v3.3.0

Integrando Aplicaciones a la Plataforma

Uno de los objetivos de la plataforma SIU-Arai: Usuarios es poder servir como concentrador de la autenticación para diversas aplicaciones, aquí les mostraremos como integrarlas a la plataforma para poder aprovechar el módulo IDP.

Pre-requisitos

  • Tener una instalacion de SIU-Arai: Usuarios 3.0+
  • Tener una aplicación que permita SSO via SAML 2.0

SAML Flow

Flujo de trabajo SAML

IDP

Es el Identity Provider o Auhorization Server que figura en el gráfico anterior, este módulo es el que realiza la autenticación y/o autorizacion a pedido de un SP puntual via un request.

Es el unico punto donde se ingresan las credenciales del usuario (usr/pwd) y en caso positivo, genera un token de verificación que es entregado al SP.

URLs expuestas

Para enviar estos request es necesario que el IDP exponga un conjunto de URLs, de acuerdo con su funcion:

  • EntityID: La URL que identifica el IDP (expone su metadata)
  • SingleSignOnService: La URL a donde se deben enviar los request de autenticacion
  • SingleLogoutService: La URL a donde se deben enviar los request de deslogueo o fin de sesion

Certificado X509

El IDP además expone su certificado público con dos fines puntuales para aquellos SPs que asi lo requieran:

  • Como medio para desencriptar Assertions
  • Como medio para verificar el firmado de Assertions

Metadata

La metadata del IDP, que se devuelve en formato XML contiene todos los datos necesarios para configurar un SP, incluidos los certificados necesarios para verificar los assertions.

Mayor detalle de esto en la guia de mantenimiento

SP

Es el denominado Service Provider, tipicamente la aplicación web que provee servicios a los usuarios autenticados.

Este endpoint tambien debe exponer URLs para que el IDP pueda enviar las respuestas a los requerimientos enviados.

  • EntityID: La URL que identifica el SP (y debe coincidir con la registrada en el IDP)
  • AssertionConsumerService: La URL a donde se deben enviar las respuestas a pedidos de autenticación exitosos con su correspondiente Assertion
  • SingleLogoutService: La URL a donde se deben enviar las respuestas a pedidos de deslogueo, ya sean iniciados por este SP u otro.

En aplicaciones Toba esta información se puede obtener navegando a la URL de la aplicación y anexando el parametro metadata en la URL.

En aplicaciones no creadas con Toba, dependerá de la libreria utilizada para implementar el service provider. En el caso de Huarpe por ejemplo se debe navegar la URL donde se encuentra alojada la aplicacion y concatener al URI saml/metadata

Estrategias disponiblesRegistrando SP en cmdline