Creación de Federación de Iden-dad para las Redes Académicas Camila Santos Analista em TIC – RNP Iden/ty Management Workshop (CHAINREDS-­‐ELCIRA) Cancún, México Mayo/2014 Camila Santos • Analista en TIC de RNP (Brasil) • Ingeniera informá-ca por la UNICAMP (Brasil), especialista en ingeniería de redes y sistemas de telecomunicaciones • Cer-ficada ISO 20000 y ITIL v3 • Trabaja con el equipo de ges-ón de servicios en RNP desde 2009, y en federaciones de iden-dad desde 2010 • Miembro del Comité Técnico de Ges-ón de Iden-dad en Brasil Índice • • • • • • • • • • Federaciones de iden-dad Elementos y conceptos de una federación Cómo funciona una federación Definición de polí-cas Definición del esquema Proveedores de iden-dad y de servicio Discovery Service Cer-ficados Metadatos de la federación Ges-ón de iden-dad Federaciones de iden/dad Federaciones de iden/dad • El problema de cuentas de usuario versus acceso académico a servicios ― En ambientes académicos es posible encontrar los siguientes escenarios: ― Sistemas que solo pueden ser u-lizados dentro de la red de la ins-tución ― Sistemas que solo pueden ser u-lizados por usuarios específicos Federaciones de iden/dad • El problema de cuentas de usuario versus acceso académico a servicios ― En ambientes académicos es posible encontrar los siguientes escenarios: ― Sistemas que solo pueden ser u-lizados dentro de la red de la ins-tución Poco cómodo ― Sistemas que solo pueden ser u-lizados por usuarios específicos Nuevas cuentas de usuario Federaciones de iden/dad • Hay posibilidades… ― U/lización de proxy para acceso remoto a servicios § Puede exigir conocimiento técnico del usuario § Mayor trabajo del equipo de soporte ― Una cuenta para cada servicio, por usuario § El usuario debe acordarse de muchos nombres y contraseñas § El administrador debe definir diferentes permisos para cada cuenta de cada usuario ― Cuenta única para departamentos o para clases de usuarios § No hay como diferenciar los derechos de un usuario § No hay como hacer una auditoria Federaciones de iden/dad • … o se puede u/lizar una federación • ¿Qué es? ― Red de confianza en que cada ins/tución es responsable por realizar la auten/cación y proveer informaciones sobre sus usuarios hasta servicios autorizados ― Sus conceptos están basados en una infraestructura de auten/cación y autorización, que permite a los usuarios que mantengan todos sus atributos en la ins/tución de origen y acceder a los recursos ofrecidos por la federación ― Los servicios de la federación deben estar basados en las relaciones de confianza definidas por la RNIE Federaciones de iden/dad • Beneficios para la creación de federaciones – para quién accede ― Acceso a recursos y servicios restrictos al ambiente académico de fuera de la red de la ins/tución y sin necesidad de un proxy ― Una única iden/dad sirve como pasaporte para los servicios académicos y para los servicios federados ― Seguridad en el envío de informaciones y reconocimiento del usuario ― Single Sign-­‐on (SSO) Federaciones de iden/dad • Beneficios para la creación de federaciones – para quién provee ― Controle de acceso y garan_a de iden/dad de los usuarios ― Adopción creciente por ins/tuciones en todo el mundo ― No necesita mantener cuentas de usuario ― Menor cuesto de manutención del servicio Federaciones de iden/dad • Federaciones existentes actualmente Finlandia - Haka# # Austria - ACOnet# Australia - AAF# Bélgica - Belnet# Brasil - CAFe# Canadá - CAF# Suiza - SWITCHaai# Chile - COFRe# República Checa – eduID.cz# Alemania - DFN-AAI# Dinamarca - WAYF# Estonia - TAAT# España - SIR# 30 federaciones, más 11 Francia - Fédération Éducation-Recherche# Grecia - GRNET# Croacia - AAI@EduHr# # # Hungría - eduID.hu# Irlanda - Edugate# Italia - IDEM# Japón - GakuNin# Letonia – LAIFE# Holanda - SURFfederatie# Noruega - FEIDE# Nueva Zelanda - Tuakiri New Zealand Access Federation# Portugal - RCTSaai# Suecia - SWAMID# Eslovaquia - ArnesAAI Slovenska # Reino Unido - UK Access Management federaciones piloto# Federation for Education and Research# Estados Unidos - InCommon# Federaciones de iden/dad • REFEDS -­‐ Research and Educa/on Federa/ons ― Tiene por obje/vo el cambio de procesos, prác/cas y polí/cas entre federaciones de iden/dad, y también de favorecer la discusión de modos de facilitar la interacción entre federaciones ― REFEDS man/ene una lista de todas las federaciones que trabajan asociadas a ins/tuciones de enseñanza y inves/gación Federaciones de iden/dad • REFEDS – Mapa de ins/tuciones Federaciones de iden/dad • REFEDS – Discovery Guide ― Una documentación publicada por REFEDS es el Discovery Guide, un guía sobre como presentar la iden/dad federada a sus usuarios, buenas prác/cas en federaciones y ejemplos de como tener una buena experiencia de u/lización hap://discovery.refeds.org/ Federaciones de iden/dad • REFEDS – Mejores prác/cas en el Discovery Guide Dónde el usuario debe auten/carse Federaciones de iden/dad • REFEDS – Mejores prác/cas en el Discovery Guide Cómo presentar auten/caciones locales Federaciones de iden/dad • REFEDS – Mejores prác/cas en el Discovery Guide U/lización de un Discovery Service Federaciones de iden/dad • REFEDS – Mejores prác/cas en el Discovery Guide Opciones para los usuarios Federaciones de iden/dad • REFEDS – Mejores prác/cas en el Discovery Guide ― Basado en el modelo definido por Espresso: Establishing Suggested Prac/ces Regarding Single Sign-­‐On hap://www.niso.org/workrooms/sso Elementos y conceptos de una federación Elementos y conceptos de una federación • Iden/dad única Fuente: h^p://openidexplained.com Elementos y conceptos de una federación • Iden/dad única: antes… Fuente: ESR-­‐RNP Elementos y conceptos de una federación • Iden/dad única: … y después Fuente: ESR-­‐RNP Elementos y conceptos de una federación • Single Sign-­‐on (SSO) ― Mecanismo que posibilita que un usuario pueda acceder a múl/plos servicios con una única acción de auten/cación ― Mientras el token de auten/cación sea válido, el usuario no tendrá que se auten/car de nuevo en cualquier servicio de la federación ― U/lización de las credenciales académicas para acceso a todos los servicios de la federación ― Asociación con la base de datos académica a través de un LDAP ― Definición de esquemas para uniformizar la comunicación y el cambio de atributos Elementos y conceptos de una federación • Single Sign-­‐on (SSO): herramientas open-­‐source más u/lizadas en federaciones académicas Elementos y conceptos de una federación • Proveedor de iden/dad (IdP) ― Elemento que realiza la auten/cación del usuario y fornece sus atributos al servicio ― Fornece un token de auten/cación al servicio, conteniendo informaciones del usuario (atributos) ― Integrase con el sistema de auten/cación ins/tucional para proveer auten/cación y atributos a un servicio Elementos y conceptos de una federación • Proveedor de iden/dad (IdP) ― Elemento que realiza la auten/cación del usuario y fornece sus atributos al servicio ― Fornece un token de auten/cación al servicio, conteniendo informaciones del usuario (atributos) ― Integrase con el sistema de auten/cación ins/tucional para proveer auten/cación y atributos a un servicio Elementos y conceptos de una federación • Proveedor de iden/dad: ejemplos ― Proveedor de una RNIE: RNP, InCommon, REUNA ― Proveedor de una universidad: USP, INICTEL, PUC ― Proveedor de otras ins/tuciones de enseñanza e inves/gación: ministerios, museos, laboratorios, centros de inves/gación, … Elementos y conceptos de una federación • LDAP (Lightweight Directory Access Protocol) ― Protocolo para gerenciamiento de directórios, basado en TCP/IP ― Acceso a informaciones a través de busca en árbol por los registros Elementos y conceptos de una federación • Directorio de usuarios en LDAP ― Directorio que man/ene las credenciales de auten/cación y de los atributos de cada usuario ― Es consultado por el IdP para realizar la auten/cación Elementos y conceptos de una federación • Proveedor de servicios ― Representa un servicio que puede ser u/lizado por los miembros de una federación ― Después de recibir los atributos de un usuario, enviado por su IdP, puede hacer su autorización para uso del servicio ― Puede también restringir el acceso del usuario a recursos de acuerdo con los atributos recibidos Elementos y conceptos de una federación • Proveedor de servicios: ejemplos ― Sistemas académicos, bibliotecas online de universidades, repositorios y si/os de publicaciones ― Compra de libros y sofware con beneficios a miembros de ins/tuciones ― Almacenamiento y cambio de archivos Elementos y conceptos de una federación • Discovery Service (WAYF) ― Servicio para descubierta de la ins/tución de origen del usuario ― El usuario es direccionado a la página de auten/cación de su ins/tución Elementos y conceptos de una federación • Discovery Service: ejemplos ― Embedded Discovery Service (Shibboleth) Elementos y conceptos de una federación • Discovery Service: ejemplos ― Embedded Discovery Service ― DiscoJuice (UNINETT) Elementos y conceptos de una federación • La interconexión de todas las en/dades Fuente: SWITCH AAI-­‐Federa-on Elementos y conceptos de una federación • Una pequeña analogía Cómo funciona una federación Cómo funciona una federación Institución d e l usuario Fuente: ESR-­‐RNP Cómo funciona una federación Institución d e l usuario Requisición/Respuesta HTTP Redireccionamiento HTTP Conexión servidor/servidor Fuente: ESR-­‐RNP Cómo funciona una federación Institución d e l usuario Requisición/Respuesta HTTP Redireccionamiento HTTP Conexión servidor/servidor Fuente: ESR-­‐RNP Cómo funciona una federación Credenciale s Institución d e l usuario Requisición/Respuesta HTTP Redireccionamiento HTTP Conexión servidor/servidor Fuente: ESR-­‐RNP Cómo funciona una federación Credenciale s Institución d e l usuario Requisición/Respuesta HTTP Redireccionamiento HTTP Conexión servidor/servidor Fuente: ESR-­‐RNP Cómo funciona una federación • Demostración de auten/cación y autorización – Portal de periódicos CAPES Cómo funciona una federación • Demostración de auten/cación y autorización – Portal CAPES Auten/cación local Cómo funciona una federación • Demostración de auten/cación y autorización – Portal CAPES Auten/cación federada Cómo funciona una federación • Demostración de auten/cación y autorización – Portal CAPES Cómo funciona una federación • Demostración de auten/cación y autorización – Portal CAPES Cómo funciona una federación • Demostración de auten/cación y autorización – Portal CAPES Cómo funciona una federación • Demostración de auten/cación y autorización – Portal CAPES Cómo funciona una federación • Demostración de Single Sign-­‐on Cómo funciona una federación • Demostración de Single Sign-­‐on Cómo funciona una federación • Demostración de Single Sign-­‐on Cómo funciona una federación • Servicio de teste de atributos U/lizado por el Portal de Periódicos CAPES Cómo funciona una federación • Servicio de teste de atributos U/lizado por el REFEDS Wiki Cómo funciona una federación • Comunicación entre los elementos ― SAML (Security Asser/on Markup Language): Padrón que describe los mensajes XML enviados e recibidos por los elementos de la federación ― Estos mensajes posibilitan el cambio de datos para auten/cación y autorización entre productores y consumidores de aserciones Definición de polí/cas Definición de polí/cas • ¿Qué es una polí/ca? ― Definición de las reglas de una federación: cómo adherir, cómo salir, obligaciones y derechos de los miembros y de la federación, etc. ― Documento formal que define los acuerdos entre los miembros de una federación y de ellos con la propia federación ― Debe garan/r que la u/lización de los servicios no viole las reglas definidas por la RNIE o mismo por el país del usuario Definición de polí/cas • Modelos de documentos de polí/cas (inglés) ― Iden/ty Federa/on Policy: template document Fuente: Iden-ty Federa-on Policy: template document Definición de polí/cas • Modelos de documentos de polí/cas (inglés) ― Iden/ty Federa/on Policy: template document Fuente: Iden-ty Federa-on Policy: template document Definición de polí/cas • Modelos de documentos de polí/cas (inglés) ― Iden/ty Federa/on Policy: template document (REFEDS Wiki) Ya compa/ble com eduGAIN! Fuente: h^ps://refeds.terena.org/index.php/Iden-ty_Federa-on_Policy_-­‐ _template_document Definición de polí/cas • Modelos de documentos de polí/cas (inglés) ― Iden/ty Federa/on Policy: template document -­‐ hap://www.terena.org/ac/vi/es/eurocamp/oct12/ slides/Iden/ty%20Federa/on%20Policy%20Template %20v0.4.pdf ― Iden/ty Federa/on Policy: template document (REFEDS Wiki) -­‐ haps://refeds.terena.org/index.php/ Iden/ty_Federa/on_Policy_-­‐_template_document Definición del esquema Definición del esquema • ¿Qué es un esquema? ― Colección de atributos que pueden calificar un objeto ― Definición del nombre y formato de los atributos ― Cada atributo debe tener un OID (Object Iden8fier) asociado, ya definido, caso sea un atributo existente, o atribuido dentro de un registro definido para la ins/tución ― Informaciones sobre el registro de atributos: hap://www.oid-­‐info.com/faq.htm Definición del esquema • Dependencia de los esquemas ― Ya existen esquemas definidos para algunos objetos: personas, organizaciones, eventos, etc. ― Se hay la necesitad, se puede registrar un nuevo esquema, conteniendo atributos que no aún existen y que pueden ser u/lizados por su federación ― En 2001, Internet2 creó la primera versión de el esquema eduPerson, para u/lización dentro del ámbito académico Definición del esquema • Esquema eduPerson Definición del esquema • Esquema eduPerson: ejemplo de atributo creado Definición del esquema • Esquema eduPerson: ejemplo de atributo de otro esquema Definición del esquema • Personalizaciones del eduPerson ― brEduPerson (Brasil) ― swissEduPerson (Suiza) ― auEduPerson (Australia) ― … y otras ― Existen también las federaciones que u/lizan solo esquemas ya definidos, sin personalizaciones ― Esta es una de las definiciones a se hacer en el proyecto de la federación Definición del esquema • Esquemas más usados: ― person: hap://schema.org/Person ― eduPerson: hap://middleware.internet2.edu/eduperson/ docs/internet2-­‐mace-­‐dir-­‐eduperson-­‐201203.html ― inetOrgPerson: hap://www.ier.org/rfc/rfc2798.txt ― SCHAC: hap://www.terena.org/ac/vi/es/r-­‐emc2/docs/ schac/schac-­‐20061212-­‐1.3.0.schema.txt • U/lización de esquemas por federación: ― haps://refeds.terena.org/index.php/ Federa/onSchema Proveedores de iden/dad y de servicio Proveedores de iden/dad y de servicio • Proveedores de servicio (SP): en/dades que prestan algún /po de servicio para algunos o todos los miembros de una federación • Después que se hace la auten/cación de un usuario, el SP puede definir diferentes perfiles de acceso, que cambian de acuerdo con las informaciones recibidas sobre el usuario ― Un sistema de atribución y visualización de calificaciones de alumnos en una universidad ― Un portal de publicaciones en que diferentes ins/tuciones pueden tener diferentes acuerdos de permisos para sus miembros Proveedores de iden/dad y de servicio • Proveedores de iden/dad (IdP): en/dades dónde están almacenadas las informaciones de acceso de un usuario a la federación y sus atributos • Es a quien el proveedor de servicios envía las credenciales digitadas por el usuario que intenta hacer una auten/cación • Es también quién realiza la auten/cación del usuario • Si la auten/cación es bien sucedida, envía el token de auten/cación y los atributos del usuario al proveedor de servicios Proveedores de iden/dad y de servicio • Los proveedores de iden/dad y de servicios son definidos en la federación por medio de los metadatos, un archivo XML que con/ene las informaciones que posibilitan la auten/cación y el cambio de atributos Proveedores de iden/dad y de servicio • Ejemplo: cafe-­‐metadata.xml Proveedores de iden/dad y de servicio • Estructuras principales en el archivo de metadatos (Shibboleth 2.X): ― En88esDescriptor: es el descriptor de una en/dad o de un grupo de en/dades. Ejemplo: un archivo de metadatos, un SP o un IdP ― Role descriptors: describen el rol de la en/dad que está siendo descripta. Roles importantes son <md:IDPSSODescriptor> y <md:AaributeAuthorityDescriptor> cuándo la en/dad en cues/ón es un IdP, y <md:SPSSODescriptor> para un SP ― Contact person: describe las informaciones de contacto del responsable por una en/dad. Esta es la persona que debe ser contactada en caso de problemas de auten/cación a un servicio específico Discovery Service Discovery Service • Tiene por obje/vo posibilitar que el usuario informe al proveedor de servicios su ins/tución de origen • Se puede u/lizar de dos modos ― Centralizado ― A par/r del SP Discovery Service • DS centralizado ― Está dentro de la federación, con acceso a su archivo de metadatos ― Busca informaciones sobre las ins/tuciones en los metadatos de la federación y al ofrece al usuario las opciones de ins/tución ― El SP debe enviar el usuario a la página del DS de la federación para descubrir la ins/tución del usuario Discovery Service • DS a par/r del SP ― Está en uno de los SPs de la federación. El SP busca en su instancia del archivo de metadatos las opciones posibles de IdPs y las presenta al usuario ― El modelo u/lizado para el Discovery Service puede ser elegido por la federación o por el proveedor de servicio Discovery Service DS a par/r del SP Discovery Service DS centralizado Discovery Service Cer/ficados Cer/ficados • Para garan/zar la confiabilidad y permi/r la iden/ficación de en/dades, se puede u/lizar la criptograya de llave pública para firmar los metadatos • Así, los cer/ficados u/lizados en las en/dades deben ser los mismos que aquellos presente en sus metadatos Cer/ficados • El Shibboleth recomienda la u/lización del cer/ficado todo en los metadatos en vez de u/lizar nombres y llaves públicas • Este nivel de seguridad y confiabilidad es también parte de las definiciones a se hacer para la federación • haps://wiki.shibboleth.net/confluence/display/SHIB2/ BuildAFedera/on Metadatos de la federación Metadatos de la federación • El archivo de metadatos es lo que define una federación • Este archivo con/ene todas las en/dades de la federación, o sea, todos los metadatos de los SPs y IdPs SP1.xml IdP1.xml IdP2.xml Metadatos.xml <> SP1.xml IdP1.xml IdP2.xml </> Metadatos de la federación • Cada en/dad de la federación debe decir que reconoce el archivo de la federación como una fuente segura de datos de otros proveedores (MetadataProvider) • En este archivo, el DS buscará todos os proveedores de iden/dad federados donde un usuario podrá auten/carse Metadatos de la federación • El archivo también con/ene informaciones de los IdPs; así, el DS puede informar al SP cuál es la dirección que él debe contactar para pedir la auten/cación del usuario • Un proveedor reconoce otra en/dad como miembro de la federación comparando su nombre en el mensaje SAML con los nombres presentes en los metadatos Metadatos de la federación • El archivo de metadatos de la federación puede ser construido de dos modos ― Archivo único: todos los metadatos están concentrados en un único archivo, que debe ser editado manualmente siempre que un nuevo IdP o SP adherir a la federación ― Archivos múl/plos: cada bloco de metadatos está en un archivo, dentro o fuera del dominio de la federación. En este caso, se debe u/lizar una herramienta para se agregar los metadatos • El modo de manutención de los metadatos de las en/dades es también una opción que se puede hacer en el proyecto de la federación Metadatos de la federación • Ejemplos de herramientas de agregación de metadatos ― Shibboleth Metadata Aggregator (en desarrollo) ― RepoX ― OAICat ― … y otros Ges/ón de iden/dad Ges/ón de iden/dad • Una das etapas necesarias para asegurar que el concepto de federación sea mantenido es la ges/ón de iden/dad • Esta es la garan_a de que las cuentas con acceso federado corresponden a personas que son miembros de las ins/tuciones • La federación puede confiar que el IdP hace su propia ges/ón o ayudarlo a hacerla Ges/ón de iden/dad • Desayos ― Impedir el acceso de iden/dades ar/ficiales en la federación: administrador, cuentas de departamento, cuentas de grupos, roles, etc. ― Garan/zar que todos los usuarios sean únicos: no se debe almacenar cuentas duplicadas, nombres errados, registros duplicados en bases dis/ntas… ― Garan/zar que todos los usuarios tengan un vínculo válido con la ins/tución, sin cuentas expiradas o revocadas Ges/ón de iden/dad • Posibilidades para se hacer la ges/ón en ins/tuciones ― Busca por datos y nombres duplicados, data mining ― Iden/ficación de cuentas de departamento y cuentas asociadas a roles en vez de personas Alto esfuerzo! ― Desarrollo de scripts personalizados para integrar diferentes bases y mantener la consistencia y la unicidad de los registros Ges/ón de iden/dad • Posibilidades para se hacer la ges/ón en ins/tuciones ― U/lización de una herramienta para hacer las operaciones de unificación, eliminación de registros duplicados y sincronización con bases ya existentes Ges/ón de iden/dad • Herramienta para ges/ón de iden/dad -­‐ EID ― Sofwares EID (Export Import Directory Tool) & EID2LDAP: unificación de bases, conciliación de registros, sincronización agentada de todas las fuentes de datos, populación de una base LDAP con los registros ya tratados ― Desarrollado por la Universidade Federal de Minas Gerais (Brasil) ― Disponible en sourceforge, solo en portugués hap://sourceforge.net/projects/eid/ Ges/ón de iden/dad • Herramienta para ges/ón de iden/dad -­‐ EID ― El EID construye un metadirectorio a par/r de diferentes bases de datos: relacional, textual, CSV, Excel… ― Con el metadirectorio, es posible hacer la conciliación de registros aparentemente duplicados. Estos registros detectados por la herramienta automá/camente, pero el administrador debe decidir si son registros parecidos o los mismos registros. Ejemplo: homónimos, gemelos, nombres parecidos Ges/ón de iden/dad • EID: como funciona Fuente: ESR-­‐RNP Ges/ón de iden/dad • EID: registros para conciliación Fuente: ESR-­‐RNP Ges/ón de iden/dad • EID: definición de un archivo CSV como fuente de datos Fuente: ESR-­‐RNP Ges/ón de iden/dad • EID: configuración del procesamiento de extracción Fuente: ESR-­‐RNP Ges/ón de iden/dad • EID: agentamiento del procesamiento Fuente: ESR-­‐RNP Ges/ón de iden/dad • EID: Procesamiento del metadirectorio ― Después de la creación del metadirectorio, se puede crear un nuevo directorio LDAP unificado u/lizando el EID2LDAP ― La sincronización entre las bases an/guas y la nueva se hace por medio del sistema ― Así, es posible mantener un directorio para la federación sin alterar las configuraciones de las bases originales de la ins/tución, consistente con los cambios hechos en estas bases Ges/ón de iden/dad • Casos no contemplados por el EID ― Iden/dades ar/ficiales ― Duplicación de usuarios en diferentes ins/tuciones Ges/ón de iden/dad • Herramienta para ges/ón de iden/dad – OpenIAM Iden/ty Manager ― Interesante para cuándo ya existe algún tratamiento de las iden/dades dentro de la ins/tución ― Con/ene servicios como definición de polí/cas de contraseña, auditoría, reportes, administración de cuentas por el usuario Ges/ón de iden/dad • U/lización del AD ― Una das herramientas de directorio u/lizadas por las ins/tuciones es el AD ― Problema: no es posible extraer directamente el vínculo de un usuario con la ins/tución. Sería necesario hacer una personalización de los atributos o u/lizar un script para extraer el vínculo de otra fuente ― Ni siempre los responsables por los IdPs poseen este conocimiento del directorio Ges/ón de iden/dad • AD: Como hicimos en CAFe ― Muchas ins/tuciones nos pedían ayuda sobre como liberar el atributo de vínculo, y no se tenía soporte oficial a directorios AD dentro de la federación ― Solución: creación de un directorio paralelo u/lizando AD LDS y u/lización de un atributo adicional apenas para comunicación entre AD y Shibboleth, conteniendo las informaciones de parentesco ― En esta solución, la verificación de las credenciales ocurren en el AD. Si fueron validadas, los atributos del usuario son enviados al SP por el AD LDS ― El EID es también compa/ble con esa solución Ges/ón de iden/dad Páginas ú/les • Informaciones ú/les sobre federaciones: haps://wiki.shibboleth.net/confluence/display/SHIB2/Home • Guías de instalación hap://www.switch.ch/aai/support/iden/typroviders/ hap://www.switch.ch/aai/support/serviceproviders/ Muchas gracias! Camila Santos Analista en TIC <camila.santos@rnp.br> Directoría Adjunta de Ges-ón de Servicios (DAGSer) Rede Nacional de Ensino e Pesquisa (RNP)