Ambiente para experimentação em Gestão de Identidade

De MediaWiki do Campus São José
Ir para navegação Ir para pesquisar

Implantação de uma Comunidade Acadêmica Federada para Experimentação usando Framework Shibboleth

Maykon Chagas de Souza¹ (bolsista do projeto GID Lab – RNP), Michelle S. Wangham², Emerson Ribeiro de Mello¹ ¹Instituto Federal de Santa Catarina (IFSC), São Jose – SC ²Universidade do Vale do Itajaí (UNIVALI), São Jose – SC maykon@riseup.net, wangham@univali.br, mello@ifsc.edu.br


A disponibilidade de serviços e aplicações acessíveis remotamente hoje na Internet se tornou um processo relativamente simples de implementação. O avanço das tecnologias de redes de computadores foi responsável pela construção dessas aplicações e o acesso remoto (e em tempo real) às mesmas. No entanto, além de manter a própria aplicação, administradores de sistemas necessitam ainda manter uma base de usuários própria com informações e níveis de privilégio para permitir acesso aos serviços, tornando o trabalho custoso [MOREIRA et al. 2011].

Do lado do usuário, com tantos serviços disponíveis, o sistema permite ao usuário a criação de múltiplas identidades para acesso a esses serviços. Cada novo serviço que o usuário deseja acessar, este deve repassar algumas informações pessoais e um nome de usuário e senha para acessar o serviço. Criar um nome de usuário e senha para cada serviço seria uma boa prática de segurança, porém, administrar essas informações é uma tarefa difícil para os usuários, diante da grande gama de serviços que são oferecidos hoje [WANGHAM et al. 2010].

No modelo de gestão de identidade federada [Jøsang ; Pope 2005, Jøsang et al. 2005, Bhargav-Spantzel et al. 2007 apud. WANGHAM et al. 2010], objetiva-se remover essa complexidade do usuário em ter que administrar um nome de usuário e senha para cada serviço que deseja acessar. O conceito de federação visa minimizar as demandas dos provedores de serviço e de usuários de uma instituição, delegando serviços bem específicos para cada elemento da estrutura da federação. Uma federação é composta por dois componentes principais, (1) provedor de identidades, que é responsável por armazenamento e gerenciamento das identidades dos usuários da instituição e (2) provedores de serviços, que irão disponibilizar os diversos serviços para acesso, e dos usuários, que tem suas informações assim como nome de usuário e senha à uma (mas podem ter registros em outras) instituição [MOREIRA et al. 2011].

Neste modelo, informações dos usuários são compartilhadas entre provedores de identidade e provedores de serviços , cujos os quais possuem relações de confiança entre si. Neste modelo, é introduzida a facilidade de autenticação única (Single Sign-On), que garante ao usuário passar uma única vez pelo processo de autenticação e acessar qualquer provedor de serviços da federação, cabendo a esses provedores realizarem somente o controle de acesso dos usuários. Esse modelo se mostra vantajoso para o usuário, que necessitará de uma única identidade para acessar os diversos serviços da federação, e para o administrador do sistema, que ao prover um serviço para a federação não precisa se preocupar com a autenticação e com o cadastro de usuários.

No Brasil, a Rede Nacional de Ensino e Pesquisa (RNP), em conjunto com as instituições de ensino UFC, UFMG, UFF, UFRGS e Cefet-MG, iniciaram o projeto da Comunidade Acadêmica Federada (CAFe) com o intuito de reunir as universidades e instituições de pesquisa do País [MOREIRA et al. 2011]. Desde 2009, a RNP disponibiliza o serviço da CAFe às suas organizações usuárias. Através da CAFe, um usuário mantém todas as suas informações na sua instituição de origem e pode acessar serviços oferecidos pelas instituições que participam da federação acadêmica (http://portal.rnp.br/web/servicos/cafe).

A federação CAFe é um ambiente de produção, ou seja, nesta federação não deve ser permitida a realização de experimentos e assim pesquisadores que fazem prospecções tecnológicas e pesquisas científicas em gestão de identidade necessitam montar sua própria federação de testes para que possam conduzir seus projetos e experimentos. Ciente desta necessidade, a RNP criou em 2013 o Projeto GIDLab1 - Laboratório de Experimentação em Gestão de Identidade que tem por objetivo geral disponibilizar para a comunidade acadêmica um ambiente virtual no qual os pesquisadores poderão realizar testes com Infraestruturas de Autenticação e Autorização (IAA) e também Infraestruturas de Chaves Públicas (ICPs).

O objetivo deste trabalho é implantar a parte de IAA do GID Lab que inicialmente disponibilizará uma federação Shibboleth2, chamada CAFe Expresso (Comunidade Acadêmica para Experimentação). A CAFe Expresso consistirá de Provedores de Identidade (IdP), Provedores de Serviço (SP) e o serviço Where Are You From (WAYF)3 também denominado Discovery Service (DS) que realiza o redirecionamento do usuário para o seu IdP de origem para que este se autentique. Ainda no contexto deste trabalho, máquinas virtuais com IdPs e SPs serão configuradas e disponibilizadas para download de forma a facilitar a implantação destes provedores nas instituições que estão realizando seus experimentos no GidLab.


REFERÊNCIAS BIBLIOGRAFICAS

MOREIRA, E. Q. ; FOSCARINI, É. D. ; JUNIOR, G. C. S. ; ALIXANDRINA, L. A. O. ; NETO, L. P. V. ; ROSSETTO, S. ; Federação CAFe: Implantação do Provedor de Identidade. Rio de Janeiro: Escola Superior de Redes, RNP, 2011.

WANGHAM, M. S. ; MELLO, E. R. ; BÖGER, D. S. ; GUERIOS, M. ; FRAGA, J. S. . Gerenciamento de Identidades Federadas. In: Luciano Porto Barreto. (Org.). Minicursos do Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais. Porto Alegre: Sociedade Brasileira de Computação, 2010, v. 1, p. 3-52.

CAMARGO, E. T. ; FRAGA, J. S. ; WANGHAM, M. S. ; MELLO, E. R. . Autenticação e Autorização em Arquiteturas Orientadas a Serviço através de Identidades Federadas. In: Simpósio Brasileiro de Redes de Computadores e Sistemas DIstribuídos, 2007, Bélem. Anais do Simpósio Brasileiro de Redes de Computadores, 2007.

WANGHAM, M. S. ; MELLO, E. R. ; BÖGER, D. S. ; FRAGA, J. S. ; GUERIOS, M. . Uma Infraestrutura para Tradução de Credenciais de Autenticação para Federações Shibboleth. In: X Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais, 2010, Fortaleza. SBSeg 2010. Porto Alegre : Sociedade Brasileira de Computação, 2010. p. 447-360.

http://portal.rnp.br/web/servicos/cafe - Rede Nacional de Pesquisa (RNP) - CAFe – Comunidade Acadêmica Federada disponível em (acessado em 11 de Junho de 2013)

Disponível em “https://wiki.sj.ifsc.edu.br/index.php?title=Ambiente_para_experimentação_em_Gestão_de_Identidade&oldid=55093