• Inicio
• Servicios
• Identidad digital
• Federación de identidades
• Reto SIR2 2018

Para cualquier aclaración o duda tenéis a vuestra disposición el buzón reto-sir2 @ rediris.es.

Se intentará responder lo antes posible, y se publicarán las respuestas en esta página para que todos los interesados puedan estar al tanto.

1. ¿Puede mi organización participar en SIR2?

Pueden todas las organizaciones que hayan finalizado al menos la fase 2 de migración a la nueva federación. Ello incluye a organizaciones que están aún configurando un proveedor de identidad SAML2.

También puede participar toda organización que tenga desplegado un Proveedor de Identidad SAML2 en SIR2, y acceda al panel antes de la finalización del plazo de cierre del concurso.

Hablamos en cualquier caso de organizaciones afiliadas a RedIRIS.

2. ¿Quién puede presentarse a la prueba?

El acceso al panel donde aparecen las puntuaciones está restringido a usuarios que presenten un determinado valor de eduPersonEntitlement.

Los usuarios que accedan al panel representarán mediante este entitlement a la organización a la que pertenecen.

3. ¿Pueden participar más de una misma persona de una organización?

La participación no es por personas, sino por institución.

4. ¿Puede mi organización participar si está aún en SIR, pero no en SIR2?

Sí, con muy poco esfuerzo. Para poder participar, es necesario al menos haber completado la fase 2 de migración a la nueva federación. Esto implica que la institución está trabajando, o ha finalizado el despliegue de un proveedor de identidad SAML2.

Queremos aclarar también que las instituciones con un proveedor de identidad PAPI, parten de una menor puntuación.

5. ¿Hay alguna manera de participar si aún no estoy en SIR2?

Sí, uniéndote a SIR2. Verdaderamente pensamos que cualquier institución afiliada a RedIRIS puede unirse a SIR2 (y de propina a la interfederación eduGAIN) con un esfuerzo relativamente bajo y en poco tiempo.

Aparte, puedes contar con nuestra ayuda para unirte. Escríbenos un mensaje a través del formulario de contacto y trataremos de ayudarte a unirte a nuestra federación.

6. ¿Cómo mejoro mi puntuación para un determinado criterio?

En este apartado recogemos información sobre cada criterio a nivel individual, explicando qué se puntúa en cada uno de ellos.

6.1.1 Pertenencia a SIR2

Este apartado valora principalmente que la institución ya se encuentra en SIR2 con un proveedor de identidad SAML2int.

Se valora también, aunque con menor puntuación, que haya superado al menos la fase 2 de migración, es decir, que ya se haya desconectado el proveedor de identidad PAPI del hub de SIR1, pasando las peticiones por SIR2. Aclarar que este es el nivel de entrada, que obtiene la menor puntuación. Si la institución no está en el hub de SIR2 no podrá participar en el concurso, pero que esto no te desanime... ¡estar dentro es muy fácil!

6.1.2 Pertenencia a eduGAIN como proveedores de identidad

Queremos promover la pertenencia a eduGAIN de las organizaciones ya en SIR, empezando por los proveedores de identidad. Puntuarán las organizaciones que estén en eduGAIN como proveedores de identidad.

6.1.4 Uso de servicios en la institución

Algunas instituciones hacen más uso de SIR y SIR2, en este criterio aplicamos la siguiente fórmula:

$${\mathit{puntuacion}}_{\mathit{apartado}}=\mathit{min}(30,\frac{(\mathit{Nº}\mathit{total}\mathit{de}\mathit{SPs}\mathit{accedidos}\mathit{en}\mathit{el}\mathit{último}\mathit{mes})}{\mathit{nº}\mathit{notal}\mathit{de}\mathit{proveedores}\mathit{de}\mathit{servicio}}\times 60)$$

Indicar que la puntuación individual máxima que puede llegar a obtenerse en este apartado es de 30 puntos, pero no deben extrañarnos puntuaciones bajas, ya que a determinados proveedores sólo se accede ocasionalmente, o no se acceden por todas las instituciones. Es decir, prácticamente ninguna institución llegará a los 30 puntos, pero sí que serán más puntuadas las instituciones que hagan un mayor uso de servicios.

La puntuación en este test se verificará de manera automática diariamente, desde el comienzo hasta la finalización del reto.

6.2.1 Emisión de todos los atributos recomendados en SIR2

Este apartado puntúa que se están enviando todos los atributos requeridos en SIR2. El primero de los dos proveedores de servicio para los que se solicita acceder, requerirá que se envíen todos los atributos recomendados, y comprobarán tanto la recepción, como que los valores recibidos no tienen ninguna incorrección. En caso de que falte, o no se envíe un valor correcto de alguno de los atributos, el proveedor de servicio mostrará un error avisando de ello, que podrá corregirse repitiendo la prueba.

6.2.2 Emisión correcta de atributos regulados por diccionario

Se comprueba que la institución no emite valores de atributos que sean incorrectos y se aparten de los contemplados.

6.2.3 Emisión correcta de eduPersonTargetedID

En este apartado se comparan los valores de atributos que deberían ser diferentes entre dos proveedores de servicio diferentes. Si son distintos, se obtiene la puntuación máxima. De lo contrario se obtienen 0 puntos.

6.2.4 Emisión/filtrado de atributos a un proveedor de servicio

El acceso a ambos proveedores de servicio deberá ser realizado por el mismo usuario. Sin embargo, los valores que deberán emitirse diferirán entre dichos servicios.

6.3.1 Configuración de TLS

La configuración TLS del IdP determinará la seguridad en las comunicaciones y la confianza del usuario en nuestro servicio. El mínimo imprescindible es que el certificado sea válido y de confianza en todas las plataformas y que no se pase por ningún enlace con HTTP.

La puntuación final se basa en el "SSL Server Test" de Qualys. Esta herramienta analiza todos los aspectos de la configuración TLS y otorga una puntuación, en base a los resultados obtenidos, que nosotros trasladamos a este apartado.

6.3.2 Uso de HTTP Strict Transport Security

HSTS (HTTP Strict Transport Security) impide que un usuario intente acceder por HTTP a nuestra web. Se considera, por tanto, imprescindible para garantizar el uso seguro del IdP. Estar en la lista "preload" da la máxima puntuación en este apartado, ya que garantiza que no habrá nunca una conexión HTTP a nuestro servicio.

6.3.3 Soporte de OCSP Stapling

Con OCSP Stapling se permite que el cliente pueda comprobar el estado del certificado sin los problemas asociados a las CRL y a OCSP (denegación de servicio, pérdida de privacidad, etc.). Otorga la máxima confianza a la conexión y se valora positivamente en este apartado.

6.3.4 Uso de certificados EV

Los certificados de Validación Extendida permiten que el usuario compruebe, de forma sencilla, que está conectando con su organización cuando accede al IdP. Ya no es necesario verificar el dominio DNS (en los navegadores que lo soportan) y evitan ataques de tipo phishing.

6.3.5 Características adicionales de seguridad

En este apartado se valora positivamente que no haya problemas en el acceso al IdP. Se comprueba que la página de autenticación no tenga contenido mixto (contenido cargado por HTTPS y contenido cargado por HTTP en la misma página) y que los puertos utilizados sean los estándares (es decir, el puerto 443 en todo momento).

6.4.1 El IdP es alcanzable mediante IPv6

En este reto no podía faltar una característica como IPv6 en el servidor web de la institución. Se comprueba tanto su existencia como que los contenidos son servidos correctamente usando IPv6.

6.4.2 Soporte de autenticación mediante certificados digitales

Las credenciales de acceso no han de ser necesariamente usuario y contraseña. Muchos IdPs tienen implementado el acceso mediante certificados X.509. La valoración de esta característica se realiza no es automática, se realiza de forma visual en el interfaz de acceso. Por tanto, pedimos a toda institución que tenga implementada esta característica en su IdP, y no se le haya valorado correctamente, que contacte a través del formulario de contacto.

6.4.3 Soporte de autenticación de múltiples factores

Como en el apartado anterior, determinados proveedores de identidad implementan autenticación de múltiples factores para determinados SPs. En caso de ser así, se ofrece la oportunidad de que desde RedIRIS se evalúe esta característica.

6.4.4 Interfaz web responsive en la página web de inicio de sesión

El uso de interfaces de usuario que se adapten a dispositivos móviles es una característica que valoramos positivamente. Para la comprobación, se ha inspeccionado visualmente la interfaz de acceso. Si una institución desea ser re-evaluada, tendrá que solicitarlo.