Maykon Chagas de Souza Implantac¸a˜o de uma Comunidade Acadeˆmica Federada para Experimentac¸a˜o usando Framework Shibboleth Sa˜oJose´ –SC Julho/2014 Maykon Chagas de Souza Implantac¸a˜o de uma Comunidade Acadeˆmica Federada para Experimentac¸a˜o usando Framework Shibboleth Monografia apresentada a` Coordenac¸a˜o do Curso Superior de Tecnologia em Sistemas de Telecomunicac¸o˜es do Instituto Federal de Santa Catarina para a obtenc¸a˜o do diploma de Tecno´logoemSistemasdeTelecomunicac¸o˜es. Orientadora: Prof. Michelle S. Wangham, Dra. Co-orientador: Prof. Emerson Ribeiro de Mello, Dr. CURSO SUPERIOR DE TECNOLOGIA EM SISTEMAS DE TELECOMUNICAC¸O˜ES INSTITUTO FEDERAL DE SANTA CATARINA Sa˜oJose´ –SC Julho/2014 Monografia sob o t´ıtulo “Implantac¸a˜o de uma Comunidade Acadeˆmica Federada para Experimentac¸a˜o usando Framework Shibboleth”, defendida por Maykon Chagas de Souza e aprovada em 9 de Julho de 2014, em Sa˜o Jose´, Santa Catarina, pela banca examinadora assim constitu´ıda: Profa. MichelleS.Wangham,Dra. Orientadora UNIVALI Prof. EmersonRibeirodeMello,Dr. Co-orientador IFSC Prof. EraldoSilveiraeSilva,Dr. IFSC Prof. ArlionesStevertHoellerJunior,Msc. IFSC Semprequeteperguntaremsepodesfazerumtrabalho, respondasquesimeteponhasemseguidaaaprendercomosefaz. F.Roosevelt Agradecimentos Dedico meus sinceros agradecimentos a` minha orientadora, prof. Michelle S. Wangham, pelapacieˆnciaededicac¸a˜ocomquemeconduziuparaconclusa˜odestetrabalho. Aoprof. Emer- son Ribeiro de Mello, por ter acreditado em mim e ter me indicado para a Bolsa de Iniciac¸a˜o Cient´ıfica, que proporcionou a elaborac¸a˜o deste trabalho, e a RNP pelo financiamento e crenc¸a napesquisanoaˆmbitodeGesta˜odeIdentidade. Gostariatambe´mdeagradecerespecialmentea` minhafam´ıliaeaElizaSodre´ deSouza. Resumo A disponibilidade de servic¸os e aplicac¸o˜es acess´ıveis remotamente na Internet tornou a gesta˜o de identidades uma estrutura complexa de manter, tanto para usua´rios quanto para ad- ministradores de sistemas. Para contornar isto, o modelo de gesta˜o identidades federadas tem como objetivo facilitar o acesso aos servic¸os. No entanto, a implantac¸a˜o de uma federac¸a˜o na˜o e´ trivial e, para muitos pesquisadores que esta˜o desenvolvendo trabalhos nesta a´rea, implantar uma federac¸a˜o para realizar experimentos pra´ticos e´ uma tarefa custosa e demorada. Este tra- balho tem como objetivo implantar e disponibilizar uma infraestrutura para que pesquisadores possam conduzir experimentos em uma federac¸a˜o acadeˆmica baseada no framework Shibbo- leth. Este trabalho envolveu (1) um estudo bibliogra´fico sobre gesta˜o de identidades federadas, em especial do Framework Shibboleth e do padra˜o SAML; (2) a instalac¸a˜o e configurac¸a˜o das entidades que compo˜em uma federac¸a˜o; (3) a preparac¸a˜o de ma´quinas virtuais pre´ configura- das com uma federac¸a˜o completa e com as entidades da federac¸a˜o; (4) a disponibilizac¸a˜o da federac¸a˜o para experimentac¸a˜o e o apoio te´cnico aos pesquisadores; e, por fim (5) a avaliac¸a˜o dosservic¸osoferecidosnafederac¸a˜oeoservic¸odeapoioprestado. Palavras-chave: Gesta˜odeidentidadesfederadas,Especificac¸a˜oSAML,FrameworkShib- boleth,Ambientevirtual,Experimentac¸a˜o Abstract The availability of accessible services and applications on the Internet has complicated the management of identities, for both users and system administrators. To go around this, the federated identity model aims to improve the access to services. However the implementation of a federation is not trivial and, for many researchers who are developing studies on this field, deploying a federation to conduct practical experiments is a long and costly task. This paper aimstoimplementandprovideavirtualenvironmentforresearcherstoconductexperimentsin a fedaration based on the Shibboleth framework. This paper involved (1) a bibliographic study offederatedidentitymanagement,inparticulartheFrameworkShibbolethandSAMLstandard; (2) the installation and configuration of entities within a federation; (3) the preparation of pre- configuredvirtualmachineswithafullfederationandthefederationentities;(4)theavailability of the federation for experimentation and technical support to researchers; and finally (5) the evaluationoftheservicesofferedinthefederationandservicesupport. Keywords: FederatedIdentityManager,SAML,FrameworkShibboleth,testbed Suma´rio ListadeFiguras ListadeTabelas ListadeAbreviaturas p.13 1 Introduc¸a˜o p.16 1.1 Problemadepesquisa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.17 1.2 Soluc¸a˜oproposta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.18 1.3 Objetivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.19 1.3.1 Objetivogeral . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.19 1.3.2 Objetivosespec´ıficos . . . . . . . . . . . . . . . . . . . . . . . . . . p.19 1.4 Metodologia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.20 1.4.1 Metodologiadapesquisa . . . . . . . . . . . . . . . . . . . . . . . . p.20 1.4.2 Procedimentosmetodolo´gicos . . . . . . . . . . . . . . . . . . . . . p.20 1.5 Estruturadotrabalho . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.21 2 Fundamentac¸a˜oteo´rica p.22 2.1 Introduc¸a˜o . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.22 2.2 Gesta˜odeIdentidade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.22 2.2.1 ModelosdeGesta˜odeIdentidade . . . . . . . . . . . . . . . . . . . p.24 2.3 Especificac¸o˜esSAML . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.27 2.3.1 ComponentesSAML . . . . . . . . . . . . . . . . . . . . . . . . . . p.28 2.4 FrameworkShibboleth . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.33 2.4.1 ProvedoresShibboleth . . . . . . . . . . . . . . . . . . . . . . . . . p.34 2.4.2 Servic¸osadicionais . . . . . . . . . . . . . . . . . . . . . . . . . . . p.38 2.5 Considerac¸o˜esfinais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.43 3 Federac¸a˜oCAFe p.44 3.1 Comofunciona . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.44 3.2 Servic¸osdispon´ıveis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.45 3.3 Acordosinternacionais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.47 3.3.1 EduGAIN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.47 3.3.2 REFEDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.48 3.4 EsquemabrEduPerson . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.49 3.4.1 EstruturadoesquemaeduPerson . . . . . . . . . . . . . . . . . . . . p.50 3.5 Concluso˜esdocap´ıtulo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.51 4 Federac¸a˜oCAFeExpresso p.52 4.1 Visa˜ogeraldaCAFeExpresso . . . . . . . . . . . . . . . . . . . . . . . . . p.53 4.1.1 Tecnologiaseferramentasutilizadas . . . . . . . . . . . . . . . . . . p.55 4.1.2 Infraestrutura . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.56 4.1.3 IdentityProvider-IdP . . . . . . . . . . . . . . . . . . . . . . . . . p.57 4.1.4 ServiceProvider-SP . . . . . . . . . . . . . . . . . . . . . . . . . . p.59 4.2 Relac¸a˜odeprojetosusua´riosdaCAFeExpresso . . . . . . . . . . . . . . . . p.60 4.3 PesquisadeusodaCAFeExpresso . . . . . . . . . . . . . . . . . . . . . . . p.62 4.3.1 Objetivodapesquisa . . . . . . . . . . . . . . . . . . . . . . . . . . p.62 4.3.2 Resultadosdapesquisa . . . . . . . . . . . . . . . . . . . . . . . . . p.62 4.4 Considerac¸o˜esfinais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.69 5 Concluso˜es p.70 5.1 Trabalhosfuturos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p.71 RefereˆnciasBibliogra´ficas p.72 ApeˆndiceA--Cartaconviteparapesquisadeuso p.74 ApeˆndiceB--Experimento: UsofederadocomuApproveeWAYF p.75 Apeˆndice C -- Experimento: Acesso federado com Embedded DS (WAYF embar- cado) p.77 ApeˆndiceD--RespostasdescritivasdapesquisarealizadasobreaCAFeExpresso p.78 D.1 RespostasreferenteaofuncionamentodouApprove . . . . . . . . . . . . . . p.78 D.2 RespostasreferenteaousodaCAFeExpresso . . . . . . . . . . . . . . . . . p.78