e-Boletín de RedIRIS

Concluye con éxito el proyecto piloto IdPnube

Un proceso previo a su inclusión final en el catálogo de servicios de RedIRIS

 

El proyecto piloto IdPnube, que perseguía demostrar la factibilidad de una solución de IdP SIR2/eduGAIN, y eduroam en una nube propia desplegada por RedIRIS, ha concluido con éxito después de un año de trabajo en el que se han desplegado un total de 23 instancias simultáneamente.

A este estado actual se ha llegado después de una encuesta realizada en 2017 donde se identificaba la necesidad de una solución de estas características, una fase de diseño y desarrollo durante 2018 y buena parte de 2019, y el propio piloto que comenzó hace doce meses y que ahora concluye.

El proyecto ha estado dirigido especialmente a organizaciones de tamaño pequeño-medio, por su dificultad para configurar y mantener una solución de gestión y federación de identidad que permitiese el uso por parte de sus usuarios de servicios tan esenciales como eduGAIN y eduroam.

Especialmente en el caso de la interfederación eduGAIN, un proveedor de identidad abre la puerta a un gran número de recursos que requieren que estas organizaciones puedan gestionar la identidad de sus usuarios.

La arquitectura cloud implementada se ha realizado haciendo uso de contenedores docker sobre un clúster de kubernetes, teniendo en cuenta en todo momento una alta escalabilidad, elasticidad y tolerancia a fallos.

Para cada institución, se identifican cinco microservicios básicos que interactúan entre sí:

  • un proveedor de identidad (basado en simpleSAMLphp), compatible con la federación SIR2, y con los requisitos en cuanto a emisión de atributos de eduGAIN
  • un proveedor de identidad eduroam (basado en FreeRADIUS), que permitiría fácilmente cumplir con ese trámite
  • un repositorio de identidad (opcional), donde se almacena la identidad/atributos de los usuarios. Sobre este microservicio se configura también una solución de gestión de credenciales por parte de los propios usuarios
  • un recolector de logs, que permite al mismo tiempo tener una trazabilidad de todos los eventos que se registran, así como estadísticas
  • un panel de mandos, de desarrollo propio, desde donde los administradores de IdPnube pueden gestionar la identidad de los usuarios, visualizar estadísticas, o configurar preferencias del proveedor

En total sobre el clúster están desplegados 150 contenedores, tanto los destinados a instancia de cada organización como los que están vinculados al sistema, las métricas o la seguridad.

El despliegue y el mantenimiento del clúster ha sido importante, pero no menos la automatización de procesos y la introducción de integración continua en el servicio, lo cual permite corregir cualquier fallo e introducir características nuevas rápidamente en todas las instancias sobre las que aplique.

Una solución de partida, múltiples posibilidades

Una de las características con las que se concibió este servicio desde el principio tenia que ver con que no fuese sólo una solución completa, sino que pudiese adaptarse a distintas situaciones según la organización destinataria de un IdPnube:

  • el escenario más común es el de una institución que no tuviese una solución propia, por lo que la posibilidad de ofrecer toda la gestión y federación de identidad, era un requisito de partida
  • por otra parte, algunas instituciones ya tenían al menos un repositorio de identidad, si bien el despliegue y mantenimiento del software de dos IdPs les suponía un gran esfuerzo, por lo que se ha considerad y probado la conexión de IdPnube con un repositorio remoto desplegado sobre un directorio LDAP

Según José Manuel Macías, uno de los encargados de este proyecto en RedIRIS, “con este piloto hemos descubierto que existen más realidades o ideas con cabida en IdPnube de las que pensamos en un principio. Por ello tendremos en cuenta todo el feedback recibido para que IdPnube se adapte aún más a la problemática de las organizaciones que hagan uso de la solución”.

Conclusiones

El proyecto piloto, durante el cual se han ido implementando una serie de mejoras y correcciones sobre la solución de partida, ha permitido reunir bastante información en cuanto a requisitos de dimensionamiento, sirviendo de gran ayuda a la hora de definir prioridades antes de pasar la fase de producción.

“También queremos destacar que en RedIRIS hemos aprendido mucho sobre lo que implica un servicio de estas características, del tipo de riesgos e incidentes que pueden producirse y de la manera de solucionarlos. Queremos agradecer a todas las instituciones que han depositado su confianza en nosotros al participar en el piloto, así como por su comprensión y paciencia cuando se han detectado fallos”, añade José Manuel Macías antes de indicar que “nada de esto sería posible sin la coordinación de las distintas áreas de RedIRIS, motivo por el que queremos resaltar el desempeño de los compañeros destinados especializados en Middleware, Sistemas, Seguridad y NOC”.

RedIRIS ha recopilado las necesidades de aquellas organizaciones que no han podido participar en este piloto por diferentes motivos, pero que han manifestado su interés en una solución como IdPnube. Sus sugerencias y puntos de vista serán tenidos en cuenta en el momento de valorar cambios futuros que agilicen la puesta a disposición de IdPnube para nuestras instituciones afiliadas.

Este servicio entra ahora en una nueva fase en la que se irán agregando nuevas características e incorporando gradualmente nuevas organizaciones, al tiempo que terminan de definirse todas sus funcionalidades con garantías plenas de escalabilidad, resiliencia y la más alta seguridad, un proceso previo a la inclusión final de IdPnube en el catálogo de servicios de RedIRIS.

Más información en los portales de eduGAIN y eduroam

(*) Este artículo ha sido redactado gracias a la colaboración del Equipo de IdPnube de RedIRIS.