Diferencia entre revisiones de «SIU-Arai/Prerequisitos»
m |
m |
||
| Línea 8: | Línea 8: | ||
* SIU-Huarpe | * SIU-Huarpe | ||
== Que necesitamos? == | == Que necesitamos? == | ||
| − | + | === Definir URLs === | |
Este paso es muy importante, ya que las URLs terminan en la configuración de la instalación de los sistemas. Recomendamos confeccionar una lista como la siguiente: | Este paso es muy importante, ya que las URLs terminan en la configuración de la instalación de los sistemas. Recomendamos confeccionar una lista como la siguiente: | ||
{| class="wikitable zebra" | {| class="wikitable zebra" | ||
| Línea 15: | Línea 15: | ||
|Araí-Registry | |Araí-Registry | ||
|http://localhost/registry | |http://localhost/registry | ||
| − | |Este servicio no tiene que ser público | + | |Este servicio '''no''' tiene que ser público |
|- | |- | ||
|Araí-Usuarios IdP | |Araí-Usuarios IdP | ||
| Línea 29: | Línea 29: | ||
|Este servicio es público, por eso está con TLS | |Este servicio es público, por eso está con TLS | ||
|} | |} | ||
| − | + | === Certificados, certificados, certificados ... === | |
El uso de certificados es extensivo a través de toda la plataforma. | El uso de certificados es extensivo a través de toda la plataforma. | ||
| Línea 38: | Línea 38: | ||
Antes de continuar con la instalación debe obtener y generar los certificados necesarios. | Antes de continuar con la instalación debe obtener y generar los certificados necesarios. | ||
| − | + | ==== HTTPS y autenticación de clientes ==== | |
| − | Para una instalación de producción es necesario contar con certificados reales válidos. | + | Para una instalación de producción es necesario contar con certificados reales válidos. Si su institución no cuenta con estos certificados son fáciles de obtener con este servicio [https://letsencrypt.org/ Let's Encrypt]. |
| − | + | Los certificados de cliente o '''''ssl client''''' pueden ser auto-firmados porque son para uso interno. Más información en [[SIU-Arai/certificados|Certificados]]. <blockquote>Nota: el soporte a '''''ssl client''''' ha sido deprecado a partir de la versión 2.0.0 de la plataforma.</blockquote> | |
| − | + | ==== Token SAML ==== | |
| − | + | Actualmente, el IDP no soporta el uso de certificados con una cadenas de certificados (chain) o validación extendida. Tampoco soporta algoritmos tipo `DSA`, sólo `RSA`. Por lo general, con certificados autofirmados puede ser suficiente, de acuerdo a la [https://simplesamlphp.org/docs/stable/simplesamlphp-idp#section_4 documentación]. Es posible, entonces, generar certificados autofirmados de la siguiente forma: | |
| − | |||
| − | |||
| − | |||
| − | Actualmente, el IDP no soporta el uso de certificados con una cadenas de certificados o validación extendida. Tampoco soporta algoritmos tipo `DSA`, sólo `RSA`. Por lo general, con certificados autofirmados puede ser suficiente, de acuerdo a la [https://simplesamlphp.org/docs/stable/simplesamlphp-idp#section_4 documentación]. Es posible, entonces, generar certificados autofirmados de la siguiente forma: | ||
openssl req -newkey rsa:2048 -new -x509 -days 3652 -nodes -out certificado.crt -keyout certificado.pem | openssl req -newkey rsa:2048 -new -x509 -days 3652 -nodes -out certificado.crt -keyout certificado.pem | ||
| Línea 54: | Línea 50: | ||
Esto genera dos archivos: la clave pública `certificado.crt` y la clave privada `certificado.pem` para ser utilizadas en la instalación y configuración del IDP. | Esto genera dos archivos: la clave pública `certificado.crt` y la clave privada `certificado.pem` para ser utilizadas en la instalación y configuración del IDP. | ||
| − | + | == Seguridad == | |
Todo el esquema de seguridad de la plataforma asume que todos los servicios están corriendo sobre conexiones aseguradas con TLS/SSL. Los sistemas fueron desarrollados utilizando SSL en todas las pruebas. | Todo el esquema de seguridad de la plataforma asume que todos los servicios están corriendo sobre conexiones aseguradas con TLS/SSL. Los sistemas fueron desarrollados utilizando SSL en todas las pruebas. | ||
No hay garantías de funcionamiento o seguridad sin TLS/SSL. Aquí hay una [[SIU-Arai/apache-ssl|guía mínima]] de como configurar Apache con SSL. | No hay garantías de funcionamiento o seguridad sin TLS/SSL. Aquí hay una [[SIU-Arai/apache-ssl|guía mínima]] de como configurar Apache con SSL. | ||
Revisión del 20:38 13 abr 2018
Sumario
Requisitos previos a la Instalación
Antes de comenzar con la instalación es necesario contar con un mapa del deploy que se quiere realizar. Hacer esto es muy importante para que el despliegue sea exitoso.
Que se va a instalar?
- Araí-Registry
- Araí-Usuarios
- Un IdP
- Un módulo de gestión de identidad (IdM)
- SIU-Huarpe
Que necesitamos?
Definir URLs
Este paso es muy importante, ya que las URLs terminan en la configuración de la instalación de los sistemas. Recomendamos confeccionar una lista como la siguiente:
| URLs | ||
|---|---|---|
| Araí-Registry | http://localhost/registry | Este servicio no tiene que ser público |
| Araí-Usuarios IdP | https://idp.arai-usuarios | Este servicio es público, por eso está con TLS |
| Araí-Usuarios IdM | https://arai-usuarios | Este servicio es público, por eso está con TLS |
| Araí-Huarpe | https://huarpe | Este servicio es público, por eso está con TLS |
Certificados, certificados, certificados ...
El uso de certificados es extensivo a través de toda la plataforma.
Se usan con varios fines:
- Para utilizar HTTPS en los servicios públicos
- Para firmar el token de SAML
- En versiones previas a la 2.0 para autenticar clientes de las APIs
Antes de continuar con la instalación debe obtener y generar los certificados necesarios.
HTTPS y autenticación de clientes
Para una instalación de producción es necesario contar con certificados reales válidos. Si su institución no cuenta con estos certificados son fáciles de obtener con este servicio Let's Encrypt.
Los certificados de cliente o ssl client pueden ser auto-firmados porque son para uso interno. Más información en Certificados.Nota: el soporte a ssl client ha sido deprecado a partir de la versión 2.0.0 de la plataforma.
Token SAML
Actualmente, el IDP no soporta el uso de certificados con una cadenas de certificados (chain) o validación extendida. Tampoco soporta algoritmos tipo `DSA`, sólo `RSA`. Por lo general, con certificados autofirmados puede ser suficiente, de acuerdo a la documentación. Es posible, entonces, generar certificados autofirmados de la siguiente forma:
openssl req -newkey rsa:2048 -new -x509 -days 3652 -nodes -out certificado.crt -keyout certificado.pem
Esto genera dos archivos: la clave pública `certificado.crt` y la clave privada `certificado.pem` para ser utilizadas en la instalación y configuración del IDP.
Seguridad
Todo el esquema de seguridad de la plataforma asume que todos los servicios están corriendo sobre conexiones aseguradas con TLS/SSL. Los sistemas fueron desarrollados utilizando SSL en todas las pruebas.
No hay garantías de funcionamiento o seguridad sin TLS/SSL. Aquí hay una guía mínima de como configurar Apache con SSL.
