Actividades
IRIS-Middleware
Directorios y esquemas
 El esquema SCHAC ha sido formalmente aprobado
http://www.terena.nl/activities/tf-emc2/docs/schac/schac-schema-IAD-rel1.pdf
 En coordinación con Internet2
 Adopción inmediata a nivel internacional
 FUNET
 SURFNet
 GÉANT2
 RedIRIS va a incorporarlo a sus recomendaciones
 Adaptando los esquemas iris-*
 Incorporándolo a las aserciones PAPI
 Proyectos piloto en fase inicial
IRIS-Middleware
Más sobre SCHAC
 Un esquema orientado a facilitar el intercambio de datos
entre instituciones académicas
 ECTS (Bolonia)
 Esquemas de federación (eduroam, PAPI, eduGAIN)
 Extiende a los esquemas ya empleados
 Basado directamente en eduPerson
 Armonización basada en extensiones
 inetOrgPerson + eduPerson + schac-* + iris-* + uXX-* + . . .
 No sólo orientado a LDAP
 Aunque fuertemente influenciado por él
IRIS-Middleware
Las clases SCHAC
 Los atributos se agrupan en clases genéricas
 No estructurales
 Correspondientes a una determinada categoría
schacPersonalCharacteristics
schacContactLocation
schacEmployeeInfo
schacLinkageIdentifiers
schacEntryMetadata
schacEntryConfidentiality
schacUserEntitlements
 De acuerdo con la clasificación establecida en un proyecto con
Internet2
 Mejor integración y extensibilidad
 Mejor aplicación a diferentes clases de entidades
IRIS-Middleware
Los atributos SCHAC
 Evitar la ambigüedad en la asignación del nombre
 GivenName + schacSn1 + schacSn2
 La mayor parte de ellos contienen valores de
vocabularios normalizados





Códigos ISO de estados
Códigos ISO de género
Identificación de lenguas en formato RFC3066
Tiempo en formato RFC3399
URLs con esquema normalizados
 Uso de URNs para facilitar el uso armonizado de
identificadores idiosincrásicos
 Propios de una comunidad determinada
IRIS-Middleware
URNs en SCHAC
 Bajo el espacio de nombres
urn:mace:terena.org:schac
 Definiciones de atributos
urn:mace:terena.org:schac:attribute-def:ATTNAME
 Intercambios basados en XML
 Valores de atributos
urn:mace:terena.org:schac:ATTID:DELEGATEPATH:VALUE
urn:mace:terena.org:schac:homeOrgType:es:opi
 La delegación se establece usando TLDs
 int para valores comunes
 Gestionados a través del registro de URNs de TERENA
 Y sus registros delegados
IRIS-Middleware
PAPI 1.4.1
 Mejor integración con módulos y aplicaciones
 Los atributos se pasan en cabeceras individuales
X-PAPIAttr-ATTNAME
 Acceso directo para determinados URLs
Pass_URL_Pattern
 Integración con SCHAC
 Uso de URNs en las aserciones PAPI
 Modo proxy
 PAPI_Redirect_by_URL
 Tratamiento de atributos de estilo
 Mejoras en el procesador de formularios
 Integración de un proxy para applets ??
IRIS-Middleware
PAPI 1.5.0
 PAPI 1.4.1 será la última versión para Apache 1.x
 PAPI 1.5 está siendo adaptado para Apache 2
 Intentaremos mantener temporalmente la compatibilidad 1.x
 Incorpora la configuración por medio de un fichero XML
externo
 Ya disponible en la versión 1.4 para Windows
 Versión alpha disponible
 En pruebas para diferentes perfiles
 Una versión beta está prevista para julio
 Betatesters welcome!
IRIS-Middleware
PAPI sin Apache
 phpPoA v2 (PHP)
 Interface más coherente
 Alineado con el tratamiento de atributos de PAPI core 1.4.1
 phpGPoA (PHP)
 Desarrollado por el IFIC
 En proceso de integración
 PAPIFilter (Java)
 Filtro aplicable a servidores de aplicaciones (probado en Tomcat)
 Implementa el interface javax.servlet.filter
 Núcleo capaz de ser adaptado a otros interfaces estándar Java
 Una implementación JAAS está en desarrollo
 SAGPoA (Java)
 GpoA stand-alone
 Basado en AA-RR
IRIS-Middleware
PAPI más allá de sí mismo
 PADATH, interconexión PAPI-Athens
 Se han recibido varias peticiones de usuarios
 ShibEnable
 Promover el uso de identidad federada entre los proveedores
comerciales mediante el protocolo Shibboleth
 Proceso lento pero significativo
 Elsevier ya tiene un piloto
 EBSCO, JSTOR, Ovid y Springer están en fase de desarrollo
 Otros lo tienen en estudio
 Estamos en condiciones de realizar pruebas después del verano
IRIS-Middleware
SAML on everything
 HelloSAML cuenta ya con más de cien usuarios
http://hellosaml.rediris.es/
 Integración de AA-RR en Eclipse
 Para validar el despliegue de WS-Security basado en SAML
 Propuestas de Google que emplean SAML
 Google AuthN/AuthZ SPI
 Google Account Authentication
 InfoCard de Windows Vista (y Mozilla!)
 Capaz de generar aserciones SAML
IRIS-Middleware
Acceso universal: DAMe
 DAMe pretende proporcionar un sistema integral para
Single Sign On
 Integrar mecanismos de autenticación en el acceso a la red
(eduroam) con los sistemas de autorización generales
 Gestión de acceso más rica
 Utilizar el acceso a la red para obtener acceso a los servicios
 Con una sola autenticación inicial
 DAMe va a llevarse a cabo con financiación de GÉANT2
 Coordinado por RedIRIS y DFN
 Desarrollado por las universidades de Murcia y Stuttgart
IRIS-Middleware
DAMe en acción
Home SD
Attr
Auth
EU
Target SD
SP
IP
NAP
AAA
SA
Login/Pass
Login/Pass
authenticate
user
SAMLRes.
AuthNSt or
Artifact
EAP-SUCCESS
SAMLRes.
AuthNSt or
Artifact
Authorization
process
attributes
SAMLRes.
AuthNSt or
Artifact
SAMLRes
.
artifact
SAMLRes
.
AuthNSt
HTTP 200OK
EAP-PEAP
PI
HTTPS
SOAP
HTTPS
HTTPS
IRIS-Middleware
PDP
(Aplausos)
IRIS-Middleware
Descargar

urn:mace:terena.org:schac