Diferencia entre revisiones de «Nuestra institución no cuenta con SIU- Arai Usuarios, tenemos nuestro propio gestor de identidad y queremos implementar SIU Huarpe ¿Esto es posible?»

Nuestra institución cuenta con gestor de identidad propio y queremos implementar SIU Huarpe ¿Esto es posible?

SIU-Huarpe es un portal de autogestión para los usuarios que está específicamente diseñado para trabajar por defecto con SIU Araí-Usuarios. Tanto el Huarpe núcleo como los distintos bundles necesitan consumir servicios que son implementados por Araí-Usuarios.

A su vez, Araí-Usuarios ofrece un IDP por defecto que implementa los protocolos SAML 2.0 y OpenID Connect.

El SIU ha evaluado y colaborado con otras instituciones en personalizaciones que permitieran integrar SIU Araí-Usuarios con distintos IdPs, al que llamamos esquema de integración híbrida, una descripción y consideraciones del mismo pueden encontrar en el siguiente link: estrategia-integracion-hibrida

La implementación de este esquema de integración híbrida tiene las siguientes características:

• El IDP propio será el encargado de gestionar la autentificación, bajo un esquema “one-password”, esto significa que las contraseñas estarán almacenadas y serán validadas únicamente contra el IDP propio.

• Todas las soluciones SIU se encontrarán desplegadas y estarán conectadas al IDP ofrecido por SIU Araí-Usuarios.

• El IDP de SIU Araí-Usuarios a su vez debe funcionar con autenticación delegada contra el IDP propio.

Para la implementación de un esquema de integración híbrida, es necesario que realicen una serie de ajustes:

• Gestión y sincronización de usuarios: La creación, edición o baja de usuarios realizados en el IDP propio, debe disparar eventos que reflejen dichos cambios en arai-usuarios. El mecanismo recomendable sería vía la utilización de la API que dispone el servicio, la documentación al respecto se encuentra en el siguiente enlace. Otra alternativa sería que el mantenimiento de los usuarios en SIU-Arai: Usuarios se realice de forma manual.

• Autenticación delegada: al momento de acceder un usuario a una app registrada en arai-usuarios, podremos tener dos alternativas:
  • se muestra la pantalla de login del IDP de Araí-Usuarios, la cual solicita el usuario/clave. Se debe adecuar la clase que realiza la autentificación para que en vez de realizar el login interno de Araí-Usuarios, lo realice por medio de validaciones contra los servicios del IDP propio.
  • en vez de mostrar la pantalla de login del IDP de Araí-Usuarios, redirigir al usuario al login del IDP propio. Esto se logra mediante una delegación del IDP de Araí-Usuarios haciendo que se comporte como una aplicación o SP en el IDP propio de la institución. Esto a su vez se logra explotando las características del protocolo SAML.

• Aclaraciones respecto a cambios en el mecanismo de autentificación:
  • Se puede utilizar cualquier mecanismo de interacción que dispongan para realizar el control de usuario y clave, por ejemplo, vía una consulta a una API tipo REST, mediante una consulta sql a otra base de datos, utilizando conexión a otro LDAP mediante bind, o cualquier mecanismo de verificación de la información de la cuenta. Además se requiere estos cambios en el código fuente de Araí-Usuarios extendiendo el “authsource”. Pueden tomar como referencia, por ejemplo, el ajuste realizado para Firebase. Esta personalización pueden verla desde el siguiente archivo:AraiFirebaseAuth.php

En esta clase pueden seguir las personalizaciones realizadas, como por ejemplo el del método login().

• • Se puede configurar mediante la personalización en el código fuente de Araí-Usuarios extendiendo el “authsource” y sumando configuración adicional para integrar vía SAML contra el IDP propio.

Esta interacción de los distintos componentes de SIU Araí-Usuarios y SIU Huarpe. Y la personalización se pueden ver en el siguiente diagrama:

La implementación de SIU-Huarpe sin SIU Araí-Usuarios requiere que el propio gestor de identidad ofrezca los mismos servicios que provee Araí-Usuarios, no solo en el momento de implementar, sino que será necesario ir evolucionando de la misma forma en el tiempo para acompañar la actualizaciones que vaya ofreciendo SIU-Huarpe. Hacer esto suele ser complejo y cuesta mantenerlo en el tiempo, por eso no recomendamos esta última estrategia de implementación.