Scitokens

El proyecto SciTokens permite un ecosistema confederado la autorización en el uso de infraestructuras de cómputo científicas distribuidas.

La comunidad de computación científica tiene necesidades de autorización únicas que se pueden satisfacer mediante el uso de tecnologías web comunes, como OAuth 2.0 y JSON Web Tokens.

El modelo Scitoken

token model

Los usuarios que han iniciado sesión en un host específico generan un token de actualización y lo almacenan en el administrador de tokens local. A continuación, envían los trabajos al gestor de colas local. Cuando el gestor de colas está preparado para ejecutar los trabajos del usuario, se pone en contacto con el gestor de tokens para crear un token de acceso. El gestor de colas envía el token de acceso al host de ejecución y lo coloca en el entorno de tiempo de ejecución del trabajo. Cuando el trabajo intenta acceder posteriormente a los datos, utiliza el token de acceso para obtener autorización.

Uso de tokens en la Grid UNAM

Para hacer uso de los recursos de la Grid UNAM mediante el envío de un trabajo se requiere un token y este token es emitido por una entidad frente a la cual el usuario debe proporcionar sus credenciales, por lo tanto el primer paso a relizar por el usuario es ingresar sus credenciales en la entidad emisora de tokens.

INDIGO Identity and Access Management (IAM)

En la Grid UNAM Indigo IAM es el sistema que emite los token necesarios para el envío de trabajos, se puede tener acceso mediante la siguiente URL: https://grid.atmosfera.unam.mx/

Para obtener una cuenta se puede asociar la cuenta RIU (https://www.riu.unam.mx/) *recomendado, o bien realizar la solicitud de cuenta en el sistema Indigo.

Asociar cuenta RIU en Indigo (recomendado)

Teniendo cuenta en el sistema RIU de la universidad es posible asociarla al sistema Indigo para solicitar token para el envío de trabajos en la Grid, para llevar a cabo la anterior ingresar a la página de Indigo https://grid.atmosfera.unam.mx/ y seleccionar "sing in with IDP UNAM (RIU)", a continuación seleccionar "IdP National Autonomous University of Mexico", se mostrará la página del proveedor de identidad de la UNAM (https://idp.unam.mx/)donde se deben ingresar las credenciales proporcionadas para el sistema RIU. Las siguientes imágenes muestran el procedimiento anterior:

En este punto es necesrio llenar los campos para asociar la cuenta RIU con una cuenta en el sistema indigo. Todos los campos son obligarios.

Los nombres de usuario solo deben contener letras y/o números: a-Z 0-9

En el correo ingresado llegará una liga para confirmar la solicitud y una vez confirmada ésta debera ser autorizada por el administrador del sistema Indigo.

Cuando la solicitud es aprovada nos llegara la notificación al correo eléctronico registrado. En el cuerpo del correo se proporciona un enlace para establecer una contraseña a la cuenta, este paso no es necesario ya que la cuenta se encuentra asociada al IdP (RIU) de la universidad.

Solicitud de cuenta en Indigo

Para solicitar una cuenta directamente al sistema Indigo se debe ingresar a la página https://grid.atmosfera.unam.mx/ y llenar el formulario :

Los nombres de usuario solo deben contener letras y/o números: a-Z 0-9

En el correo ingresado llegará una liga para confirmar la solicitud y una vez confirmada ésta debera ser autorizada por el administrador del sistema Indigo.

Cuando la solicitud es aprovada nos llegara la notificación al correo eléctronico registrado. En el cuerpo del correo se proporciona un enlace para establecer una contraseña a la cuenta.

Solicitud de token

La solicitud del token debe realizarse desde el nodo de envío (nodo submit) utilizando las herramientas oidc-agent (https://github.com/indigo-dc/oidc-agent). Los pasos son los siguientes:

  1. Iniciar el agente con el comando oidc-keychain
  2. Generar un perfil con el comando oidc-gen
  3. Solicitar un token con el comando oidc-token

Se describen a continuación los pasos para configurar y probar condor-ce con SCITOKENS como método de la autorización.

Configuración en el servidor:

  • Agregar UNAMgridCA como CA de confianza
  • Configurar en condor-ce el método de autenticación SCITOKENS

Configuración en el cliente, 3 posibles casos: nodo submit (nodo condor-CE), nodo UI, por verificar miniHTcondor

  • Solicitar cuenta en el sistema Indigo-IAM
  • Instalación software "oidc-agent" para solicitar tokens
  • Generar perfil para la solicitus de token
  • Solicitar el token
  • Pruebas y envío de trabajos

Manejo de tokens

Inicial

Contribución

Autores de esta página:
Leobardo Itehua (46.34%), Leobardo Itehua (6.1%), Pedro Damián Cruz Santiago (47.56%)

Última revisión de esta página:
2023-03-27
Leobardo Itehua Rico

Créditos

Todos los derechos reservados © 2022 Universidad Nacional Autónoma de México.
Prohibida la reproducción parcial o total sin autorización expresa de la
Universidad Nacional Autónoma de México – UNAM.
Ciudad Universitaria, Ciudad de México. México.