A RNP – Rede Nacional de Ensino Edré Quintão Moreira é Bacharel e Mestre em Ciência da Computação e Pesquisa – é qualificada como pela Universidade Federal de Minas uma Organização Social (OS), Gerais. Entre 2000 e 2003 participou da implantação do diretório corpora- sendo ligada ao Ministério da tivo da UFMG. Possui grande experiên- Ciência, Tecnologia e Inovação cia em autenticação federativa com protocolo SAML, tendo atuado como assistente 1 no Grupo (MCTI) e responsável pelo de Trabalho Middleware da RNP de 2003 a 2005. Possui Programa Interministerial RNP, grande experiência com a plataforma JEE, tendo se certifi- cado em programação Java em 2001. Em 2009 participou do F que conta com a participação dos projeto que deu origem à Federação CAFe. Participou da e d elaboração e desenvolvimento do sistema EID. Atualmente e Federação CAFe: ministérios da Educação (MEC), da r é membro do Comitê Técnico da Federação CAFe. É também a ç Saúde (MS) e da Cultura (MinC). arquiteto de software no Departamento de Ciência da Com- ã O O curso foi desenvolvido para auxiliar as instituições o putação da UFMG. S C Pioneira no acesso à Internet no R no processo de implantação de um provedor de servi- A U F Provedores de Brasil, a RNP planeja e mantém a Lídia Aparecida O. Alixandrina é C e ços para a Federação Acadêmica Federada (CAFe). Tem : Bacharel em Sistemas de Informação O P rede Ipê, a rede óptica nacional pela PUC Minas. Atualmente é Analista A como objetivo demonstrar o funcionamento de uma ro O v Serviços de acadêmica de alto desempenho. de Sistemas na UFMG trabalhando na e OI infraestrutura de autenticação e autorização federada, d implantação de diretórios federados P o Com Pontos de Presença nas r no projeto CAFe. Trabalhou também A com ênfase na autorização ao uso dos serviços pelos e no desenvolvimento da ferramenta DE membros da federação. Para isso são apresentadas as s d Aplicações 27 unidades da federação, a rede e EID (Export Import Directory). Experiência em autenticação O S tem mais de 800 instituições federativa com Shibboleth, LDAP, Apache Tomcat, Banco de R ferramentas de software disponíveis para a construção e Dados e Java para Web. LIV desta infraestrutura, e o modo de integração de uma rviç Federadas conectadas. São aproximadamente o 3,5 milhões de usuários usufruindo s instituição acadêmica ou de pesquisa à federação CAFe e de uma infraestrutura de redes A como provedor de Serviços. p avançadas para comunicação, l i c a computação e experimentação, ç õ Edré Quintão Moreira e que contribui para a integração s F e Lídia Aparecida O. Alixandrina entre o sistema de Ciência e d e r Tecnologia, Educação Superior, a d a Saúde e Cultura. s Ministério da Cultura Ministério da Saúde Ministério da Educação ISBN 978-85-63630-39-1 Ministério da Ciência, Tecnologia e Inovação 9 788563 630391 A RNP – Rede Nacional de Ensino e Pesquisa – é qualificada como uma Organização Social (OS), sendo ligada ao Ministério da Ciência, Tecnologia e Inovação (MCTI) e responsável pelo Programa Interministerial RNP, que conta com a participação dos ministérios da Educação (MEC), da Saúde (MS) e da Cultura (MinC). Pioneira no acesso à Internet no Brasil, a RNP planeja e mantém a rede Ipê, a rede óptica nacional acadêmica de alto desempenho. Com Pontos de Presença nas 27 unidades da federação, a rede tem mais de 800 instituições conectadas. São aproximadamente 3,5 milhões de usuários usufruindo de uma infraestrutura de redes avançadas para comunicação, computação e experimentação, que contribui para a integração entre o sistema de Ciência e Tecnologia, Educação Superior, Saúde e Cultura. Ministério da Cultura Ministério da Saúde Ministério da Educação Ministério da Ciência, Tecnologia e Inovação Federação CAFe: Provedores de Serviços de Aplicações Federadas Edré Quintão Moreira Lídia Aparecida O. Alixandrina Federação CAFe: Provedores de Serviços de Aplicações Federadas Edré Quintão Moreira Lídia Aparecida O. Alixandrina Rio de Janeiro Escola Superior de Redes 2014 Copyright © 2013 – Rede Nacional de Ensino e Pesquisa – RNP Rua Lauro Müller, 116 sala 1103 22290-906 Rio de Janeiro, RJ Diretor Geral Nelson Simões Diretor de Serviços e Soluções José Luiz Ribeiro Filho Escola Superior de Redes Coordenação Luiz Coelho Edição Lincoln da Mata Coordenação Acadêmica de Gestão de Identidade Renato Duarte Rocha Equipe ESR (em ordem alfabética) Adriana Pierro, Celia Maciel, Cristiane Oliveira, Derlinéa Miranda, Edson Kowask, Elimária Barbosa, Evellyn Feitosa. Felipe Nascimento, Lourdes Soncin, Luciana Batista, Luiz Carlos Lobato e Yve Abel Marcial. Capa, projeto visual e diagramação Tecnodesign Versão 1.0.1 Este material didático foi elaborado com fins educacionais. Solicitamos que qualquer erro encon- trado ou dúvida com relação ao material ou seu uso seja enviado para a equipe de elaboração de conteúdo da Escola Superior de Redes, no e-mail [email protected]. A Rede Nacional de Ensino e Pesquisa e os autores não assumem qualquer responsabilidade por eventuais danos ou perdas, a pessoas ou bens, originados do uso deste material. As marcas registradas mencionadas neste material pertencem aos respectivos titulares. Distribuição Escola Superior de Redes Rua Lauro Müller, 116 – sala 1103 22290-906 Rio de Janeiro, RJ http://esr.rnp.br [email protected] Dados Internacionais de Catalogação na Publicação (CIP) F293 Federação café: Provedores de Serviços de Aplicações Federadas / Edré Quintão Moreira, Lídia Aparecida O. Alixandrina – Rio de Janeiro: RNP/ESR, 2014. 88 p. : il. ; 20,5x27,5 cm. ISBN 978-85-63630-39-1 1. Provedor de serviço. 2. Serviço de descoberta. 3. Criptografia de dados (computação). 4. Redes de computadores – medidas de segurança. I. Rosseto, Silvana. II. Titulo. CDD 004.6 Sumário Escola Superior de Redes A metodologia da ESR vii Sobre o curso viii A quem se destina ix Convenções utilizadas neste livro ix Permissões de uso ix Sobre o autor x 1. Introdução à autenticação e autorização federadas Contas vinculadas a serviços 2 Contas desvinculadas dos serviços 2 Autenticação multi-institucional 4 Infraestrutura de autenticação e autorização federada 4 Elementos de uma federação 6 Componente adicional de uma federação 7 Metadados da federação 8 Provedores de Identidade 10 Provedores de serviço 10 Interação entre os elementos de uma federação 11 SAML 2.0 11 Componentes SAML 12 Motivação/Vantagens 14 SAML 2.0 – Web Browser SSO Profile 14 iii Single Sign-On 15 Single Logout 16 Provedores de serviço 16 Exemplos de federações acadêmicas 19 A Federação CAFe 19 Estatísticas Provedores de Serviços da CAFe 21 Estatísticas Provedores de Identidade da CAFe: 21 2. Instalação do Shibboleth SP e do Discovery Service Shibboleth SP 23 Visão geral sobre instalação 23 Discovery Service 25 Implementações do Discovery Service 25 Discovery Service embarcado 26 Discovery Service Centralizado 29 3. Configuração do Shibboleth SP 2.4 Certificados 31 Arquivo shibboleth2.xml 33 Configurações realizadas no shibboleth2.xml 33 Estrutura do arquivo shibboleth2.xml 34 Sessions 37 SessionInitiator 38 Elementos filhos 39 Principais configurações 43 Arquivo attribute-map.xml 44 Elemento filho 45 Arquivo attribute-policy.xml 46 Diretivas de log 48 Configuração do Apache HTTPD 49 Configuração do Apache 49 Configuração do Apache – Certificados 50 iv 4. Configuração de autenticação Shibboleth Utilização de autenticação Shibboleth 51 Front e back channels 52 Autenticação/autorização via servidor web 52 Autorização via Shibboleth 53 Utilização de autenticação Shibboleth 54 Estudo de caso: Moodle 54 Pré-requisitos 55 Configurações no Apache 55 Configurações no Moodle 55 Group Management Tool (GTM) 59 5. Aplicações Federadas Módulo mod_shib 61 Opções do mod_shib 62 Protegendo aplicações 62 Formas de proteger aplicações 63 Protegendo toda a aplicação 63 Protegendo parte da aplicação 64 Lazy sessions 64 Proxy reverso 65 Atributos e mapeamentos 65 Autorização via aplicação 66 Configuração para containers JEE 68 Configuração para PHP 69 Configuração para outras linguagens 69 Implementação da autorização 70 6. Configurações Avançadas do Shibboleth SP SPs Lógicos e Físicos 71 Razões válidas pra adicionar um SP lógico 71 Quando não há necessidade 72 Configurando um SP Lógico 72 Configurações necessárias 73 ApplicationOverride 73 RequestMapper 74 v vi