• Inicio
• Servicios
• SIR
• Guía solicitud proveedor de identidad

Para participar con un proveedor de identidad en el SIR es necesario seguir los siguientes pasos:

1. Instalar un conector para el sistema local de identidad que soporte el protocolo PAPI v.1.
   Existen diferentes opciones para ello, que el equipo de desarrollo de PAPI ha ido poniendo a punto. Actualmente se han desplegado ya conectores para:
   
   • AuthServer PAPI
   • Shibboleth
   • Sun AccessManager
   • A-Select
   • CAS
   • OSSO
   • Apache mod_ldap
   • Active Directory
   • Proxy WAM
   En general, cualquier método de control de acceso utilizable desde un navegador Web es susceptible de ser conectado con muy poco esfuerzo. Por favor, pongase en contacto con nosotros para analizar su caso.
   Este conector es lo que llamaremos Proveedor de Identidad (IdP) en el resto de este documento.
    
2. Configurar adecuadamente dicho conector, generando un par de claves, pública y privada, además de establecer un identificador único (una cadena que se recomienda esté asociada al dominio operado por la institución) para el IdP. De esta forma, se comunicará a RedIRIS la clave pública (en formato PEM), el identificador único y el URL en el que el IdP va ser accesible.
   Para generar el par de claves pueden usarse los siguientes comandos OpenSSL:
   

   $ openssl genrsa 2048 > clavePrivada.pem
   $ openssl rsa -pubout < clavePrivada.pem > clavePublica.pem

3. Desplegar el IdP con los datos del punto 2 y emplear las facilidades de prueba para verificar la transmisión correcta de los atributos. SIR ofrece el proveedor de servicio SIRdemo que presenta los datos transmitidos en una página Web disponible en:
   

   http://www.rediris.es/app/sirdemo/

4. RedIRIS recomienda el intercambio de los siguientes atributos, identificados por el nombre abreviado que debe usarse en las aserciones PAPI v.1 enviadas al SIR:
   • ePTI (eduPersonTargetedID)
   • ePA (eduPersonAffiliation)
   • sHO (schacHomeOrganization)
   • ePE (eduPersonEntitlement)
   • sPUC (schacPersonalUniqueCode): atributo cuyo valor incluye un hash de la dirección de correo electrónico del usuario.
   • uid (uid): atributo utilizado para identificar al usuario y es necesario si se quiere habilitar identificador openID desde el proveedor de identidad. [ Opcional ]
   • mail (mail): el correo electrónico del usuario. Algunos proveedores de servicio pueden requerirlo para proporcionar funcionalidades extra a los usuarios o incluso para garantizar el acceso. [ Opcional ]
   En el caso de que un atributo tenga más de un valor los separaremos mediante la barra vertical '|':
   

   ePE=urn:mace:dir:entitlement:common-lib-terms|urn:mace:rediris.es:entitlement:scs:req

   Consideremos el usuario Diego López, que trabaja para RedIRIS y que tiene derecho de acceso a proveedores bibliograficos de acuerdo con los "common library terms" acordados con la mayoria de los proveedores comerciales. La asercion PAPI v.1 que un IdP en RedIRIS deberia mandar al SIR contendria los siguientes valores:
   

   ePTI=1a3772027851548841e569e0b9f3eac1,ePA=staff,sHO=rediris.es,ePE=urn:mace:dir:entitlement:common-lib-terms,uid=diego.lopez,sPUC=urn:mace:terena.org:schac:personalUniqueCode:es:rediris:sir:mbid:{md5}d2f8ff92a3c50a966e007ee56dfd569b

   Es importante notar que, dado que eduPersonTargetedID es un atributo orientado a preservar la privacidad del usuario y, por tanto, opaco, se ha usado en este ejemplo el hash MD5 del nombre "Diego Lopez".
   Las instituciones participantes son libres de restringir estos atributos de acuerdo con los requisitos de privacidad de sus usuarios, aunque esto puede llevar aparejado la imposibilidad de acceder a algunos proveedores de servicio.
    
5. Una vez realizadas las pruebas con resultados válidos, el responsable del IdP debe hacer llegar a RedIRIS el documento de Condiciones de Uso del SIR para IdPs adecuadamente cumplimentado. Estos documentos se harán llegar por fax al número 95 505 66 27 a la atención de Cándido Rodríguez.
   Antes de enviar dicho documento por fax, debe ser validado por el PER de la institución. Para ello, tanto el solicitante como el PER deben firmar en todas, salvo que ambos sean la misma persona, en cuyo caso sólo se firmarán todas las hojas una sola vez.
   El documento de Condiciones de Uso require incluir el hash SHA-1 de la clave pública del IdP que se registre. Para obtener un hash SHA-1 puede usarse el siguiente comando OpenSSL:
   

   $ openssl sha1 clavePublica.pem

   Una vez validado el documento recibido, el equipo técnico del SIR se pondrá en contacto con el solicitante para obtener la clave pública en formato PEM del IdP.
    
6. El equipo técnico del SIR procederá a la instalación del nuevo IdP dentro del esquema de federación, y comunicará a los responsables su disponibilidad a través del interface de usuario del servicio.