Casos e Vozes
- María José López Pourailly
RedCONARE se une a federações através do Bridge IdP
A experiência de configurar o próprio provedor de identidade, conectado a seu Diretório Ativo e sem a necessidade de instalações adicionais, abriu as portas dos serviços federados para a rede acadêmica da Costa Rica e de experiências de acesso a serviços sem barreiras e com maior facilidade e conveniência de uso para seus usuários.
A RedCONARE foi fundada em 2009 pelo Conselho Nacional de Reitores (CONARE) da Costa RICA, a fim de se filiar à RedCLARA e fornecer à comunidade científica do país os meios para ter acesso às redes avançadas e à colaboração científica com o resto do mundo.
Juntamente com a interconexão da Universidade Nacional da Costa Rica (UCR), da Universidade Tecnológica da Costa Rica (TEC), da Universidade da Costa Rica (UCR), da Universidade Estadual de Distância (UNED) e da Universidade Técnica Nacional (UTN) e de conectá-las às redes acadêmicas do mundo por meio da RedCLARA, a RedCONARE fornece serviços como eduroam, Colaboratorio e transferência de dados para pesquisa.
Mas quando se trata de fornecer acesso aos serviços online mais avançados para incentivar a colaboração científica e aprimorar o progresso e o desenvolvimento da pesquisa científico-acadêmica e tecnológica, contar com um Provedor de Identidade (IdP) que comprova que cada usuário é quem deve ser e forneça acesso aos vários recursos é crucial. E isso requer necessariamente a participação de uma Federação de Identidade. É aqui que a Rede Nacional de Educação e Pesquisa costarriquenha identificou os desafios que tinha que enfrentar sem demora:
- Fornecer acesso, através da FIEL (Federação de Identidade de RedCLARA), aos serviços federados das redes acadêmicas, criando seu próprio IdP.
- Manter uma autenticação única, baseada no Diretório Ativo de Azure (Azure AD: serviço de identidade comercial que fornece login único e autenticação multifator).
- Fazer as duas coisas rapidamente e sem aumentar o número de sistemas que operam internamente.
A RedCONARE investiu na consolidação da gestão de identidade e do acesso aos serviços por meio do serviço Microsoft Azure AD e, embora tenha dado bons resultados, a necessidade de manter seu IdP com base nesse sistema de autenticação tornou-se cada vez mais necessária. CONARE e a RedCONARE reconhecem que o acesso aos serviços oferecidos pelas Federações de Identidade é necessário para dar suporte à colaboração, e o suporte do Azure AD à integração SAML (Security Assertion Markup Language – linguagem do mercado para Confirmações de Segurança) não fornece a capacidade técnica necessária para participar diretamente como um IdP.
Assim, buscando uma solução que fechasse a lacuna do Azure AD e das Federações de Identidade, a RedCONARE encontrou a solução usando o Bridge IdP.
Aqui, devemos fazer uma pausa para lembrar que as Federações de Identidade podem ser acessadas através da RedCLARA nas seguintes modalidades:
- Instalação da própria instituição, geralmente em sua própria infraestrutura.
- Instalação do IdP - esteja instalado em sua instituição ou acessado através da nuvem - com o apoio, a experiência e os conhecimentos da RedCLARA e de seu parceiro de tecnologia (e membro), CEDIA (rede acadêmica equatoriana).
- A instituição também pode decidir manter seu IdP na nuvem, no modo SaaS (software como serviço). Nesse caso, a solução é o Bridge IdP (que foi escolhido pela RedCONARE), que é um serviço de RedCLARA e Cirrus Identity, como parceiro de tecnologia.
O Bridge IdP é uma solução hospedada na nuvem que economiza tempo e esforço necessários para manter um provedor de identidade SAML compatível com federações de identidade. A RedCLARA e a Cirrus Identity, um dos dois parceiros tecnológicos com os quais esse serviço de ponte é fornecido, somam vários anos de experiência com o conhecimento técnico das federações (FIEL, eduGAIN) e SAML, conseguindo assim ajudar as instituições a realizar suas primeiras integrações rapidamente.
Implementação
"Nosso IdP agora está vinculado ao Azure, que está conectado ao nosso novo Diretório Ativo, que em breve será nosso servidor de autenticação oficial", diz Karla Quesada, técnica de rede RedCONARE, que enfatiza que a "integração com o Bridge IdP" foi simples e direta. Agora podemos integrar alguns dos aplicativos que temos com a federação ".
Para o administrador do Azure AD, há uma configuração simples no portal do serviço que define novos aplicativos da web. Isso depende do nível de licenciamento e apenas alguns parâmetros fornecidos pela RedCLARA são necessários para executá-lo, um processo que leva aproximadamente 30 minutos.
Após a conclusão da configuração do Azure AD - RedCLARA e Cirrus Identity fornecem documentação completa e um passo a passo para isso; o IdP da RedCONARE pode registrar o Bridge IdP como o provedor de identidade da organização.
Assim, uma vez que os metadados do IdP da RedCONARE fossem publicados no FIEL (Federação de Identidade de RedCLARA), a equipe da RedCONARE pode usar o acesso como qualquer outro membro da federação.
Uma licença básica para o Azure AD permite que os administradores usem ferramentas familiares do Portal do Azure para gerenciar sua participação nas Federações de Identidade. No caso do CONARE, a principal licença do Azure Active Directory permitiu a personalização dos atributos do usuário entregues à asserção SAML e o controle de acesso de usuários autorizados a serviços federados usando grupos do Diretório.
Invisível para os usuários
E sim, isso é muito técnico, mas tem a virtude de ser algo invisível para os usuários, que apenas veem como isso melhora sua experiência de acesso aos serviços, sem precisar digitar seu nome de usuário e senha a todo momento.
A diferença é que, para os usuários finais, a integração é independente. Um indivíduo pode começar o dia fazendo login no Office365, na tela inicial tradicional (neste caso, a fornecida pela RedCONARE), isso abre o navegador do usuário e, enquanto esta sessão está ativa, o usuário pode acessar outros aplicativos federados sem ter que fazer login novamente.
Alguns minutos após o login, é aberto o acesso irrestrito a aplicativos federados, muitos deles acessíveis através do Colaboratorio que o CONARE implementou com a colaboração da RedCLARA.
A única diferença com aplicativos federados é a necessidade ocasional de escolher a instituição que fornece o serviço em uma lista, mas isso nunca levará o usuário a preencher novamente os campos de texto nos quais o nome de usuário e a senha são inseridos, porque esse trabalho já foi realizado pelo IdP e pela federação.
O resultado? A ajuda para o cumprimento da missão da RedCONARE: “Fornecer à comunidade científica nacional os meios para acessar e tirar proveito de redes avançadas e colaboração científica com o resto do mundo”.
 |
 |
| Tela que os usuários veem ao entrar. | Tela de configuração. |
Sobre RedCONARE:
A RedCONARE foi criada em 2009 pelo Conselho de Reitores, para ingressar na Cooperação Latino-Americana de Redes Avançadas, RedCLARA, e fornecer à comunidade científica da Costa Rica os meios para acessar e fazer bom uso das redes avançadas e da colaboração científica com os demais países do mundo.
Para a execução deste projeto, o Conselho de Reitores atribuiu a responsabilidade pela coordenação executiva ao Centro Nacional de Alta Tecnologia (CeNAT), um projeto do CONARE que busca vincular a academia, a indústria e o governo em iniciativas de pesquisa científica, Desenvolvimento tecnológico e inovação. Além disso, a coordenação técnica foi colocada nas mãos do Centro de Tecnologias da Informação e Comunicação (CETIC) do CONARE.
Mais informação:
https://www.facebook.com/RedCONARE
@redconare
https://www.redclara.net/index.php/es/servicios-rc/federaciones-de-identidad
