Planeta RedIRIS

Dos preguntas recurrentes de cara a la migración a SIR2 de los Proveedores de Identidad actuales en la federación SIR (por diferenciar a la actual federación de la nueva, la llamaremos SIR1), son cuándo va a comenzar esta, y cuándo tendrá cada organización que actualizar su proveedor de identidad. En este breve artículo tratamos de describir el estado actual y explicar cómo será la migración.

Primero de todo quisiera aclarar en qué momento nos encontramos de la migración. Actualmente tenemos preparado un entorno que denominamos de validación, en el cual se encuentran probando, o están a punto de probar su conexión distintos grupos de organizaciones. La idea durante esta «pre-fase» o fase 0, es comprobar que la conexión de IdPs actuales PAPI al nuevo hub de SIR2 se realizará correctamente. Para esto hemos elegido diversos sabores del software instalado para realizar conexiones a los que serán los nuevos proveedores de servicio de pruebas en SIR2. También queremos comprobar en esta fase que además de estos proveedores de identidad PAPI, pueden convivir en el mismo hub y acceder de manera equivalente los proveedores de identidad con capacidad SAML2int existentes, que usan distintas implementaciones de SAML. Entre estos está el software de IdP de referencia, SimpleSAMLphp.

Dar fechas exactas del comienzo de la migración no es algo trivial, pues las pruebas a realizar son exhaustivas, y pudieran provocar retrasos adicionales, pero nuestra intención sería comenzar con la fase 1 de migración en las próximas semanas, o meses a lo sumo.

• fase 1. Se conectarán todos los IdPs PAPI actuales de SIR1 al nuevo hub de SIR2 en su entorno de pruebas, sin perder en ningún momento la conexión existente a SIR1. El administrador de cada organización realizará pruebas de conexión al SP de pruebas PAPI en SIR2. Estas pruebas tienen como objetivo validar que los atributos que envía a dicho SP se corresponden con los que se envían actualmente en SIR1.

• fase 2. Una vez realizadas las pruebas anteriores, el IdP PAPI en SIR1 se conecta con la entrada WAYFless del IdP PAPI en el entorno de producción de SIR2. De este modo, SIR2 comienza a funcionar, si bien inicialmente con los mismos IdPs PAPI que en SIR1, y utilizando el WAYF y pasarelas de SIR1, hacia SPs conectados también a SIR1.

• fase 3. Seguidamente, las instituciones instalarán el software de IdP SAML2int, que sustituirá al componente PAPI que tenían desplegado hasta el momento. Todas las pruebas pertinentes se realizarán en el entorno de pruebas de SIR2, comprobando que el comportamiento del que será el nuevo IdP es equivalente al de su IdP PAPI.

• fase 4. Los SPs conectados a SIR1 se irán migrando paulatinamente a SIR2. En el caso de todos los accesos de estos SPs, se utilizará al completo la federación SIR2. Esta fase puede solaparse sin problemas con la tercera en el tiempo.

• fase 5. Por último, una vez se hayan desconectado todos los SPs de SIR1, se procederá al “apagado” de la antigua federación.

Aclarar que cada institución pasará por estas fases de manera independiente, por lo que en cada momento habrá instituciones en distintas fases. Indicar también que la fase 4, que implica la migración de SPs de SIR1 a SIR2, puede dar comienzo en paralelo a la fase 3.

Todas estas fases quedarán recogidas en una guía de migración de IdPs que estamos preparando, en la que se recogerá también una estimación del tiempo de duración de cada fase. Para la fase 3, estamos preparando también una guía de instalación del IdP de referencia, que anunciaremos en las próximas semanas.

En un próximo artículo, haré una comparación de los atributos en uso en SIR1, y los que se recomiendan en la nueva federación SIR2, incidiendo sobre cómo han de calcularse, su significado, y el uso dentro de la federación de los mismos.