🔑Reunión técnica sobre autenticación de EHUagora

1. Objeto de la reunión

Reunión técnica para avanzar en el despliegue de la plataforma de participación Decidim/EHUagora en la EHU, con un foco específico en autenticación de datos de participante. Esto implica:

• Definir cómo se integrará el sistema de autenticación corporativo (OAM de Oracle, vía SAML) con Decidim/EHUagora.

• Acordar los entornos de integración (producción / pruebas) y sus implicaciones.

• Determinar los atributos mínimos de participante que se enviarán durante la autenticación.

2. Contexto

Se presenta el  marco general del proyecto:

• Decidim es un proyecto de software libre para la participación, que en la EHU toma la forma de EHUagora.

• El despliegue de Decidim no se limita a instalar un software, sino que implica también decisiones de intencionalidad política, diseño de procesos participativos y gobernanza.

• Se están articulando tres grandes ejes de trabajo:

  • Eje de participación (personas expertas en participación de la universidad).

  • Vicerrectorado de Comunicación (línea de comunicación y lenguaje institucional).

  • Infraestructuras / Transformación digital (donde se inscribe esta reunión).

• En este momento, EHUagora está desplegado sobre un entorno SaaS gestionado por Pokecode, con un dominio provisional, a la espera de la asignación del dominio definitivo.

Esta reunión se sitúa, por tanto, en el cruce entre la parte técnica (integración SAML) y las necesidades funcionales del proyecto de participación.

3. Integración técnica Decidim/EHUagora–OAM (SAML)

3.1 Entorno de integración

Se analizan las posibles combinaciones de entornos (desarrollo, preproducción, producción) tanto por parte de la EHU como de Decidim:

• La EHU dispone de desarrollo, preproducción y producción en su sistema de autenticación OAM.

• Decidim/EHUagora, en el momento de la reunión, está sólo en un entorno con carácter de producción (SaaS) mientras no se disponga de dominio definitivo y entorno de pruebas separado.

• El entorno de preproducción de la EHU no es accesible desde el exterior, por lo que requeriría abrir puertos y hacer pruebas adicionales de conectividad.

Tras valorar las alternativas, se acuerda:

• Realizar inicialmente la integración “producción contra producción”:

  • Decidim/EHUagora (entorno actual) → OAM de producción.

  • Más adelante, cuando exista un entorno de pruebas de Decidim (p. ej. froga.agora.ehu.eus), también se integrará contra el OAM de producción.

• Se deja abierta la puerta a una integración específica con preproducción en el futuro, si se necesitan pruebas complejas con muchos perfiles diferentes,como podría ser el caso de un proceso de elecciones.

3.2 Cuentas de prueba

Para poder probar la integración sin depender de cuentas de terceras personas:

• Se crearán cuentas personales de tipo “besteak/externos” para el equipo técnico del proceso integrado por Komunikatik y Pokecode):

• Estas cuentas:

  • Son personales (no de empresa) y se utilizan habitualmente para colaboraciones externas.

  • Serán válidas en producción y permitirán el acceso a los servicios necesarios.

  • Se crearán tras recibir nombre, apellidos, DNI y correo de contacto de cada persona.

• Primer paso tras recibir la cuenta: cambiar la contraseña, cumpliendo la normativa (mayúsculas, minúsculas, etc.), ya que la contraseña inicial es aleatoria y sólo de arranque.

3.3 Atributos de participante a enviar a Decidim

Se acuerda que, en esta primera fase, la autenticación enviará sólo los atributos mínimos necesarios, de forma que el sistema sea simple y se pueda ir ampliando de manera iterativa más adelante.

Atributos acordados:

• UID (identificador único de la cuenta, clave principal).

• Nombre.

• Apellidos (aunque no sean imprescindibles para Decidim, se incluyen inicialmente).

• Correo electrónico.

• Afiliación / relación con la universidad (alumnado, PDI, PAS, alumni, externo, etc.).

• Nickname / nombre amigable, cuando exista (sólo disponible para ciertos colectivos, principalmente personal).

Se acuerda que:

• El UID permitirá identificar de forma inequívoca a cada participante.

• La afiliación será clave para futuras reglas de autorización.

• El nickname evitará mostrar identificadores poco amigables (como códigos alfanuméricos) en la interfaz.

3.4 Intercambio de metadatos SAML

Se confirma que la integración vía SAML no requiere documentación extensa, sino el intercambio de ficheros XML de metadatos:

• el personal técnico del Área de Proyectos de la EHU enviará el fichero XML de metadatos del OAM 12 de producción (es el mismo para cualquier aplicación que se integre en ese entorno).

• El equipo de Decidim generará y enviará el XML de metadatos de Decidim/EHUagora, que servirá para configurar el cliente SAML en OAM.

En estos metadatos se incluirán, entre otros, la clave pública y las URL necesarias para las redirecciones de autenticación (las claves privadas nunca se comparten).

3.5 Configuración de servicio

• En un primer momento se baraja utilizar nombres de servicio distintos (p. ej. Agora pro), pero finalmente se acuerda utilizar “Agora” como nombre del cliente en el sistema de autenticación.

• Se recuerda que esta nomenclatura interna es independiente del dominio público que utilizará EHUagora.

4. Universo de participantes y criterio de acceso

En este punto se aborda quién debería poder acceder a Decidim/EHUagora a través de la autenticación corporativa:

• El equipo facilitador del proceso plantea como puento de partida que toda persona que tenga una cuenta en funcionamiento en la EHU pueda acceder a EHUagora,.

Tras la explicación del ciclo de vida de las cuentas, el personal técnico del Área de Proyectos de la EHU aclara que:

• Desde el punto de vista técnico, el criterio más claro es: “toda persona que tenga una cuenta operativa en la universidad puede autenticarse en Decidim/EHUagora”, con independencia de si su relación es PDI, PAS, alumnado, alumni u otro.

Este criterio es asumido como referencia de trabajo técnica, pero queda como tema pendiente de validación política por parte del grupo motor y de los órganos de decisión correspondientes.

5. Datos adicionales: ámbitos, áreas, mapa organizativo y autorizaciones

Datos adicionales: ámbitos, áreas, mapa organizativo y autorizaciones

5.1 Equivalencias necesarias para la autorización

Para que Decidim/EHUagora pueda gestionar correctamente acciones que requieren autorización (crear propuestas, votar, firmar iniciativas, participar en encuestas o sorteos, acceder a espacios privados, etc.), es necesario relacionar de forma simple y directa los datos corporativos de la EHU con la estructura interna de Decidim, basada en áreas y ámbitos.

Para poder hacerlo, será imprescindible disponer previamente de un mapa organizativo actualizado de la EHU, que identifique de forma clara la estructura Universidad → Campus → Facultad → Departamento y su correspondencia con los datos disponibles.

En términos prácticos, esto implica dos pasos:

• Identificar en qué lugar de la organización está cada participante (universidad, campus, facultad, departamento) utilizando los datos básicos disponibles

• Bastará con conocer su campus, centro o facultad y, si corresponde, su departamento.

• Asignar a cada participante las áreas temáticas institucionales relevantes, tomando como referencia la clasificación corporativa: unidad estructural, área funcional o categoría temática asociada. Estas áreas permitirán, en el futuro, limitar o habilitar la participación según el tema (por ejemplo: Igualdad, Sostenibilidad, Estudiantes).

Estas equivalencias se definirán de forma sencilla, sin ampliar la autenticación, y se utilizarán más adelante para determinar permisos y generar censos.

5.2 Implicaciones para los censos y la autorización

• La autenticación seguirá enviando únicamente atributos mínimos.

• Las autorizaciones para procesos específicos dependerán de consultas adicionale.

• El futuro  censo de votación se generará como una instantánea basada en estos atributos ampliados.

• La definición final de equivalencias (ámbitos y áreas) será necesaria antes de activar procesos participativos restringidos.

6. Decisiones tomadas

A partir del análisis de la reunión y de los documentos de referencia del despliegue de EHUagora, se recogen las siguientes decisiones formales del grupo técnico:

1. Integración en producción como punto de partida: se confirma que la integración inicial se realizará producción contra producción, tanto para agilizar pruebas como por las limitaciones de accesibilidad del entorno de preproducción.

2. Uso de cuentas “besteak/externos” para pruebas: se acuerda crear estas cuentas para el equipo técnico externo, con acceso operativo al entorno de producción, siguiendo la normativa de contraseñas.

3. Atributos mínimos para autenticación: se valida el envío exclusivo de UID, nombre, apellidos, correo, afiliación y nickname (cuando exista), manteniendo el resto de atributos fuera de la autenticación.

4. Intercambio de metadatos SAML: se acuerda que el Área de Proyectos enviará los metadatos de OAM producción y que el equipo técnico de Decidim enviará los correspondientes al servicio EHUagora.

5. Nombre técnico del servicio: se establece que el cliente SAML se llamará “Agora” dentro del sistema de autenticación.

6. Criterio de acceso: se adopta, a nivel técnico, el criterio de que toda persona con cuenta operativa en la EHU puede autenticarse en EHUagora, pendiente de validación política.

7. Necesidad de un mapa organizativo oficial: el grupo confirma que no será posible desplegar autorizaciones avanzadas sin un mapa organizativo completo y actualizado, alineado con la estructura corporativa.

8. Modelo futuro de autorizaciones: se aprueba que las autorizaciones no dependerán de la autenticación, sino de consultas externas permitiendo evaluaciones dinámicas según ámbitos y áreas.

9. Censos de votación mediante instantáneas: se confirma que los censos se generarán externamente a la autenticación y podrán variar según la naturaleza de cada proceso.

10. Pendiente de diseño político: se reconoce que la política de quién puede participar en qué procesos (PDI, PAS, alumnado, alumni, etc.) deberá ser definida por el grupo motor institucional.

7. Tareas pendientes

A partir del análisis de las transcripciones y notas de la reunión técnica de LDAP–Decidim EHUagora, se identifican las siguientes tareas pendientes, junto con sus responsables directos:

7.1 Autenticación e integración SAML

• Enviar datos para creación de cuentas “besteak/externos” (nombre, apellidos, DNI, correo externo).

• Crear las cuentas “besteak/externos” para el equipo técnico de Decidim.

• Enviar XML de metadatos del OAM de producción.

• Generar y enviar el XML de metadatos de Decidim/EHUagora.

• Configurar el cliente «Agora» en el sistema OAM.

7.2 Datos, autorizaciones y estructura organizativa

• Definir y validar el mapa organizativo oficial de la EHU (Universidad → Campus → Facultad → Departamento).

• Determinar qué información de ámbitos y áreas será consumida mediante webservices.

• Validar políticamente el criterio de acceso «toda persona con cuenta operativa».