PAPI es un sistema de single sign-on desarrollado por RedIRIS desde el año 2001 y que está implantado actualmente en unas 20 universidades y centros de investigación (incluida una universidad en...Polonia).

En pocas palabras, el sistema se basa en la existencia de una serie de PEP (Policy Enforcement Points), que en PAPI se denominan PoA (Point of Access ), que interceptan los accesos a recursos web y fuerzan la autenticación del usuario en un servicio de autenticación (Authentication Server , AS, en PAPI). Tras la autenticación (sobre un LDAP o BBDD relacional, por ejemplo), el AS genera una aserción que es transmitida al PoA y que representa al usuario autenticado, junto con una serie (opcional) de atributos contenidos en la aserción que los PoA utilizarán para la autorización del usuario. Adicionalmente es posible agrupar varios PoA en un GPoA, el cual se comporta como si fuera un AS para sus PoA, estableciendo una relación de confianza con ellos y suya a su vez con el AS.

El funcionamiento de PAPI es bastante similar al Browser Post Profile de Liberty/SAML 2.0: la aserción es transmitida mediante el método POST de HTTP desde un proveedor de autenticación hasta los proveedores de servicio, solo que dicha aserción no es SAML (ni siquiera XML). Esta semejanza no es casual, ya que el diseño de PAPI influyó en el de Shibboleth y éste posteriormente en SAML y Liberty.

Una cuestión interesante es cómo podría una universidad que tiene desplegadas aplicaciones protegidas por PAPI integrarlas en un entorno de federación. Una solución técnicamente sencilla es utilizar Sun Access Manager (o bien OpenSSO ) en el entorno de federación de forma que la autenticación en uno de los dos sistemas (PAPI o Access Manager) sea reconocida por el otro. Existen dos formas de lograrlo:

1. Construir un módulo de autenticación JAAS para Access Manager, algo que cualquier programador Java es capaz de hacer fácilmente al ser JAAS una parte de Java SE, para autenticar al usuario en PAPI desde Access Manager.
2. Utilizar la interfaz XML/HTTP del servicio de autenticación de Access Manager para que sea PAPI el que se autentique sobre Access Manager.

En cualquiera de los dos casos el resultado sería la generación de las cookies de sesión necesarias para los dos entornos, pero con una sola autenticación por parte del usuario.