Ferramentas de Utilizador

Ferramentas de Site


sistemas:cafe:infraestrutura

Infraestrutura de Autenticação e Autorização

Uma federação possui uma infraestrutura de autenticação e autorização interdomínios ou também chamada de infraestrutura de autenticação e autorização federada. Seu objetivo e cadastrar um usuário, armazenando e gerenciando seus dados em uma unica instituição (aquela no qual ele pertence), mas podendo ter acesso aos recursos oferecidos por outros domínios.

Uma infraestrutura de autenticação e autorização (IAA) federada é formada por dois tipos de provedores:

Provedores de Identidades

Os provedores de identidade são responsáveis por criar e manter cadastros e atualizar informações sobre as pessoas vinculadas à instituição, entre eles, os dados pessoais (nome, data de nascimento, CPF, nomes dos pais, sexo, etc.) e os vínculos internos (data de admissao, cargo ocupado, número de matrícula, numero VoIP, etc.).

O provedor de identidade necessita estabelecer seu método de autenticação interno e deve garantir que cada pessoa possua um identificador único.

Provedores de Serviços

Os provedores de serviços oferecem serviços em que seus acessos são restritos e ainda podem determinar privilégios de acessos baseados em atributos adicionais sobre o usuário, como por exemplo, o vínculo dele com a instituição (aluno, professor, técnico, etc.).

Cabe ao provedor de serviço solicitar as informações adicionais (caso necessite) ao provedor de identidade para completar a autenticação.

O acesso de usuários de diferentes instituiçõoes nos provedores de serviços é comum, então há a necessidade de redirecionar os usuários para os respectivos provedores de identidade.

O serviço centralizado e responsável por obter as informações sobre os provedores de identidade cadastrados na federação e seus respectivos redirecionamentos e o WAYF (Where Are You From). Nele o usuário seleciona sua instituição de origem, e passa a interagir com o seu provedor de identidade para fornecer as suas credenciais.

O WAYF contem o serviço de Metadata, do qual possui um arquivo metadado responsável por concentrar as informações dos provedores pertencentes à federação. Este é um arquivo de configuração padronizado e compartilhado entre os provedores de identidade e de serviço da federação.

O arquivo de metadado e disponibilizado pela federação e a sua função é estabelecer a relação de confiança entre os provedores, utilizando certificados digitais ou chaves publicas. Nesse arquivo são indicadas, para o provedor de identidade, as informações pertinentes sobre os provedores de serviço (e vice-versa). Desta forma, garante-se a segurança e a autenticidade na comunicação entre os provedores.

Alem disso, o arquivo de metadados disponibiliza as informações relevantes para a comunicação entre os provedores, como identificadores, URLs e protocolos utilizados.

Ao acessar um serviço através do browser pela primeira vez, ele sera redirecionado para WAYF e devera selecionar o provedor de identidade (instituiçãao) de origem. Apos a seleção, navegador será redicionado para o site de autenticação de sua instituição. Após a autenticação do usuário, o provedor de identidade repassa o resultado da autenticação ao provedor de serviço e cria uma sessão de uso associada ao usuário, de forma que acessos a novos serviços dentro de um determinado intervalo de tempo não gerem novas requisições de autenticação (single sign-on).

Fluxo de informações

  1. O usuário acessa a um serviço desejado através do browser.
  2. O servidor redireciona o navegador para o serviço de descoberta da federação (WAYF).
  3. O usuário seleciona uma instituição oferecida na lista de instituições cadastradas, e seu navegador o redireciona para a pagina de autenticação da seleção.
  4. O provedor de identidade da instituição envia ao navegador a página de autenticação do usuário, o qual se autentica através de login e senha.
  5. O provedor de identidade gera um handle e o envia ao navegador, que o encaminha ao provedor de serviço, e assim obtém a prova de autenticação do usuário. Para algumas aplicações, isso é suficiente para autorizar o acesso do usuário ao serviço. (a) Opcionalmente, o provedor de serviço pode enviar um pedido para obtenção de novos atributos ao provedor de identidade, utilizando o handle para especificar o usuário em questão. ˜
  6. Devidamente autenticado, o provedor de serviço retorna a solicitação do usuário.
sistemas/cafe/infraestrutura.txt · Esta página foi modificada pela última vez em: 2017/03/28 15:35 (Edição externa)