Para la solución de expediente electrónico, tengo algunas preguntas / dudas sobre la integracion de usuarios.
¿Es posible tener mas de un proveedor de identidad y que el usuario pueda seleccionar cual quiera usar para acceder al sistema?
En este post http://foro.comunidad.siu.edu.ar/index.php?topic=20634.0 veo que hay una aproximación a como se reemplazaría el IDP o arai-usuarios… pero pareciera que siempre habla de tener uno solo… ¿es posible tener mas de uno? ¿y como afectaría esto a la integración de aplicaciones?
Me pregunto que pasaria si se quiere usar alguna forma de identidad federada… que pasa con arai-documentos por ej, y como afectaria a las distintas integraciones?
¿es posible tener mas de un desplieque de ARAI y que SUDOCU interactue con ambos… (por ejemplo porque distintas areas agrupan distintos sistemas con autonomia: Hacienda pilaga y diaguita… Recursos Humanos Mapuche, Academica, Guarani, etc… )
Bueno, son varias preguntas. Agradezco info para ir clarificándolas.
Saludos!
No quiero hablar por la gente de Sudocu, pero en esencia, las aplicaciones siempre se conectan a un solo proveedor de identidad. Es posible que, a su vez, este proveedor de identidad (llamese arai-usuarios, SimpleSAMLPhp, keycloak, openam, etc) soporte federeración o delegación del IDP. Arai-Usuarios está construido con la librería SimpleSAMLPhp y tenemos casos de éxito que fueron mostrados en un ticar sobre como conectar arai-usuarios a la red de federación de identidades en las UUNN…
Es otra la cuestión sobre los datos que viajan en el token SAML y que son consumidos por las aplicaciones SIU. Ese caso, con identidad federada, nunca lo hemos probado.
Bien, en el caso de arai-documentos, lo que este necesita es el acceso a una api que provee consulta de las identidades o usuarios… arai-documentos por defecto sale con soporte a la api REST de arai-usuarios, pero tranquilamente UDS pueden implementar un conector a un repositorio propio de identidades. Es cuestión de implementar una clase php y una interfáz…
Y la verdad es que “suena raro” tener islas de identidades. Lo normal sería que UDS puedan desplegar un único arai-usuarios (o SSO equivalente) y que cada espacio autonomo pueda gestionar sus sistemas y conectarse. Si es por cuestión de seguridad/confianza, próximamente vamos a soportar configurar 2FA sobre usuario, cuenta y/o aplicación, quizá les pueda ser de utilidad bajo ese esenario para así garantizar ciertas cosas.