E-Campus: Um Campus Virtual baseado em Software Livre Luiz Eduardo Buzato (buzato@ccuec.unicamp.br) Centro de Computação (CCUEC) Instituto de Computação (IC) Osvaldo Carvalho LCC-UFMG Open Source: o livre acesso à Informação Científica Fórum Permanente de Conhecimento e TI UNICAMP, 14 de Abril de 2005

O que é um E-Campus? Um E-Campus, ou campus virtual, é um conjunto de serviços on-line (WEB) que apóia a execução de aplicações institucionais, integrando-as e habilitando-as para que estejam disponíveis sempre, em qualquer lugar.

Características de um E-Campus Baseia-se em componentes de software, interfaces e serviços bem definidos (arquitetura de referência e middleware) É consistente com a estrutura organizacional da Instituição (materializa a estrutura da organização) Permite interoperação de E-campi, isto é, permite a criação de federações de E-campi (Internet2).

E-Campus: Arquitetura de Software Usuários Diretório, ICP, Licenças, Arq. Ref. etc. Aplicações: RH ADM Gest. Acad. GED B.D. Middleware: Unix, Linux, Windows, MacOS, etc. Rede de Computadores E-Campus

O que é “middleware”? Termo criado para designar uma camada de software que gerencia segurança, acesso e troca de informações com o propósito de tornar mais fácil e confiável a comunicação e a colaboração por meio de tecnologias da informação. Diretórios, ICPs e Arq. Refs são as partes mais importantes de qualquer middleware para E- Campus.

O que é uma Arquitetura de Referência? Conjunto de componentes de software que permitem o desenvolvimento de aplicações prontas para serem integradas a diretórios e infra-estruturas de chaves públicas (ICPs).

Características de uma AR Abrangência: permite a construção de aplicações distribuídas (web services) típicas da gestão universitária, integração; Facilita desenvolvimento de sw e compra de aplicações, Biblioteca de Componentes Java (UNICAMP); Open source, future-proof; Plataformas (hardware e software) de baixo custo, de prateleira (off-the-shelve). Reduz custos de desenvolvimento e de compra.

O que é um diretório? (Eric Baize) Diretório: base de dados especializada para AUTENTICAÇÃO, AUTORIZAÇÃO E PERSONALIZAÇÃO DE ACESSO. # consultas  # atualizações compartilhada por múltiplas aplicações distribuída replicada facilmente extensível

DR = Doctoral/Resarch Intensive Situação das universidades americanas com relação a diretórios (E-Campi) DR = Doctoral/Resarch Intensive Por que?

Uma boa infra-estrutura de middleware induz Ganhos na segurança e usabilidade em TIC institucional, possibilita o E-Campus. Melhoria na interoperabilidade de aplicações. Cooperação intra-institucional e inter- institucional mais eficaz, segura e confortável. Reduz custos de desenvolvimento próprio. Reduz custos de aquisição de desenvolvimento e de compra de pacotes.

O que é LDAP? LDAP é um protocolo que especifica diretórios de uso geral Lightweight DAP (X500) Domina o mercado Produtos MS Active Directory Novell NDS Sun One (iPlanet) OpenLDAP (software livre)

Diretórios LDAP Uso mais frequente: armazenamento de informações sobre usuários Nomes, emails, telefones, certificados digitais,... Oferecem autenticação Na operação de “bind” Verificando senhas e certificados (assinaturas digitais)

Ganhos Internos com Diretórios

Problemas com sistemas isolados de autenticação Segurança definida por administradores diferentes na sua Unidade/Orgão. Regras para evitar senhas fracas são dificilmente implantadas Matrículas, contratações, demissões envolvem ações de diversos administradores Dificuldade de apresentação racional do conjunto de aplicações a que um usuário tem acesso

Problemas com nichos de informações sobre pessoas e vínculos Redundância e por vezes inconsistência de dados como endereços ou telefones. O desenvolvedor de cada aplicação deve construir seu próprio sistema de autenticação e sua base de usuários, aumentando seus custos A gerência de sistemas que dependem de informações de bases sob outra gerência institucional é complicada (Como exigir que certos computadores só sejam usados por alunos de Engenharia?)

Sistemas com Diretórios O diretório é a referência para AAP. Gerência de usuários eficiente Login e senha únicos Segurança e controle de acesso mais fortes, com concessões e cancelamentos de privilégios em pontos bem determinados (poucos)

Sistemas com Diretórios Administração Unix e Windows simplificada, com admissão automática de calouros, restrições de uso,… Novas aplicações usam autenticação LDAP, padronizada e barata Catálogos de telefones e emails são facilmente mantidos, e podem ser consultados por qualquer cliente de email. Estrutura Organizacional é representada e mantida facilmente (Tabela de Orgãos).

Sistemas com Diretórios A cada dia, mais e mais fornecedores oferecem aplicações habilitadas para diretórios Diversos produtos em software livre (Moodle, DSpace, …) têm autenticação LDAP Um diretório é a base para a implantação de um portal (uPortal, p. ex.) que organiza informações e funcionalidades segundo credenciais do usuário, de forma personalizada (E-Campus) Voz em IP e estruturas de redes (wi-fi) são melhor implantadas usando diretórios LDAP

Ganhos de Interoperabilidade com Diretórios

Exemplo Típico: Coleta de Produção Intelectual Instituições parecidas Problema idêntico, mas… UNICAMP: SIPEX UFMG: Opus UFRJ: Sigma Outras IES …. Por que? O custo da adaptação de uma solução da IES a para a IES b é mais alto do que o de desenvolvimento!

Outro Exemplo: Diário de Classe Especificação simplificada: Aplicação Web Um aluno pode ver seus resultados e só estes O professor pode ver e alterar todos

Diário de Classe Cada universidade tem dados sobre alunos e professores em um formato Como fazer um diário de classe para todas as universidades estaduais paulistas? Como oferecer acesso confortável a todos os diários de classe que interessam a um aluno? E para o professor?

Diretórios e Interoperabilidade Diretórios podem armazenar qualquer tipo de informação Interoperabilidade exige um “esquema de dados” comum Com um esquema IES para alunos, professores e matrículas, é mais fácil fazer um diário de classe para todas as IES (estaduais, federais, etc).

Diretórios e Interoperabilidade Um esquema força a sintaxe de informações Clientes de correio (Outlook, Eudora, Netscape, Notes, OpenOffice) usam qq LDAP com o esquema inetOrgPerson (ou coisa parecida) para localizar pessoas Universidades americanas adotam esquemas como eduPerson, eduOrg, eduCourse Sistema como o TEDE (Biblioteca Digital) do IBICT pode tirar proveito de uma padronização brasileira

Ganhos na Cooperação Multi-Institucional com Diretórios

Como? NSDL Biblioteca Digital para Ensino Médio Alunos  Professores Autenticação e autorização para milhões Credenciais confiáveis e atualizadas Como?

Shibboleth: Uso de Provedores de Identidade (Federações de E-Campi) Pedido Serviço Credenciais? Credenciais Resposta Instituição de Origem Desafio

Um serviço, múltiplos provedores de identidade Instituição de Origem Instituição de Origem Instituição de Origem Instituição de Origem Instituição de Origem A NSDL confia nas instituições A NSDL não tem uma base de usuários, delegando este serviço às instituições

Um usuário, múltiplos serviços Bibliotecas Resposta EAD Instituição de Origem GA Desafio Hospital Somente um login e senha para lembrar Só a instituição de origem vê a senha A instituição confia nos provedores de serviços

Federações e Redes de Confiança Instituição de Origem X Instituição de Origem Y CONTRATO Instituição de Origem Z Instituição de Origem W Instituição de Origem Contrato entre a federação e provedores - de identidades e de serviços

A Federação InQueue Experimental, só para teste de tecnologia Exemplo de serviço: https://authdev.it.ohio- state.edu/twiki/bin/view

Shibboleth Wiki

Shibboleth E-Campus Exemplos de ganhos: Alunos e professores se autenticam em sua instituição de origem Professores podem criar curso intra e inter- institucioais A inscrição é automática para os alunos regularmente matriculados em uma disciplina A exportação de resultados para absorção por sistemas acadêmicos é muito facilitada

Outros Beneficiários em Potencial CNPq, Lattes, SIPEX IBICT SIAPE RNP CAPES FINEP FAPESP e outras FAPs …………..

O Contexto Internacional: Federações Inqueue Internet2, experimental InCommon Internet2, exclusiva para universidades norte-americanas, recentemente em operação FEIDE, SWITCH, SDSS Federações de universidades da Noruega, Suíça, Reino Unido

InCommon Agreement

InCommon Insurance

InCommon: Participantes em 10/04/2005

O Contexto Nacional Não temos um levantamento sistemático de TIC como o Core Data Service (percepção pessoal nossa (leb e ofc)) Diretórios Somente a UNICAMP e UFMG tem diretórios UFMG: Lotus Notes (proprietário), LDAP UNICAMP: piloto experimental LDAP Temos notícias de projetos de diretórios na UFBA, UFRGS e UFSM

A UFMG Programa de diretórios iniciado em 1999 Ponto de partida: Lotus Notes e aplicações Metadiretório É alimentado com dados corporativos Alimenta diretório Domino e OpenLDAP Rede OpenLDAP autentica Linux Aplicações habilitadas para LDAP: Guia de especialistas, anúncios, Sistema acadêmico, …  Necessidade estratégica de mudança de tecnologia

A UNICAMP Estudo de diretórios iniciado em 2003 Piloto LDAP Novo sistema acadêmico baseado em LDAP Experiência com SmartCards, que deve se ampliar com diretórios e certificados digitais Renovação prevista de toda a estrutura computacional com integração com gestão de recursos humanos e gestão acadêmica, através do uso de diretórios Em breve, sistema de EAD modificado para uso de diretórios (Teleduc e Moodle)

Até aqui temos evidências de que Diretórios propiciam racionalização de TIC Na Europa e EUA, há enorme adoção Para participar das redes de confiança mundiais, é preciso se habilitar como provedor de identidades e credenciais No Brasil, o movimento é incipiente E então, como fazer um diretório (habilitar um E-Campus)?

TI Institucional: Situação Típica Sistemas isolados de autenticação Sistemas acadêmicos Sistemas de pessoal, administrativos e hospitalares Ensino a Distância Muitas e muitas instalações de Linux, Windows, etc. Correios eletrônicos não integrados Lattes, SIPEX, SIAPE, CAPES, IBICT, Bibliotecas, etc Cada aplicação ou sistema Seu diretório de usuários Seu administrador de contas Um login e uma senha para lembrar…

Legado UNICAMP: dados sobre pessoas e vínculos Vestibular Matrículas Formaturas Desligamentos Contratações Demissões Aposentadorias Biblioteca NIS Fundação Pós Funcionários GED Visitantes Bolsistas Simpatizantes Graduação Professores

Construção de um Diretório Biblioteca NIS Fundação Pós Funcionários GED Visitantes Bolsistas Simpatizantes Graduação Professores LDAP Meta-Diretório Pessoas e Credenciais Conciliação de Registros Atualização        Construção Identidade Digital

O GT-Middleware (RNP) UNICAMP: Buzato, Gustavo, Miguel CCUEC: Aguinaldo, Fernando, Queiroz, Paulo, Ricardo (lideres de projeto) UFMG: Osvaldo, Edré, estagiários

Objetivo do GT-Middleware Estímulo à adoção por universidades brasileiras de uma estrutura de middleware correta institucionalmente coerente nacionalmente obedecendo a padrões internacionais

Metodologia Implantação de pilotos na UNICAMP e UFMG Desenvolvimento de produtos que podem ser usados por outras universidades com grandes reduções de custos Oferta de informação e capacitação Documentação dos produtos e implantações piloto para facilitar a adoção de Diretórios e a construção de um E-Campus. Sítio informativo

Opções Tecnológicas do GT Aproveitamento máximo dos resultados produzidos no exterior (vamos no vácuo) Padrões e sistemas abertos: Java, XML, LDAP, OpenLDAP, … (Software Livre) Concentração nos aspectos de autenticação e autorização e personalização Coexistência com sistemas legados (integração)

Premissas A instituição possui bases corporativas em funcionamento, com possíveis redundâncias e mesmo discrepâncias de dados Não se exige nenhuma alteração nos processos de negócio que alimentam as bases corporativas já existentes A equipe de implantação deve ter acesso por programas às bases corporativas

Arquitetura do Diretório Importação LDAP Serviços Aplicações Exportação Portal Pessoas Atributos Metadiretório Bases Corporativas

UNICAMP E-Campus UNICAMP (UNICAMPus): CCUEC mantém 6 projetos: Implantação do Diretório (guarda chuva) Assinaturas Digitais Componentes (Java, PHP, Smartcard) Serviço de Diretório Modelagem de Dados Portais

Assinaturas Digitais Atividades: Estudo, Planejamento e Implantação de ICP Baseado no trabalho da ICP-Edu (UNICAMP- UFSC-UFMG) Status: Software da ICP instalado e configurado. Integração com Smartcard em desenvolvimento.

Componentes Java Atividades: Projeto e implementação de Componentes LDAP Java, PHP, etc. Desenvolvimento de rotinas de acesso ao SmartCard Status: Componetes Java: implementação Acesso ao Smart: conversa com GemPlus, em desenvolvimento.

Serviço de Diretório Atividades: Projeto e instalação de um LDAP e de sistemas de AAP unificados UNIX-Windows Status: Diretório piloto operacional Autenticação (single sign-on) UNIX, Windows Estudo sobre métodos de autenticação

Modelagem de Dados Atividades: Desenvolvimento de brEduPerson Status: UNICAMP e UFMG já concordaram sobre o modelo, que inclui dados do HC-UNICAMP (prontuário eletrônico). Modelo de dados será submetido a análise por outras IES (RNP) para padronização.

Portais Atividades: Estudo e implantação de Portais e apoio para Implantação de outras aplicações já habilitadas para diretórios. uPortal, Teleduc, webRT, OpenGroupWare, Moodle, etc.

E-Campus UNICAMP (UNICAMPus) Até julho/05: Piloto do E-Campus em operação: uPortal, webRT, email, calendário, canais personalizados de informação para docentes, alunos e funcionários Outras aplicações interessantes: VoIP, E- Campus wi-fi, Ensino a Distância, Biblioteca Digital, acesso a periódicos, acesso residencial, etc

Desafios 1. Patrocínio institucional 2. Determinação dos pontos de atribuição de identidade na UNICAMP (DGRH, DAC, HC, etc) 3. Identidades temporárias (Exemplo: professores visitantes) 4. Legislação para a ICP (Cadeia de confiança) 5. Tratamento do legado (DGRH, DGA, DAC, etc)

Conclusão Podemos implantar um E-Campus baseado exclusivamente em software livre, facilitando muito o acesso à informação (científica) Diretórios, ICPs e Arquitetura de Referência formam o alicerce de um E-Campus Iniciativa permite convergência de interesses em TIC, permitindo racionalização de investimentos. E-campi, Diretórios, ICPs, etc, já se tornaram infra-estrutura praticamente obrigatória nos EUA e Europa. No Brasil, UNICAMP e UFMG são pioneiras.

Caso da EBSCO EBSCO Information Services Offers Full Shibboleth® Support Internet2 corporate member EBSCO Information Services has incorporated Shibboleth® into its EBSCOhost® research service, which provides online access to 11,000 journals and 5.1 million articles. http://www.ebsco.com/ Shibboleth®, federated authentication technology developed by the Internet2 community, enables more scalable, privacy-preserving access to online resources. Internet2 corporate member EBSCO Information Services, one of the largest publishers of online information, has engaged in a key technology transfer role by incorporating Shibboleth into its commercially-available research service, which provides online access to more than 120 databases and thousands of electronic journals. EBSCO has worked with the Internet2 community to develop and test Shibboleth virtually since the beginning of the project. In collaboration with Internet2 member Ohio State University, EBSCO was the first resource provider site to implement Shibboleth. In 2004, EBSCO announced full Shibboleth support, as one of the authentication mechanism enabling access to more than 11,000 journals and 5.1 million articles.

Obrigado. Questões?