes com Infraestruturas de Autenticação e Autorização (IAA) e também Infraestruturas de Chaves Públicas (ICPs).

O objetivo deste trabalho é implantar a parte de IAA do GID Lab que inicialmente disponibilizará uma federação Shibboleth[2], chamada CAFe Expresso (Comunidade Acadêmica para Experimentação). A CAFe Expresso consistirá de Provedores de Identidade (IdP), Provedores de Serviço (SP) e o serviço Where Are You From (WAYF)[3] também denominado Discovery Service (DS) que realiza o redirecionamento do usuário para o seu IdP de origem para que este se autentique. Ainda no contexto deste trabalho, máquinas virtuais com IdPs e SPs serão configuradas e disponibilizadas para download de forma a facilitar a implantação destes provedores nas instituições que estão realizando seus experimentos no GidLab.

REFERÊNCIAS BIBLIOGRAFICAS

MOREIRA, E. Q. ; FOSCARINI, É. D. ; JUNIOR, G. C. S. ; ALIXANDRINA, L. A. O. ; NETO, L. P. V. ; ROSSETTO, S. ; Federação CAFe: Implantação do Provedor de Identidade. Rio de Janeiro: Escola Superior de Redes, RNP, 2011.

WANGHAM, M. S. ; MELLO, E. R. ; BÖGER, D. S. ; GUERIOS, M. ; FRAGA, J. S. . Gerenciamento de Identidades Federadas. In: Luciano Porto Barreto. (Org.). Minicursos do Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais. Porto Alegre: Sociedade Brasileira de Computação, 2010, v. 1, p. 3-52.

CAMARGO, E. T. ; FRAGA, J. S. ; WANGHAM, M. S. ; MELLO, E. R. . Autenticação e Autorização em Arquiteturas Orientadas a Serviço através de Identidades Federadas. In: Simpósio Brasileiro de Redes de Computadores e Sistemas DIstribuídos, 2007, Bélem. Anais do Simpósio Brasileiro de Redes de Computadores, 2007.

WANGHAM, M. S. ; MELLO, E. R. ; BÖGER, D. S. ; FRAGA, J. S. ; GUERIOS, M. . Uma Infraestrutura para Tradução de Credenciais de Autenticação para Federações Shibboleth. In: X Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais, 2010, Fortaleza. SBSeg 2010. Porto Alegre : Sociedade Brasileira de Computação, 2010. p. 447-360.

RNP - CAFe – Comunidade Acadêmica Federada disponível em <http://portal.rnp.br/web/servicos/cafe> (acessado em 11 de Junho de 2013)

[1] - http://wiki.rnp.br/display/gidlab/
[2] - http://shibboleth.net
[3] - https://wayf.switch.ch/

CRONOGRAMA