Protocolo

O protocolo utilizado pela Federação CAFe para a troca de informação entre os membros é o SAML na versão 2.0 [1].


Software

A Federação CAFe oferece suporte para o sistema Shibboleth [2], nas versões 2.x. Outros softwares compatíveis com o protocolo indicado pela Federação podem ser utilizados. Porém, não haverá suporte por parte da RNP.


Sistema Operacional

A Federação CAFe oferece suporte para o sistema operacional Linux nas distribuições Ubuntu 10.04 LTS e 12.04 LTS.Outros sistemas operacionais podem ser utilizados. Porém, não haverá suporte por parte da RNP.


Metadados

Os metadados da Federação CAFe são disponibilizados no formato SAML 2.0 Metadata [1, 3].


Sistemas de apoio e adequações auxiliares

Os sistemas utilizados para analisar a experiência dos usuários dentro da Federação CAFe são de instalação obrigatória para os provedores de identidade. Além disso, a Gerência de Serviços da RNP poderá solicitar adequações e atualizações nos provedores de identidade, também em caráter mandatório.

Atualmente, as seguintes instalações e adequações são requeridas:

  • Sistema de estatísticas;
  • OpenSSL nas versões 0.9.8za ou anterior, 1.0.0m ou posterior, ou 1.0.1h ou posterior. 

Certificados

Os certificados gerados para os provedores devem respeitar as seguintes restrições:

  • Nome distinto: o campo common name deve ser preenchido com o nome completo de domínio (FQDN) do servidor.
  • Validade: o certificado deve ser válido, ou seja, deve estar dentro do período de validade, não estar revogado, e ter sua política do caminho de certificação correta.
  • Algoritmo de assinatura: deve ser utilizado o algoritmo RSA ou ECDSA com hash SHA-2. Admite-se o uso de hash SHA-1 para sistemas e certificados legados.
  • Tamanho da chave: recomendam-se chaves de RSA de 2048 ou 4096 bits, devendo ser de, no mínimo, 1024 bits e de, no mínimo, 256 bits para ECDSA.
  • Campo de Uso da Chave: os bits digitalSignature e keyEncipherment devem ser iguais a 1 (verdadeiros).
  • Uso estendido da chave: deve incluir o identificador serverAuth para provedores de identidades e clientAuth para provedores de serviço.
  • Extensão de restrições básicas: O bit cA da extensão de restrições básicas deve ser igual a 0 (falso).

Atributos

Recomenda-se que os Provedores de Identidade sejam capazes de liberar os seguintes atributos:

AtributoDescriçãoFonte
cnNome do usuárioinetOrgPerson [4]
snSobrenome do usuárioinetOrgPerson [4]
mailEndereço de e-mail do usuárioinetOrgPerson [4]
eduPersonPrincipalNameIdentificador único do usuário dentro da federação. Formato: identificador@domínioeduPerson [5]
brEduAffiliationTypeTipo de vínculo do usuário com a instituição. Valores possíveis: faculty, student, position, scholarshipawardee, otherbrEduPerson [6]


Existindo atributos disponíveis, os Provedores de Identidade devem disponibilizá-los no seguinte formato:


FonteSAML 1.1SAML 2.0
inetOrgPersonurn:mace:dir:attribute-def:urn:oid:
eduPersonurn:mace:dir:attribute-def:urn:oid:
brEduPersonurn:mace:rnp.br:attribute-def:urn:oid:


[1] Security Assertion Markup Language (SAML) v2.0.

[2] Shibboleth web page.

[3] SAML V2.0 Metadata Interoperability Profile.

[4] Definition of the inetOrgPerson LDAP Object Class (RFC2798).

[5] eduPerson Object Class Specification (200806).

[6] Esquema brEduPerson.