Para que Parnaso pudiera acceder a la nueva web y asegurar la correcta implantación de la nueva imagen, hemos permitido el acceso a la web a través de su cuenta de facebook.

Así, los usuarios de Parnaso acceden al entorno de pre-producción con sus credenciales de facebook gracias a la autenticación delegada que permite adAS.

Ahora que muchas empresas realizan acciones comerciales a través de facebook, adAS permite un caso de uso muy elegante para dar acceso a proveedores a ciertas aplicaciones.

Este método criptográfico es utilizado en numerosos sistemas, como los basados en certificados o los que utilizan infraestructuras de clave pública (PKI).

Esta colaboración se añade a la ya existente en el Máster de Software Libre.

Más información: http://cv.uoc.edu/app/mediawiki50/wiki/Main_Page

En su nueva versión, la 1.3.0, tenemos varias novedades importantes. Las comentamos a continuación organizadas según el aspecto a las que son relativas.

Protocolos

• Implementación de Single LogOut en todos los protocolos.
• Añadido el soporte de Policy Agents de OpenSSO.
• Se ha incluído, para facilidad de instalación de adAS y de recursos PAPI un GPoA interno

Metadatos

• Mejora de la sección de editar metadatos del interfaz web de adAS, incluyendo un visor de archivos de metadatos y la capacidad de deshabilitar el acceso a recursos determinados.
• En esta nueva versión es posible, además, acceder a los metadatos de un recurso vía URL.

Temas de usuarios

• Se ha internacionalizado la plantilla de temas para adAS (pantallas de logia, logout, status, etc. tanto para navegadores web como para móviles. Actualmente incluye los idiomas Castellano, Inglés y Catalán; siendo fácilmente ampliable a otros idiomas.

Criptografía

• Añadida la capacidad de cifrado/descifrado de aserciones SAML2 y el soporte de peticiones OCSP firmadas

Autenticaciones

• Incluido, módulo de autenticación delegada para SAML2, además de los existentes (PAPI y Aplicaciones Facebook)
• Implementación de Niveles de Confianza (LoAs) mediante un módulo de definición personalizada de los mismos y la posibilidad de asignar LoAs diferentes a módulos de autenticación y recursos concretos.
• Posibilidad de configurar un WAYF en la pantalla de login que se le muestre al usuario, seleccionando los módulos de autenticación delegada que se quieren incluir en el WAYF.

Administración Web

• Además de mejorar el interfaz web de administración de adAS de forma notable, se ha añadido la posibilidad de configurar un perfil de auditor que pueda entrar en la administración web de adAS, limitando su acceso sólo a las secciones de informes estadísticos.

¿A qué esperas? ¡Descárgate la nueva versión de adAS y pruébala!

La cosa comenzó a complicarse cuando se vio la necesidad de que profesores subieran documentos e información con acceso restringido a los sistemas de la universidad. Para permitir este acceso comenzaron a necesitarse unas credenciales específicas. Además, la universidad comenzó a ofrecer más y más servicios, usando las credenciales originales u otras nuevas, dependiendo de la aplicación que se utilizara, acabándose por tener una organización con un conglomerado de fuentes de datos, aplicaciones y protocolos heterogéneas e incomunicadas entre ellas.

Para solventar el problema de desorganización, seguridad y eficiencia se ha comenzado a implantar sistemas que unifiquen la gestión de la identidad de las organizaciones mediante proveedores de identidad como adAS o directorios virtuales que concentran la entrada a fuentes de datos como VirDAP.

Hasta este punto, el problema era poder autenticar a los usuarios de nuestra organización en un sólo punto (Single Sign-On); pero una vez resuelto este asunto comienzan a plantearse otras implicaciones: ¿Qué ocurre con los usuarios que no son de mi organización y que quiero que accedan a mi sistema, por ejemplo: usuarios de selectividad, estudiantes extranjeros o de otras universidades?

Para solucionar este aspecto se pensó en la creación de Federaciones, donde universidades y otras organizaciones crean acuerdos entre ellas que permiten que usuarios de unas y otras puedan acceder a los recursos de ambas. Los inconvenientes de una solución federada son importantes, tanto burocráticos como tecnológicos, ya que implican firma de convenios, entrega de información personal de los usuarios, implantación de un sistema común a los integrantes de la federación y el coste (material, tiempo, personal de mantenimiento) que esto suponte, etc.

Quizás es hora de mirar un poco más allá y pensar en una solución diferente, la denominada Autenticación Delegada: ¿Por qué no dejar que los sistemas de cada organización traten con sus propios datos? En un sistema de autenticación delegada se trata la información de la siguiente forma:

1. Un usuario quiere acceder a un recurso de la organización X
2. Para ello accede a la página de control de acceso de su organización X
3. En ella se le permitirle autenticarse con su organización Y, se le redirige al control de acceso de su organización
4. El usuario se autentica en Y
5. Y responde a X diciéndole si el usuario está autenticado o no
6. Y deja acceder al usuario en consecuencia de la respuesta anterior.

Esta solución permite evitar a ambas organizaciones tener que haber implementado una federación y con la mera integración de los Single Sign-On de ambas es posible la autenticación delegada, sin traspaso de más información personal de los usuarios que la imprescindible, evitando la creación de cuentas duplicadas y eliminado la necesidad de que el usuario tenga que aprenderse/utilizar otro tipo de credenciales más.

Y ahora bien, nos queda el problema de decidir de qué organizaciones nos fiamos más o menos, por ejemplo, si un alumno de la universidad quiere cambiar sus datos bancarios, ¿nos fiamos de cualquier autenticación delegada? Incluso dentro de nuestra propia organización puede que querramos utilizar certificados o DNIe en vez de usuario y contraseña para ciertos trámites. La pregunta que nos queda es ¿Cuáles son los sistemas más confiables? ¿Qué orden de confianza le doy a mis sistemas de autenticación, tanto local como delegada?

Para responder a esta pregunta habrá que implantar lo que se denominan Niveles de Confianza (LoA, Level of Assurance). De ellos ya hablaremos en posteriores entradas del blog.
Continuará

En un principio solucionamos el problema de los caracteres añadiendo la función mysql_set_charset(“utf8″,$conexion) en el código de la forma:
$connection = mysql_connect($server,$username,$password);
mysql_set_charset('utf8',$connection);
[...]

Esto nos evitaba los problemas de codificaciones erróneas, pero pensamos que una forma más elegante de hacerlo sería cambiar la configuración de la base de datos para evitar tener que modificar todos los scripts donde hubiera que conectarse con bases de datos.

Según la documentación de MySQL para que al extraer la información con una codificación concreta es necesario modificar el archivo de configuración de MySQL añadiendo las directivas:
character-set-server=utf8
collation-server=utf8_general_ci


Esta configuración nos funcionaba bien hasta que se utilizaban dos conexiones a bases de datos diferentes en un mismo script, donde una de las conexiones devolvía datos codificados correctamente, pero la otra los devolvía con la codificación errónea.

Después de dar muchas vueltas a la documentación de MySQL encontramos la directiva:

skip-character-set-client-handshake

La cual permite que MySQL se comporte como MySQL 4.0. y no haga caso de la codificación del cliente y fuerce a que se utilice la establecida por defecto con las variables character-set-server y collation-server

A nosotros esta variable de configuración nos solucionó el problema. Esperamos que os sirva de ayuda también a vosotros.

———-
OJO! Si buscáis esta variable cuando estáis en consola, (por ejemplo con mysql >SHOW VARIABLES;) no desesperéis; esta variable no aparece en al mostrar las variables del sistema.

La USAL se centrará en cómo permite adAS la autenticación de sus usuarios a través del DNIe y cómo se gestionan los atributos necesarios para cada aplicación a través de las Fuentes de Datos en adAS.

La UdG en cambio presentará el acceso a Google Apps que se permite a través de adAS para sus usuarios.

Más información:

• http://www.rediris.es/difusion/eventos/foros_movilidad-identidad/2011/programa/#identidad
• http://adas-sso.com/

Nuevo tema adAS

Son muchas las nuevas características principales de adAS 1.2, por lo que las hemos dividido en las siguientes categorías:

• Protocolo:
  • Se ha añadido el protocolo OpenSSO dentro de esta versión de adAS. Actualmente cubre el interfaz REST de OpenSSO.
• Metadatos:
  • Firma digital de los metadatos propios que genera el interfaz de administración.
  • Metadatos de Proveedores de Servicio del protocolo OpenSSO. Se permite definir la IP desde la que se permite el acceso al interfaz REST de OpenSSO.
  • Metadatos extendidos: un nuevo formato de metadatos que permite incluir nueva información sobre los originales de un Proveedor de Servicio sin modificar su firma digital. Esta característica se utiliza para generar un identificador opaco a cada uno de los Proveedores de Servicio que se hayan incluido, el cual permanecerá inmutable aunque se modifique el ID de entidad (entityID).
• Fuentes de datos:
  • Se ha incluido una nueva fuente de datos: Oracle. Ésta es configurable a través del interfaz OCI8 de PHP.
  • Posibilidad de no cachear atributos de un usuario, permitiendo así la generación de valores dinámicos en cada petición que reciba adAS.
  • Se permite definir una lista de índices en una fuente de datos. Así, podemos realizar la autenticación o la obtención de atributos utilizando diferentes índices sobre una misma fuente de datos.
• Autenticación:
  • Se ha incluido una nuevo módulo de autenticación local: Oracle.
  • Posibilidad de que el usuario elija cómo se quiere autenticar en el caso de que se haya obtenido más de un identificador único en su proceso de identificación.
• Autenticación delegada:
  • adAS soporta ahora la delegación de la autenticación en otros entornos. Además, opcionalmente se puede comprobar si el usuario existe en nuestra organización antes de indicar que la autenticación ha sido correcta.
  • Nuevos módulos de autenticación delegada:
    • Federaciones PAPI, como STORK o SIR.
    • Proveedores de Identidad PAPI.
    • Facebook.
• Atributos:
  • Se ha incluido el soporte de esquemas de atributos:
    • eduPerson
    • SCHAC
    • iris.schema
    • inetOrgPerson
  • Posibilidad de definir si se quiere enviar los atributos en modo OID o URN en una política de emisión de atributos de un Proveedor de Servicio. La información del OID y el URN se obtendrá del esquema de atributos que se haya configurado.
• Interfaz de administración:
  • Se permite proteger el interfaz de administración como un Proveedor de Servicio PAPI, por lo que la autenticación queda delegada a la que se tenga configurada en el adAS.
  • Nueva sección que permite configurar el interfaz de administración visualmente.

Además de resolver los bugs o errores que se habían informado hasta la fecha. Esta nueva versión ha sido posible gracias al apoyo de las universidades de Salamanca, Girona y Málaga.

Como son muchas las nuevas características, iremos analizando las más importantes una a una en este blog

Ah! Podéis descargar esta nueva versión en la página de descarga de adAS y si tenéis alguna duda os recomendamos que os suscribáis a la lista de correo de usuarios de adAS.

Una de las metodologías con las que PRiSE trabaja se corresponde a la metodología ágil SCRUM para los procesos de desarrollo/integración de software, dado que esta metodología es la que mejor se adapta a sus capacidades y dimensiones.

SCRUM presenta un enfoque incremental e iterativo, en clara contraposición a las fases tradicionales de desarrollo de software, dispuestas en “cascada”, donde cada una se lleva a cabo justo después de que se finalice la anterior.

Este enfoque iterativo permite desarrollar primero un subconjunto de características de alto valor, a partir del cual se pueden obtener rápidamente las impresiones (a modo de mejoras, correcciones, errores, sugerencias etc) que el equipo de desarrollo y el cliente tienen del producto. Dichas impresiones se utilizarían en las siguientes iteraciones, consiguiendo incrementos, en cuanto al valor funcional del producto, que en cada fase nos acerca más al producto detallado en los requisitos.

En cada iteración de la metodología SCRUM se llevan a cabo las siguientes actividades:

• Implementación y prueba llevada a cabo por el equipo de desarrolladores.
• Pruebas de calidad/aceptación.
• Evaluación/Priorización de los resultados de la fase anterior. Si los resultados fueron positivos se pasa a la fase de Despliegue.
• Generación detallada de requisitos.
• Diseño y Análisis.

Debido a la complejidad de desarrollar un Proveedor de Identidad sencillo, manejable, multiprotocolo y que funcione, pensamos en SCRUM como metodología para desarrollar adAS. Y nuestra experiencia está siendo satisfactoria.

Desde PRiSE, animamos a todos nuestros clientes (y futuros clientes) a que participen con nosotros a realizar su proyecto utilizando SCRUM.

Así mismo, aunque SCRUM nació para proyectos tecnológicos, en PRiSE se ha adaptado también para todas sus gestiones internas.

Puedes conseguir más información de SCRUM en la página de la organización Scrum Alliance.

En estas Jornadas Técnicas Inmaculada Bravo García y Reyes Hernández Rodríguez, de la Universidad de Salamanca, presentaron(*) el nuevo sistema de Single Sign-On implantado en su universidad: adAS. Esta presentación fue seleccionada para ser publicada en el Boletín de las mismas, del cual podemos ver desde esta semana su versión digital.

Pónganse en contacto con nosotros para más información sobre adAS.

(*)Enlace al video de la presentación de en las Jornadas Técnicas de RedIRIS