Avances en la migración a SIR2

miércoles, 31 de mayo de 2017 Comentarios desactivados

Ha pasado un tiempo desde que escribíamos el artículo describiendo las fases de migración a SIR2, desde entonces han ocurrido bastantes cosas: la nueva federación ya está en marcha con una nueva web con los detalles de la misma,  se ha escrito extensa documentación, hemos estado trabajando en el desarrollo e implantación de un nuevo perfil tecnológico para Cl@ve, y también desarrollando una serie de nuevos servicios de los que os hablaremos brevemente en este artículo.

Actualmente ya se ha completado la migración de 6 proveedores de identidad, proveedores que están funcionando con el perfil SAML2int.  Antes de aumentar el alta de IdPs queríamos por un lado realizar pruebas adicionales a las ya mencionadas de la «fase 0», y por otro llevar un cierto rodaje con el nuevo software del hub antes de extenderlo a más organizaciones. El estado de migración puede consultarse dentro del apartado correspondiente de la web de SIR2.

Es en 2017 cuando estamos aumentando el ritmo de la migración, contactando con nuevas instituciones para que inicien el proceso. Actualmente se encuentran en fase 3 (descontando a las mencionadas 6 instituciones ya finalizadas) 13 organizaciones, en la fase 2 hay 7 organizaciones, y en la fase 1, contabilizamos a 57 organizaciones. En la fase 0, es decir, sin haber comenzado aún la migración, se encuentran en el momento de escribir este artículo 52 organizaciones, pero serán menos cuando leas estas líneas.

Queremos mejorar el ritmo de incorporación para llegar a la fase 3 con todas las organizaciones cuanto antes. Pensando en intentar ofrecer mayor y mejor soporte – no sólo a instituciones migrando su IdP, también a nuevas que quieran incorporarse–, estamos estudiando la manera de poner más medios en el soporte que ofrecemos actualmente, mejorar el software de instalación del IdP de referencia, y también facilitar un appliance virtual que estamos probando actualmente con un conjunto pequeño de instituciones.

Nuestra prioridad más inmediata es completar la migración a SIR2 de IdPs pertenecientes a instituciones que están en eduGAIN en SIR1, el plan es finalizar antes del verano de 2017, pues para entonces queremos que la salida hacia eduGAIN sea única y exclusivamente a través de la nueva federación. Dentro de unos días enviaremos una encuesta que esperamos nos ayude a entender mejor las preferencias de soporte de todas las instituciones afiliadas a RedIRIS, no sólo de aquellas que ya están en SIR/SIR2, sino también de las que aún no lo están y quisieran recibir ayuda. Esperamos vuestra colaboración en dicha encuesta. A todos los que habéis estado o estáis trabajando en la migración, queremos agradeceros vuestra paciencia, vuestras preguntas, e incluso sugerencias y mejoras propuestas. Gracias a vosotros estamos allanando el camino a las instituciones que aún quedan por migrar, y de las nuevas que quieran incorporarse como IdPs en la federación.

 

Ventajas de la nueva federación

 

Las ventajas de pasarse a la nueva federación comenzarán a verse inmediatamente.

Por un lado, la nueva recomendación de atributos nos hace ser más compatibles con un gran número de servicios disponibles a través de eduGAIN, servicios que van aumentando en número a diario. A partir del cambio mencionado a la nueva federación, se incrementará el número de estos servicios disponibles en nuestra federación.

El acceso a nuevos proveedores servicios, como el portal de aprovisionamiento de Office365 para universidades, actualmente en fase de piloto, va a usar la nueva federación también. A día de hoy ya se está haciendo uso del nuevo hub para acceder a Office365.

En SIR2 se añadirán a partir de ahora todas las nuevas herramientas que está preparando RedIRIS, como  la nueva plataforma del servicio de monitorización, el acceso federado a nuevas herramientas para intercambio de archivos y monitorización de red, el acceso con credenciales propias a la cuarentena de correo de Lavadora, y un largo etcétera que esperamos iros desvelando a lo largo de este año.

La conexión de aplicaciones móviles, o aplicaciones OpenID Connect, está también en el radar de proyectos en los que estamos trabajando en este momento, y a medio plazo ofrecerán nuevas posibilidades de federación.

Por todas estas ventajas, no queremos dejar de animaros a poner vuestro esfuerzo en realizar la migración cuanto antes.

Categories: SIR 2 Tags: , ,

Nueva edición del tutorial «Uniéndose a SIR2» durante las JT2015

martes, 10 de noviembre de 2015 Comentarios desactivados

Tanto para aquellos que no pudieron asistir al tutorial «Uniéndose a SIR2» organizado la pasada primavera, como para aquellos que quieran avanzar en la instalación del que será su nuevo IdP SAML2int en SIR2, vamos a realizar una nueva edición de dicha sesión de formación, en la que contaremos de nuevo con la ayuda de compañeros de las universidades de Córdoba, Murcia, Málaga y Politécnica de Valencia.

La formación se desarrollará el lunes 23 de noviembre por la mañana, en la sala multiusos del Auditorio de Tenerife Adán Martín. Al día siguiente, 24 de noviembre, tendremos por la mañana la presentación sobre actualidad del Servicio de Identidad de RedIRIS, dentro de la sesión «Servicios de RedIRIS».

El contenido del tutorial no variará, si bien hemos corregido determinadas partes del mismo, y para la parte práctica queremos utilizar ya la infraestructura de SIR2, inclusive los SPs de pruebas de la misma. Repetimos de nuevo la lista de módulos del tutorial:

  1. Introducción a la federación de identidades
  2. El proveedor de identidad
  3. Proveedores de Servicio
  4. Atributos
  5. “Burocracia” para unirse a SIR2
  6. Interfederación: eduGAIN

Para la asistencia al tutorial se recomienda llevar:

  • Ordenador portátil
  • Navegador Firefox, con extensión SAMLTracer instalada
  • Cliente SSH

En esta ocasión disponemos de una sala grande, con sillas de tablero. Aunque se distribuirán enchufes por la sala, recomendamos a los asistentes que lleven su portátil con las baterías cargadas.

Si estás interesado en asistir al curso, la Persona de Enlace con RedIRIS (PER) que cursa tu inscripción a los Grupos de Trabajo y/o Jornadas Técnicas, debe marcar en el formulario de inscripción, que asistirás el lunes, 23 de noviembre.
Categories: SIR 2 Tags:

Fases de migración a SIR2

lunes, 5 de octubre de 2015 Comentarios desactivados

SP de pruebas SAML2 en SIR2Dos preguntas recurrentes de cara a la migración a SIR2 de los Proveedores de Identidad actuales en la federación SIR (por diferenciar a la actual federación de la nueva, la llamaremos SIR1), son cuándo va a comenzar esta, y cuándo tendrá cada organización que actualizar su proveedor de identidad. En este breve artículo tratamos de describir el estado actual y explicar cómo será la migración.

Primero de todo quisiera aclarar en qué momento nos encontramos de la migración. Actualmente tenemos preparado un entorno que denominamos de validación, en el cual se encuentran probando, o están a punto de probar su conexión distintos grupos de organizaciones. La idea durante esta «pre-fase» o fase 0, es comprobar que la conexión de IdPs actuales PAPI al nuevo hub de SIR2 se realizará correctamente. Para esto hemos elegido diversos sabores del software instalado para realizar conexiones a los que serán los nuevos proveedores de servicio de pruebas en SIR2. También queremos comprobar en esta fase que además de estos proveedores de identidad PAPI, pueden convivir en el mismo hub y acceder de manera equivalente los proveedores de identidad con capacidad SAML2int existentes, que usan distintas implementaciones de SAML. Entre estos está el software de IdP de referencia, SimpleSAMLphp.

Dar fechas exactas del comienzo de la migración no es algo trivial, pues las pruebas a realizar son exhaustivas, y pudieran provocar retrasos adicionales, pero nuestra intención sería comenzar con la fase 1 de migración en las próximas semanas, o meses a lo sumo.

Respecto a la segunda pregunta que introducíamos al comienzo, hemos dividido el proceso de migración en 5 fases, donde las instituciones tendrán que implicarse en la migración de sus IdPs en las fases 1 a 3, especialmente durante la fase 3 que es la que implica actualizar el software de su IdP:
  • fase 1. Se conectarán todos los IdPs PAPI actuales de SIR1 al nuevo hub de SIR2 en su entorno de pruebas, sin perder en ningún momento la conexión existente a SIR1. El administrador de cada organización realizará pruebas de conexión al SP de pruebas PAPI en SIR2. Estas pruebas tienen como objetivo validar que los atributos que envía a dicho SP se corresponden con los que se envían actualmente en SIR1.
  • fase 2. Una vez realizadas las pruebas anteriores, el IdP PAPI en SIR1 se conecta con la entrada WAYFless del IdP PAPI en el entorno de producción de SIR2. De este modo, SIR2 comienza a funcionar, si bien inicialmente con los mismos IdPs PAPI que en SIR1, y utilizando el WAYF y pasarelas de SIR1, hacia SPs conectados también a SIR1.
  • fase 3. Seguidamente, las instituciones instalarán el software de IdP SAML2int, que sustituirá al componente PAPI que tenían desplegado hasta el momento. Todas las pruebas pertinentes se realizarán en el entorno de pruebas de SIR2, comprobando que el comportamiento del que será el nuevo IdP es equivalente al de su IdP PAPI.
  • fase 4. Los SPs conectados a SIR1 se irán migrando paulatinamente a SIR2. En el caso de todos los accesos de estos SPs, se utilizará al completo la federación SIR2. Esta fase puede solaparse sin problemas con la tercera en el tiempo.
  • fase 5. Por último, una vez se hayan desconectado todos los SPs de SIR1, se procederá al “apagado” de la antigua federación.

Aclarar que cada institución pasará por estas fases de manera independiente, por lo que en cada momento habrá instituciones en distintas fases. Indicar también que la fase 4, que implica la migración de SPs de SIR1 a SIR2, puede dar comienzo en paralelo a la fase 3.

Todas estas fases quedarán recogidas en una guía de migración de IdPs que estamos preparando, en la que se recogerá también una estimación del tiempo de duración de cada fase. Para la fase 3, estamos preparando también una guía de instalación del IdP de referencia, que anunciaremos en las próximas semanas.

En un próximo artículo, haré una comparación de los atributos en uso en SIR1, y los que se recomiendan en la nueva federación SIR2, incidiendo sobre cómo han de calcularse, su significado, y el uso dentro de la federación de los mismos.

Categories: Información general Tags:

Tutorial durante los GT2015: «Uniéndose a SIR2»

martes, 12 de mayo de 2015 Comentarios desactivados

El 11 de junio de 2015 se celebrará, en horario de 9:30 a 14:00, un tutorial –o manos en la masa, como nos gusta llamarlo–, que tiene como objetivo explicar las novedades de SIR2, así como la realización de distintos ejercicios prácticos donde se pondrá especial énfasis en la instalación del software usado como IdP de Referencia, SimpleSAMLphp.

El tutorial se dividirá en los siguientes módulos:

  1. Introducción a la federación de identidades
  2. El proveedor de identidad
  3. Proveedores de Servicio
  4. Atributos
  5. “Burocracia” para unirse a SIR2
  6. Interfederación: eduGAIN

El tutorial tendrá un número de plazas limitado, que se asignarán por orden de registro en los grupos de trabajo, limitando a un máximo de dos personas por organización. Con antelación a la fecha de cierre del registro se confirmará la obtención de plaza, o si por el contrario la persona está en lista de espera.

Para la parte práctica, será necesario llevar un ordenador portátil o similar, con un cliente SSH instalado que se utilizará para conectarse a una máquina donde se realizarán las prácticas.

Para aquellas personas que prefieran trabajar sobre su propia máquina, se proporcionará una máquina virtual en la que se podrán realizar las mismas prácticas.

Este tutorial será impartido por miembros del Consejo Asesor de SIR, pertenecientes a las universidades de Murcia, Politècnica de Valencia, y Córdoba, así como por personal de RedIRIS.

Categories: Información general, SIR 2 Tags:

Videosesión TECNIRIS-40: Introducción a SimpleSAMLphp

miércoles, 29 de abril de 2015 Comentarios desactivados

Colgamos aquí la grabación de la videosesión TECNIRIS-40, en la que Jaime Pérez nos hizo una introducción a SimpleSAMLphp, el software elegido como IdP de referencia en SIR2.

Vídeo:

Presentación:


 

Enlaces: