RedCLARA utiliza cookies para ofrecer la mejor experiencia web posible.

Al continuar y utilizar este sitio, usted acepta que podamos almacenar y acceder a las cookies en su dispositivo. Asegúrese de haber leído la Política de Cookies. Saber más

Acepto

RedCONARE se une a las federaciones a través de Bridge IdP

Inicio desactivadoInicio desactivadoInicio desactivadoInicio desactivadoInicio desactivado
 

La experiencia de la configuración de su propio proveedor de identidad, conectado a su Directorio Activo y sin necesidad de instalaciones adicionales, le abrió a la red académica costarricense las puertas de los servicios federados, y a sus usuarios, una experiencia de acceso a los servicios sin barreras de entrada y mayor facilidad y comodidad de uso.

RedCONARE fue fundada en 2009 por el Consejo Nacional de Rectores (CONARE) de Costa RICA, a fin de unirse a RedCLARA y proveer a la comunidad científica costarricense de los medios para acceder y aprovechar las redes avanzadas y la colaboración científica con el resto del mundo.

Junto con interconectar a la Universidad Nacional de Costa Rica (UCR), el Tecnológico de Costa Rica (TEC), a la Universidad de Costa Rica (UCR), a la Universidad Estatal a Distancia (UNED), y a la Universidad Técnica Nacional (UTN), y conectarlas a las redes académicas del mundo, mediante RedCLARA, RedCONARE brinda los servicios de eduroam, Colaboratorio y transferencia de datos para la investigación. Pero a la hora de proveer acceso a los más avanzados servicios en línea para fomentar la colaboración científica y potenciar el avance y desarrollo de las investigaciones científico-académicas y tecnológicas, el contar con un Proveedor de Identidad (IdP) que acredite que cada usuario es quien debe ser y le brinde los accesos que le corresponden a los distintos recursos, es crucial. Y esto requiere necesariamente de la participación de una Federación de Identidad. Es aquí donde la Red Nacional de Investigación y Educación tica identificó los retos a los que debía hacer frente sin dilación:

  • Brindar acceso, a través de FIEL (federación de identidad de RedCLARA), a los servicios federados de las Redes Académicas creando su propio IdP.
  • Mantener una autenticación única, basada en el Active Directory de Azure (Azure AD: servicio de identidad empresarial que brinda inicio de sesión único y autenticación multifactor).
  • Y hacer ambas cosas de forma expedita y sin aumentar el número de sistemas que opera internamente.

RedCONARE ha invertido en la consolidación de la gestión de identidad y acceso a los servicios a través del servicio Microsoft Azure AD, y aunque le ha dado buenos resultados, la necesidad de mantener su IdP teniendo como base este sistema de autenticación, se hacía cada vez más omnipresente. Y es que CONARE y RedCONARE reconocen que el acceso a los servicios ofrecidos a través de las Federaciones de Identidad es necesario para apoyar la colaboración, y el soporte de Azure AD para la integración SAML (Security Assertion Markup Language - Lenguaje de Marcado para Confirmaciones de Seguridad) no proporciona la capacidad técnica necesaria para participar directamente como un IdP.

Así, buscando una solución que cerrara la brecha Azure AD y las Federaciones de Identidad, RedCONARE encontró la solución usando el Bridge IdP.

Aquí debemos detenernos un segundo para recordar que las Federaciones de Identidad pueden ser accedidas a través de RedCLARA en las siguientes modalidades:

  1. Instalación de la propia institución, generalmente en su propia infraestructura.
  2. Instalación del IdP -ya sea instalándolo en su institución o accediéndolo mediante la nube- con el apoyo, experiencia y experticia de RedCLARA y de su socio tecnológico (y miembro), CEDIA (red académica ecuatoriana).
  3. La institución también puede decidir mantener su IdP en la nube, en modalidad SaaS (software como servicio). En este caso, la solución es Bridge IdP (que es por la que optó RedCONARE), que es un servicio RedCLARA y Cirrus Identity, como socio tecnológico.

El Bridge IdP es una solución alojada en la nube que ahorra a los clientes el tiempo y el esfuerzo necesarios para mantener un proveedor de identidades SAML compatible con las federaciones de identidad. RedCLARA y Cirrus Identity, uno de los dos asociados tecnológicos con quien se presta este servicio de puente (bridge), suman varios años de experiencia con las federaciones (FIEL, eduGAIN) y conocimiento técnico SAML, así logran ayudar a las instituciones a poner en marcha sus primeras integraciones rápidamente.

Implementación

Karla Quesada"Nuestro IdP ahora está enlazado con Azure, que está conectado a nuestro nuevo Active Directory, que muy pronto será nuestro servidor de autenticación oficial”, afirma Karla Quesada, técnico de la red de RedCONARE, quien recalca que “la integración con el Bridge IdP fue sencilla y directa. Ahora podemos integrar a la federación algunas de las aplicaciones con las que contamos”.

Para el administrador de Azure AD, existe una configuración sencilla en el portal del servicio que define nuevas aplicaciones web. Ésta depende del nivel de licenciamiento y solo se requieren unos pocos parámetros proporcionados por RedCLARA para ejecutarla, proceso que tarda aproximadamente 30 minutos.

Después de finalizada la configuración de Azure AD - RedCLARA y Cirrus Identity proporcionan documentación completa y paso a paso para ésta-, el IdP de RedCONARE pudo registrar el Bridge IdP como proveedor de identidades de la organización.

Así, una vez que los metadatos del IdP de RedCONARE estuvieron publicados en FIEL (Federación de Identidad de RedCLARA), el personal de RedCONARE pudo utilizar el acceso como cualquier otro miembro de la federación.

Una licencia básica para Azure AD habilita que los administradores usen herramientas familiares de Azure Portal para administrar su participación en las Federaciones de identidad. En el caso de CONARE, la licencia premier de Azure Active Directory permitió la personalización de los atributos del usuario que se entregan a la aserción SAML, y el control de acceso para usuarios autorizados a los servicios federados utilizando grupos de Active Directory.

 

Invisible para los usuarios

Y sí, esto es muy técnico, pero tiene la virtud de ser algo invisible para los usuarios, quienes sólo ven el cómo mejora su experiencia de acceso a los servicios, sin tener que ingresar su nombre de usuario y clave a cada instante.

La clave es que para los usuarios finales la integración es independiente. Un individuo puede comenzar el día iniciando sesión en Office365, en su pantalla de inicio tradicional (en este caso la que provee RedCONARE), esto abre el navegador del usuario, y, mientras esta sesión esté activa, el usuario podrá acceder a otras aplicaciones federadas sin tener que iniciar sesión una y otra vez.

Unos minutos después del inicio de sesión, se abre el acceso sin trabas a las aplicaciones federadas, muchas de ellas accesibles a través del Colaboratorio que CONARE ha implementado con la colaboración de RedCLARA.

La única diferencia con las aplicaciones federadas es la necesidad ocasional de elegir la institución proveedora del servicio desde una lista, pero esto en ningún caso llevará al usuario a volver a completar los campos de texto donde se ingresa el nombre de usuario y la contraseña, pues ese trabajo ya fue realizado por el IdP y la federación.

¿El resultado? Se ayuda al cumplimento de la misión de RedCONARE: “Proveer a la comunidad científica nacional de los medios para acceder y aprovechar las redes avanzadas y la colaboración científica con el resto del mundo”.

 

Pantalla que ven los usuarios al ingresar. Pantalla de configuración.

 

Sobre RedCONARE:

RedCONARE fue creada en 2009 por el Consejo de Rectores, con el fin de adscribirse a la Cooperación Latinoamericana de Redes Avanzadas, RedCLARA, y proveer a la comunidad científica nacional de los medios para acceder y aprovechar las redes avanzadas y la colaboración científica con el resto del mundo.

Para la ejecución de este proyecto, el Consejo de Rectores asignó la responsabilidad de la coordinación ejecutiva al Centro Nacional de Alta Tecnología (CeNAT), proyecto del CONARE que busca la vinculación de la academia, la industria y el gobierno en iniciativas de investigación científica, desarrollo tecnológico e innovación. Adicionalmente la coordinación técnica fue puesta en manos del Centro de Tecnologías de Información y Comunicación (CETIC) del CONARE.

 

Más información:

 

https://www.facebook.com/RedCONARE

@redconare

https://www.redclara.net/index.php/es/servicios-rc/federaciones-de-identidad