Procedimiento de acceso para proveedores de servicio externalizados

Pasos para adherir a SIR2 un SP externalizado


Este documento recoge el caso más genérico de un servicio adheriéndose a SIR2 de cara a estar disponible únicamente para una organización (o un grupo de organizaciones) actuando como IdP.

Si desea unir un proveedor de servicio externalizado a la federación SIR2, por favor, lea detenidamente este procedimiento y siga los pasos descritos a continuación:

  1. En primer lugar deberá contactar con nosotros para indicarnos que quiere adherirse a la iniciativa, así como determinar el protocolo que desea utilizar, siendo actualmente SAML2 la recomendación.
    La elección del software con el que se implementa la conexión, está determinada por el protocolo, pero la recomendación general es la de utilizar siempre que sea posible implementaciones bien mantenidas, que implementen la mayoría de características (especialmente las relacionadas con seguridad) por sí mismas. En general, es preferible hacer uso de una implementación que permita una actualización de manera independiente a la aplicación que se desea federar para ofrecer el servicio.
    En este punto deberá decidirse si el proveedor realizará el descubrimiento por sus propios medios, si desea conectar con todos los proveedores de identidad en la federación, o si por el contrario (y es elegible) desea utilizar el servicio de descubrimiento a la carta ofrecido desde el servicio.
  2. La organización solicitante deberá configurar correctamente su proveedor de servicio, para lo cual tendrá que configurar los metadatos oportunos proporcionados por los operadores de federación, según la modalidad de conexión con los IdPs que forman parte de la federación.
  3. El responsable del nuevo proveedor, deberá a su vez proporcionar a los operadores de federación:
    • Los metadatos del proveedor, que incluirán los certificados necesarios para la protección de la comunicación, y las direcciones a las cuales se enviarán las respuestas, que deberán estar convenientemente protegidas por HTTPS
    • El listado de atributos que desea recibir de la federación (si no está incluido en dichos metadatos)
  4. RedIRIS configurará el proveedor de servicio en el entorno de pruebas, y la institución deberá realizar una prueba de conexión, pudiéndose proporcionar una cuenta de pruebas si fuese necesario.

  5. Una vez que todo esté correcto, la organización deberá validar su solicitud de pertenencia a la federación SIR2 rellenando un documento de aceptación de condiciones de uso, siguiendo los pasos que se le indicarán. Entre otros datos, este documento recogerá información técnica del proveedor, así como de los contactos técnicos y operativos. También incluye la solicitud de pertenencia a la interfederación eduGAIN.

    A continuación se incluye una muestra del documento de condiciones de uso que se pedirá rellenar:

  6. Validada la solicitud, RedIRIS configurará el proveedor de servicio en el entorno de producción y notificará de ello a los contactos consignados en dicha solicitud.

    Los metadatos de las instituciones adheridas serán incorporados como mínimo al conjunto global de SPs de la federación, con posibilidad además de ser incluidos en otros conjuntos si se requiriese. Es posible también que la organización desee la activación de determinados servicios o pasarelas; en tal caso, invitamos a los administradores de la organización a solicitar dicha activación en el documento.