« Anterior - Versión 4/14 (diff) - Siguiente » - Versión actual
Emilio Penna, Jueves, 7 de Enero de 2016 12:44:01 -0300


Introducción

El proveedor de identidad (IdP) de la Udelar brinda un servicio de autenticación web y SSO, basado en SAML 2.0. Se utiliza el "Web Browser SSO Profile" de SAML, con bindings HTTP Redirect (pedido) y HTTP POST (repsuesta). El IdP está implementado utilizando Shibboleth IdP.

Diagrama básico de interacción:

Shibboleth wiki

  1. El usuario intenta acceder a una aplicación o recurso protegido (que requiere autenticación) en el SP (Service Provider).
  2. El SP redirige al usuario al IdP, en la redirección incluye un pedido de autenticación.
  3. El usuario se autentica en el IdP.
  4. Si la autenticación es exitosa, el IdP redirige al usuario al SP. En esta redirección se incluye un token SAML que contiene datos de la autenticación y algunos atributos del usuario.
  5. En el SP se recibe el token SAML, se chequea su validez, y se permite el acceso al recurso.
  6. El usuario accede al recurso deseado.

Material introductorio:

https://www.pingidentity.com/en/resources/videos/saml-101.html
https://shibboleth.net/about/basic.html

Referencias:

Introducción a Shibboleth:

Shibboleth is among the world's most widely deployed federated identity solutions, connecting users to applications both within and between organizations. Every software component of the Shibboleth system is free and open source.

Shibboleth concepts: https://wiki.shibboleth.net/confluence/display/CONCEPT/Home

Referencias:

presentacion-idm-sp-23abril2015.odp - Presentacion en SeCIU para SP. (272,2 KB) Emilio Penna, Lunes, 14 de Marzo de 2016 16:04:55 -0300