Gestão de identidades e ICPEDU
ou
Como implementar uma AR
na sua instituição?
Jeroen van de Graaf
Laboratório de Computação Científica
UFMG
Utilidade de uma ICP
ƒ Em processos administrativos deve
ter não-repúdio, portanto rigor é
necessário
– Dados no certificado
– Titular assinar por receber certificado
ƒ Utilidade ICP cresce quadraticamente
com o número de pessoas que tem
um certificado
Como emitir certificados
para milhares de pessoas?
Resposta da UFMG:
ƒ Integração com dados e processos
existentes
– Usar bancos de dados de professores,
funcionários e alunos
– Usar os canais oficiais da universidade para obter
o rigor exigido
ƒ “Você já tem uma excelente AR mas não
sabe”
Projetos de gestão de
identidades na UFMG
ƒ Projeto Grude (desde 2000)
ƒ Projeto GT-Diretórios (com PUC-RIO
e UFPR)
ƒ Projeto GT-Middleware (com
Unicamp)
ƒ Projeto PINGIFES (para o
MEC/SESU)
– Prêmio TI e Governo
Projeto Grude
ƒ Email para todo mundo com vínculo
com a UFMG
ƒ Baseado em produtos Notes
ƒ Como administrar 35 mil usuários?
Princípios
ƒ Aproveitar dos BDs existentes
ƒ Unificar os registros das pessoas
ƒ Convergir para um meta-diretório (BD
tradicional)
ƒ Construuir identidades digitais
ƒ Alimentar o servidor Notes a partir do
meta-diretório
Construção de um MetaDiretório
ED
G
NIS
Professo
a
r es
d
s
n
S
ó
imp
u
P
F
atiz
Bolsistas
ant
o
ã
ç
Biblio
a
es
s
u
o
i
r
d
á
n
a
o
i
r
c
n
teca
G
Fu
o
ã
ç
Aposentadorias
Demissões
Contratações
Desligamentos
Formaturas
Matrículas
Vestibular
Visitantes
Fluxo
itantes
D
ãVoisSP
NIS
ç
r ssoGrE
e
da Póismopfe
s
n
a
s
isita
BolsB
anst
çãnocionátirizo
blioFtueraduau
es
F
G ca
Notes
Conciliação
de Registros
Atualização
MetaDiretório
Pessoas e
Credenciais
Construção
Identidade
Digital
bc bc bc bc
bc bc bc bc
bc bcbc bc
Criação de conta
ƒ Usuário
– escolhe login
– escolhe uma senha
– fornece NIP
ƒ Sistema
– cria identidade digital
Autenticação com NIP
ƒ Carta com 10 NIPs
– senha descartavel
– números aleatórios
ƒ Entrega controlada ao usuário
– malote às Secretarias
– dia de registro dos Calouros
ƒ Uso atual
– Criação conta no Grude
– Redefinir senha Grude
Definição de Grupos
ƒ Grandes grupos definidos por SQL
– Alunos de Cálculo I
– Professores de Engenharia
ƒ Uso
– controle de acesso
– email
GT-Diretórios
O que é LDAP?
ƒ Light-weigth Directory Access
Protocol
ƒ serviço
– protocolo
• em cima de TCP/IP
• portanto permite SSL --> LDAPS
– devolve dados (como o DNS)
Para que serve LDAP?
ƒ Contém dados que são alterados com
pouca freqüência, mas que são
consultados constantemente:
– Dados pessoais
• nome, sala, ramal
– Atributos do usuário
• login, senhas, home directory, grupos, ...
AuteNticação X
AutoriZação
ƒ autenticar = estabelecer a identidade
do usuário
ƒ autorizar = estabelecer os privilégios
do usuário
Entradas
member cn=Paulo Lara_quimica_n_grad_ICEX_UFMG,
ou=people,dc=ldap_ufmg,dc=ufmg,dc=br
loginShell
/etc/ufmgsh
homeDirectory /ufmg_home/plara
gidNumber
100
uidNumber
7750
gecos Paulo Lara,CN=Paulo Lara
/OU=LCC/OU=ATI/OU=REITORIA/O=UFMG,,
cn Paulo Lara_LCC_ATI_REITORIA_UFMG
userPassword [B@106df95
objectClass account
uid
plara
objectClass posixAccount
objectClass shadowAccount
objectClass top
Ganhos do LDAP
ƒ Catálogo no Outlook, Thunderbird, ...
ƒ VoIP
ƒ Senha única
– Linux (laboratórios alunos)
– Aplicações (diário de classe, …)
– Moodle (educação a distância)
– uPortal
ƒ Autenticação intra-institucional (com
Shibboleth)
ƒ Single Sign-On (com CAS)
ƒ (Autoridade Registradora)
Mas como popular
LDAP?
ƒ Manualmente ????
– Usuários são mantidos por um
administrador
– Viáveis para poucos usuários (ordem de
dezenas)
ƒ Automaticamente !!!!
– Integrados aos processos de negócio
– Administrados automaticamente
GT-Middleware
Idéia principal do GTMiddleware
ƒ Aplicar as lições do Grude na área de
LDAP
– Usar dados legados
– Unificar pessoas
– Criar meta-diretório
– Criar identidade digital com NIPS
– Alimentar servidor LDAP
Fluxo
itantes
D
ãVoisSP
NIS
ç
r ssoGrE
e
da Póismopfe
s
n
a
s
isita
BolsB
anst
çãnocionátirizo
blioFtueraduau
es
F
G ca
LDAP
Conciliação
de Registros
Atualização
MetaDiretório
Pessoas e
Credenciais
Construção
Identidade
Digital
bc bc bc bc
bc bc bc bc
bc bcbc bc
O que a instituição tem
que fazer?
ƒ Pesquisar quais banco de dados
legados contêm dados sobre
pessoas
ƒ Escrever scripts de exportação para
ser compatível com a ferramenta EID
(=Export Import Directory)
ƒ O resto está “pronto”
(conceitualmente)
Existe um caminho mais
simples!
ƒ PINGIFES agrega dados dos alunos para
o MEC
ƒ PINGIFES definiu um padrão de dados
para alunos
ƒ Os IFES já fizeram os scripts de
exportação para este padrão
ƒ Falta só fazer um script de importação a
partir deste padrão
Fluxo
itantes
D
ãVoisSP
NIS
ç
r ssoGrE
e
da Póismopfe
s
n
a
s
isita
BolsB
anst
çãnocionátirizo
blioFtueraduau
es
F
G ca
Padrão
PINGIFES
LDA
Conciliação
de Registros
Atualização
MEC
MetaDiretório
Pessoas e
Credenciais
Construção
Identidade
Digital
bc bc bc bc
bc bc bc bc
bc bcbc bc
Integração Gestão de
Identidades com ICPEDU
Emitindo certificados
usando os NIPs
ƒ GT-Middleware fornece
– os dados da pessoa num meta-diretório
– um mecanísmo de autenticação confiável:
os NIPs
ƒ Então exija que a pessoa digite um
novo NIP quando ele solicitar um
certificado
Onde fica a AR agora?
ƒ Os dados são oficiais
– Departamento de Pessoal
– Dept. de Registro e Controle Acadêmico
ƒ Entrega formal NIPs
– Por malote
– Dia de Registro do Calouro
ƒ Verificação NIP
– Pela aplicação, ao solicitar o certificado
Conclusões /
Recomendações
Recomendações
ƒ A emissão de certificados em grande
escala deve ser integrada com a
Gestão de Identidades
– Meta-diretório
– LDAP, Shib, ...
– NIPs
– AR integrada
(expandindo GT-Middleware)
Recomendação
ƒ Armazenar chave privada do titular
– Ideal: num smart card
– Por enquanto: num arquivo cifrado
Observação
ƒ Shibboleth exige um acordo entre
instituições, chamado federação
– Padrão universal de dados no LDAP,
chamado BrEduPerson
– Regras sobre o rigor aplicado
ƒ Federação PINGIFES / EduBR
ƒ São em parte os mesmos problemas
que no caso da ICPEDU!!!
Recomendações
ƒ Para interoperabilidade devem existir
acordos entre as universidades sobre
os requisitos mínimos de um certificado
ƒ Estes requisitos mínimos devem ser
rigorosos (senão o resultado não vale o
esforço)
ƒ Faz muito sentido juntar a Federação
Shib EduBR com o CG-ICPEDU
Download
  1. No category

Gestão de identidades e ICPEDU ou Como implementar uma AR na

atribuições e responsabilidades das unidades/órgãos e da

atribuições e responsabilidades das unidades/órgãos e da

ARNALDO GOMES DOS SANTOS JUNIOR

ARNALDO GOMES DOS SANTOS JUNIOR

Apoio técnico > Tabelas e quadros © 2008 Projeto Sonoridade em

Apoio técnico > Tabelas e quadros © 2008 Projeto Sonoridade em

Prof. Claudia Andrea Mayorga Borges (UFMG)

Prof. Claudia Andrea Mayorga Borges (UFMG)

Maria Jose Gazzi Salum

Maria Jose Gazzi Salum

proximas videos2(1)

proximas videos2(1)

VINÍCIUS QUEIROGA FORTES RIBEIRO 53ª Defesa de Dissertação

VINÍCIUS QUEIROGA FORTES RIBEIRO 53ª Defesa de Dissertação

Data: 24 de Abril Horário: 14h Local: Sala 2094 | FAFICH | UFMG

Data: 24 de Abril Horário: 14h Local: Sala 2094 | FAFICH | UFMG

DECLARAÇÃO REFERENTE A BOLSA DE ESTUDOS

DECLARAÇÃO REFERENTE A BOLSA DE ESTUDOS

Hernani Castro.

Hernani Castro.

Artigo

Artigo

Avaliação da dor no recém-nascido prematuro

Avaliação da dor no recém-nascido prematuro

Um estudo da integração do MS-AD com fontes de dados diversas

Um estudo da integração do MS-AD com fontes de dados diversas

Sistema operacional

Sistema operacional

Guia de Solução de Problemas do NetIQ eDirectory 8.8 SP8

Guia de Solução de Problemas do NetIQ eDirectory 8.8 SP8