• Servicios
• Servicio de Federación de Identidades de RedIRIS
• Federación SIR2

Este documento recoge el caso más genérico de un servicio adheriéndose a eduGAIN, que se asimila al caso de la adhesión de un proveedor de servicio a SIR2.

Si desea unir un proveedor de servicio a eduGAIN, ofrecida desde el Servicio de Federación Identidades de RedIRIS, por favor, lea detenidamente este procedimiento y siga los pasos descritos a continuación:

1. En primer lugar deberá contactar con nosotros para indicarnos que quiere adherirse a eduGAIN, siendo actualmente SAML2 el protocolo que deberá ser usado.
   
   Aunque la parte administrativa se deja para el final, es conveniente la lectura del documento de condiciones de uso (más abajo en la presente página), así como de la política de la federación SIR2 y la Declaración de prácticas del registro de metadatos, que pueden encontrarse en la sección política de este sitio web.
   
   La elección del software con el que se implementa la conexión, que viene determinada por el protocolo, donde la recomendación general es la de utilizar, siempre que sea posible, implementaciones bien mantenidas, que implementen la mayoría de características (especialmente las relacionadas con seguridad) por sí mismas. En general, es preferible hacer uso de una implementación que permita una actualización de manera independiente a la aplicación que se desea federar para ofrecer el servicio.
   
   Deberá decidirse también si el proveedor realizará el descubrimiento por sus propios medios, o empleando algún servicio de descubrimiento externo, tales como:
   • El servicio de descubrimiento a la carta ofrecido desde el servicio de identidad de RedIRIS a instituciones afiliadas.
   • El descubrimiento ofrecido desde la iniciativa seamless access.
   
   En este punto es necesario también decidir con qué proveedores de identidad estará conectado el servicio. Pueden ser un conjunto reducido de proveedores (o incluso proveedores individuales, si el servicio implementa algún mecanismo de Tenancia múltiple), pueden ser todos, o puede ser un subconjunto que reuna algún tipo de filtrado, generalmente basado en Entity Categories.

2. La organización solicitante deberá configurar correctamente su proveedor de servicio, para lo que tendrá que hacer uso de los metadatos SAML2 proporcionados por los operadores de federación, según la modalidad de conexión con los IdPs que haya determinado.

   Es requisito que el proveedor de servicio se encuentre accesible públicamente, haciendo uso de DNSs públicos, y con el puerto de servicio HTTPS desfiltrado.

3. El responsable del nuevo proveedor, deberá a su vez proporcionar a los operadores de federación:
   
   • Los metadatos SAML2 del proveedor, que incluirán los certificados necesarios para la protección de la comunicación, y las direcciones (end-points) a las cuales se enviarán las respuestas, que deberán estar convenientemente protegidas por HTTPS
   • El listado de atributos que desea recibir de la federación (si no está incluido en dichos metadatos)

4. RedIRIS configurará el proveedor de servicio en el entorno de pruebas, y la institución deberá realizar una prueba de conexión, pudiéndose proporcionar una cuenta de pruebas, en un proveedor de identidad bajo el control del equipo de operación de federación, si fuese necesario.

5. Una vez que todo esté correcto, la organización deberá validar su solicitud de pertenencia a eduGAIN rellenando un documento de aceptación de condiciones de uso (que es el mismo para proveedores de servicio SIR2), siguiendo los pasos que se le indicarán.

   Entre otros datos, este documento recogerá información técnica del proveedor, así como de los contactos técnicos y operativos. También incluye la solicitud de pertenencia a la interfederación eduGAIN, que deberá estar macada siempre.

   Es importante, de cara a los proveedores de servicio, especificar a qué Entity Categories se acogerá el servicio, así como los atributos que requerirá se envíen al proveedor.

   Aunque la participación en el marco de seguridad SIRTFI es opcional, recomendamos a los proveedores que se adhieran a dicho marco, teniendo en cuenta las obligaciones a las que se comprometen con dicha adhesión.

   A continuación se incluye una muestra del documento de condiciones de uso que se pedirá rellenar:

6. Validada la solicitud, RedIRIS registrará el proveedor de servicio en el eduGAIN, y notificará de ello a los contactos consignados en dicha solicitud.

   Al margen de este registro, el proveedor deberá esperar unas 24-48h a que los metadatos se propaguen a las distintas federaciones y proveedores de servicio a nivel internacional.