Table Of ContentA RNP – Rede Nacional de Ensino
Edré Quintão Moreira é Bacharel e
Mestre em Ciência da Computação e Pesquisa – é qualificada como
pela Universidade Federal de Minas
uma Organização Social (OS),
Gerais. Entre 2000 e 2003 participou
da implantação do diretório corpora- sendo ligada ao Ministério da
tivo da UFMG. Possui grande experiên-
Ciência, Tecnologia e Inovação
cia em autenticação federativa com
protocolo SAML, tendo atuado como assistente 1 no Grupo (MCTI) e responsável pelo
de Trabalho Middleware da RNP de 2003 a 2005. Possui
Programa Interministerial RNP,
grande experiência com a plataforma JEE, tendo se certifi-
cado em programação Java em 2001. Em 2009 participou do
F que conta com a participação dos
projeto que deu origem à Federação CAFe. Participou da e
d
elaboração e desenvolvimento do sistema EID. Atualmente e Federação CAFe: ministérios da Educação (MEC), da
r
é membro do Comitê Técnico da Federação CAFe. É também a
ç Saúde (MS) e da Cultura (MinC).
arquiteto de software no Departamento de Ciência da Com- ã
O O curso foi desenvolvido para auxiliar as instituições o
putação da UFMG. S C Pioneira no acesso à Internet no
R no processo de implantação de um provedor de servi- A
U F Provedores de Brasil, a RNP planeja e mantém a
Lídia Aparecida O. Alixandrina é C e
ços para a Federação Acadêmica Federada (CAFe). Tem :
Bacharel em Sistemas de Informação O P rede Ipê, a rede óptica nacional
pela PUC Minas. Atualmente é Analista A como objetivo demonstrar o funcionamento de uma ro
O v Serviços de acadêmica de alto desempenho.
de Sistemas na UFMG trabalhando na e
OI infraestrutura de autenticação e autorização federada, d
implantação de diretórios federados P o Com Pontos de Presença nas
r
no projeto CAFe. Trabalhou também A com ênfase na autorização ao uso dos serviços pelos e
no desenvolvimento da ferramenta DE membros da federação. Para isso são apresentadas as s d Aplicações 27 unidades da federação, a rede
e
EID (Export Import Directory). Experiência em autenticação O S tem mais de 800 instituições
federativa com Shibboleth, LDAP, Apache Tomcat, Banco de R ferramentas de software disponíveis para a construção e
Dados e Java para Web. LIV desta infraestrutura, e o modo de integração de uma rviç Federadas conectadas. São aproximadamente
o 3,5 milhões de usuários usufruindo
s
instituição acadêmica ou de pesquisa à federação CAFe
e de uma infraestrutura de redes
A
como provedor de Serviços.
p avançadas para comunicação,
l
i
c
a computação e experimentação,
ç
õ Edré Quintão Moreira
e que contribui para a integração
s
F
e Lídia Aparecida O. Alixandrina entre o sistema de Ciência e
d
e
r Tecnologia, Educação Superior,
a
d
a Saúde e Cultura.
s
Ministério da
Cultura
Ministério da
Saúde
Ministério da
Educação
ISBN 978-85-63630-39-1
Ministério da
Ciência, Tecnologia
e Inovação
9 788563 630391
A RNP – Rede Nacional de Ensino
e Pesquisa – é qualificada como
uma Organização Social (OS),
sendo ligada ao Ministério da
Ciência, Tecnologia e Inovação
(MCTI) e responsável pelo
Programa Interministerial RNP,
que conta com a participação dos
ministérios da Educação (MEC), da
Saúde (MS) e da Cultura (MinC).
Pioneira no acesso à Internet no
Brasil, a RNP planeja e mantém a
rede Ipê, a rede óptica nacional
acadêmica de alto desempenho.
Com Pontos de Presença nas
27 unidades da federação, a rede
tem mais de 800 instituições
conectadas. São aproximadamente
3,5 milhões de usuários usufruindo
de uma infraestrutura de redes
avançadas para comunicação,
computação e experimentação,
que contribui para a integração
entre o sistema de Ciência e
Tecnologia, Educação Superior,
Saúde e Cultura.
Ministério da
Cultura
Ministério da
Saúde
Ministério da
Educação
Ministério da
Ciência, Tecnologia
e Inovação
Federação CAFe:
Provedores de
Serviços de
Aplicações
Federadas
Edré Quintão Moreira
Lídia Aparecida O. Alixandrina
Federação CAFe:
Provedores de
Serviços de
Aplicações
Federadas
Edré Quintão Moreira
Lídia Aparecida O. Alixandrina
Rio de Janeiro
Escola Superior de Redes
2014
Copyright © 2013 – Rede Nacional de Ensino e Pesquisa – RNP
Rua Lauro Müller, 116 sala 1103
22290-906 Rio de Janeiro, RJ
Diretor Geral
Nelson Simões
Diretor de Serviços e Soluções
José Luiz Ribeiro Filho
Escola Superior de Redes
Coordenação
Luiz Coelho
Edição
Lincoln da Mata
Coordenação Acadêmica de Gestão de Identidade
Renato Duarte Rocha
Equipe ESR (em ordem alfabética)
Adriana Pierro, Celia Maciel, Cristiane Oliveira, Derlinéa Miranda, Edson Kowask, Elimária
Barbosa, Evellyn Feitosa. Felipe Nascimento, Lourdes Soncin, Luciana Batista, Luiz Carlos
Lobato e Yve Abel Marcial.
Capa, projeto visual e diagramação
Tecnodesign
Versão
1.0.1
Este material didático foi elaborado com fins educacionais. Solicitamos que qualquer erro encon-
trado ou dúvida com relação ao material ou seu uso seja enviado para a equipe de elaboração de
conteúdo da Escola Superior de Redes, no e-mail [email protected]. A Rede Nacional de Ensino e
Pesquisa e os autores não assumem qualquer responsabilidade por eventuais danos ou perdas, a
pessoas ou bens, originados do uso deste material.
As marcas registradas mencionadas neste material pertencem aos respectivos titulares.
Distribuição
Escola Superior de Redes
Rua Lauro Müller, 116 – sala 1103
22290-906 Rio de Janeiro, RJ
http://esr.rnp.br
[email protected]
Dados Internacionais de Catalogação na Publicação (CIP)
F293 Federação café: Provedores de Serviços de Aplicações Federadas / Edré Quintão
Moreira, Lídia Aparecida O. Alixandrina – Rio de Janeiro: RNP/ESR, 2014.
88 p. : il. ; 20,5x27,5 cm.
ISBN 978-85-63630-39-1
1. Provedor de serviço. 2. Serviço de descoberta. 3. Criptografia de dados (computação).
4. Redes de computadores – medidas de segurança. I. Rosseto, Silvana. II. Titulo.
CDD 004.6
Sumário
Escola Superior de Redes
A metodologia da ESR vii
Sobre o curso viii
A quem se destina ix
Convenções utilizadas neste livro ix
Permissões de uso ix
Sobre o autor x
1. Introdução à autenticação e autorização federadas
Contas vinculadas a serviços 2
Contas desvinculadas dos serviços 2
Autenticação multi-institucional 4
Infraestrutura de autenticação e autorização federada 4
Elementos de uma federação 6
Componente adicional de uma federação 7
Metadados da federação 8
Provedores de Identidade 10
Provedores de serviço 10
Interação entre os elementos de uma federação 11
SAML 2.0 11
Componentes SAML 12
Motivação/Vantagens 14
SAML 2.0 – Web Browser SSO Profile 14
iii
Single Sign-On 15
Single Logout 16
Provedores de serviço 16
Exemplos de federações acadêmicas 19
A Federação CAFe 19
Estatísticas Provedores de Serviços da CAFe 21
Estatísticas Provedores de Identidade da CAFe: 21
2. Instalação do Shibboleth SP e do Discovery Service
Shibboleth SP 23
Visão geral sobre instalação 23
Discovery Service 25
Implementações do Discovery Service 25
Discovery Service embarcado 26
Discovery Service Centralizado 29
3. Configuração do Shibboleth SP 2.4
Certificados 31
Arquivo shibboleth2.xml 33
Configurações realizadas no shibboleth2.xml 33
Estrutura do arquivo shibboleth2.xml 34
Sessions 37
SessionInitiator 38
Elementos filhos 39
Principais configurações 43
Arquivo attribute-map.xml 44
Elemento filho 45
Arquivo attribute-policy.xml 46
Diretivas de log 48
Configuração do Apache HTTPD 49
Configuração do Apache 49
Configuração do Apache – Certificados 50
iv
4. Configuração de autenticação Shibboleth
Utilização de autenticação Shibboleth 51
Front e back channels 52
Autenticação/autorização via servidor web 52
Autorização via Shibboleth 53
Utilização de autenticação Shibboleth 54
Estudo de caso: Moodle 54
Pré-requisitos 55
Configurações no Apache 55
Configurações no Moodle 55
Group Management Tool (GTM) 59
5. Aplicações Federadas
Módulo mod_shib 61
Opções do mod_shib 62
Protegendo aplicações 62
Formas de proteger aplicações 63
Protegendo toda a aplicação 63
Protegendo parte da aplicação 64
Lazy sessions 64
Proxy reverso 65
Atributos e mapeamentos 65
Autorização via aplicação 66
Configuração para containers JEE 68
Configuração para PHP 69
Configuração para outras linguagens 69
Implementação da autorização 70
6. Configurações Avançadas do Shibboleth SP
SPs Lógicos e Físicos 71
Razões válidas pra adicionar um SP lógico 71
Quando não há necessidade 72
Configurando um SP Lógico 72
Configurações necessárias 73
ApplicationOverride 73
RequestMapper 74
v
vi
