7 Nov 2007National Information Infrastructure Developement Institute 1 Bajnok Kristóf NIIF Intézet november 7.

Slides:



Advertisements
Hasonló előadás
Windows Communication Foundation (WCF)
Advertisements

RESTful Web Service tesztelése
Kiss-Tóth Marcell Flash és PHP? De még mennyire!
GPRS/EDGE General Packet Radio Service/ Enhanced Data rate for GSM Evolution.
Hálózati és Internet ismeretek
Jövő Internet technológiák és alkalmazások kutatása Magyarországon A Magyar Tudomány Hónapja Jövő Internet technológiák és alkalmazások kutatása Magyarországon.
Videókonferencia rendszerek használata Moodle 2.x környezetben
Az internet és a web A HTML alapjai.  „Úgy gondoljuk, hogy a világpiacon talán öt darab számítógépet tudnánk eladni.” (Thomas Watson, az IBM elnöke,
Client Access Server. Autodiscovery service Availability service (EWS) Offline Address Book (OAB) service Activesync service Outlook Web Access Public.
Kőnig Tibor főmérnök Microsoft Magyarország. Ma a vállalatok elsősorban olyan szoftvereket használnak, amelyeket maguk futtatnak ez a helyben telepített.
Tectia MobileID Express – Kétfaktoros erős autentikáció – 5 percen belül üzemkészen! január 16.
Czeglédi László Integrált tartalomszolgáltatás megújult környezetben
Az MVC tervezési minta 2. előadás.
Jogában áll belépni?! Détári Gábor, rendszermérnök.
Az Internet elemei és hozzáférési technológiái Az Internet architektúrája.
HTML űrlapok kezelése és feldolgozása PHP segítségével
Az ETR technológia DEXTER Informatikai kft..
WEB Technológiák Dr. Pance Miklós – Kolcza Gábor Miskolci Egyetem.
WSDL alapismeretek A WSDL (Web Services Description Language – Web szolgáltatások leíró nyelv) egy XML-alapú nyelv a Web szolgáltatások leírására és azok.
Bánki Donát Kollégium Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar Gépszerkezettani és Biztonságtechnikai Intézet Alkalmazott.
Authentication & Authorization Belinszki Balázs terméktámogató mérnök Juhász Mihály alkalmazásfejlesztési tanácsadó.
SOAP alapismeretek A SOAP egy egyszerű XML alapú protokoll, ami lehetővé teszi, hogy az alkalmazások információt cseréljenek a HTTP-én keresztül. Forrás:
PHP III. Fájlok, űrlapok.
PHP VII Sütik, munkamenetek. Sütik Mi az a süti? A süti (cookie) állapotot tárol a felhasználó böngészőjében. Pl. ha egy oldalon beállítható, hogy milyen.
Hibrid felhő Privát-, publikus és hoster felhők összekapcsolása
…az ISA Server 2006 segítségével Gál Tamás Microsoft Magyarország.
Hálózatkezelési újdonságok Windows 7 / R2
Exchange Server 2007 Client Access Role
Ők kerestek meg minket Tentálen – Könyvelő iroda, 15 felhasználó SBS 2003, Outlook levelezés Nincs saját fix ip cím, exchange POP3-al töltötte le a leveleket,
Levelezés, és a többiek Takács Béla Irodalom Bodnár –Magyari: Az Internet használata I. (Kiskapu) Bodnár –Magyari: Az Internet használata.
Nyílt könyvtári gyűjtemények az Interneten Szabványos metaadatok: átjárhatóság Tapolcai Ágnes MEK Osztály.
Web Application for Resource Planning
Felhasználók azonosítása és jogosultságai, személyre szabás Borsi Katalin és Fóti Marcell NetAcademia Oktatóközpont.
Publikációs portál Platform Specific Model UML bázisú modellezés és analízis Csapat: UML7 (Percze Dániel, Rajnai Zoltán, Ráth István, Tóth Dániel, Vágó.
a Moodle autentikációjához a PTE FEEK-en
Flash és PHP? De még mennyire! Kiss-Tóth Marcell
Web Architecture. Development of Computing Architectures Monolithic mainframe programming Client Server Real Client Server Web Programming.
{ PKI } Active Directory Certificate Services
ORACLE ORDBMS adminisztrációs feladatok 3. rész dr. Kovács László 2004.
Java web programozás 11..
Az Internet alkalmazásai
Hálózat menedzsment Óravázlat Készítette: Toldi Miklós.
Webszolgáltatás szabványok Simon Balázs
Ritter Dávid NIIF Műszaki Tanács
AAA AAA Ki, mikor, mivel, hogyan? Mit csinált, mit csinálhat, (mit fog csinálni)? Ki mihez hogyan férhet hozzá? Authentication Authorization Accounting/Audit.
A szolgáltatás technikájával – technológiájával kapcsolatos elemzések „EISZ Jövője” Konferencia június 22.
Christopher Chapman | MCT Content PM, Microsoft Learning, PDG Planning, Microsoft.
Alkalmazás- és eszközfelügyelet a felhőből
Java web programozás 6..
A PKI project célja Digitális kulccsal elérhető szerver Hamisíthatatlan naplózás Új kulcsok dinamikus létrehozása Felhasználók letiltása.
Felhő authentikáció demonstráció Gergely Márk MTA SZTAKI Laboratory of Parallel and Distributed Systems
Bevezetés az informatikába 11. előadás Internet. Egyetlen nagy egységes elveken működő világhálózat hálózatok összekapcsolása nagy világhálóvá csomagkapcsolt.
A projekt az Európai Unió társfinanszírozásával, az Európa terv keretében valósul meg. Számítógép- hálózatok dr. Herdon Miklós dr. Kovács György Magó Zsolt.
Tűzfal (firewall).
Webes tartalmakban alkalmazható szteganográfiai módszerek vizsgálata
Assoc. Prof. Ján Gunčaga, PhD. Faculty of Education Catholic University in Ružomberok Nyílt forráskódú szoftverek és IKT az oktatásban.
1 Informatika - 1. alkalom Jogi informatika - alapok szeptember 10. E1 előadó PPKE JÁK Informatikai Oktatási Csoport.
Microsoft TechDays eseménysorozat Informatikai szakember képzés.
Kiss Tibor System Administrator (MCP) ISA Server 2006.
Nagyvállalati szintű felhős szolgáltatások Eszközök - Szolgáltatások.
„Információvédelem menedzselése” XVII. Szakmai Fórum Budapest, szeptember 21. Móricz Pál: Változások az információvédelmi menedzsment szabványokban.
Maven és Ant Build eszközök bemutatása
Alkalmazott Informatikai Tanszék
Az NIIF Program helye a kutatóhálózati világban
Az informatikai biztonság irányításának követelményrendszere (IBIK)
HPC: Hozzáférés és első lépések
Szalai Ferenc – Web Service Bricks
CONNECTRA rendszer bevezetése
Internet és kommunikáció
Hozzáférés az Ügyfél portálhoz szeptember 27.
Előadás másolata:

7 Nov 2007National Information Infrastructure Developement Institute 1 Bajnok Kristóf NIIF Intézet november 7. AAI & Shibboleth HBONE Workshop

7 Nov 2007National Information Infrastructure Developement Institute 2 AAI Cél 1: az autentikációt és az autorizációt leválasztani az alkalmazásról Cél 1: az autentikációt és az autorizációt leválasztani az alkalmazásról – biztonságosabb – egyszerűbb Single Sign on – egységesebb Cél 2: Föderáció Cél 2: Föderáció – elosztott felhasználó menedzsment

7 Nov 2007National Information Infrastructure Developement Institute 3 Federation Több intézmény közösen dolgozik – A közösen használt erőforrásokhoz szabályozott keretek között kell hozzáférni – Legyen elég egyetlen identitás! megbíznak Az intézmények megbíznak egymás Identity Managementjében – eljárások – attribútumok használata

7 Nov 2007National Information Infrastructure Developement Institute 4 Federation elemek Identity Provider (IdP): „anyaintézmény” – azonosítást végez (SSO domainek között is) – felügyeli az identitásokat – felhasználói adatokat szolgáltat Service Provider (SP): tartalomszolgáltató – megbízik az IdP-ben nincsenek saját felhasználói Federation management – Home location (WAYF), metadata, stb WAYF = Where Are You From?

7 Nov 2007National Information Infrastructure Developement Institute 5 Federation Topológia

7 Nov 2007National Information Infrastructure Developement Institute 6 Kommunikáció az AAI-n belül SAML SAML (Security Assertion Markup Language) – OASIS nyílt szabvány, XML alapú – Assertion: állítás + paraméterek + aláírás autentikációs esemény attribútumok (+ egyéb...) – Profilok: Browser profilok: az üzenetek továbbítása a böngészőn keresztül (POST) SOAP-alapú profilok: közvetlen

7 Nov 2007National Information Infrastructure Developement Institute 7 SAML Assertion „Handle”: A Subject azonosítója

7 Nov 2007National Information Infrastructure Developement Institute 8 Shibboleth

7 Nov 2007National Information Infrastructure Developement Institute 9 Bírák 12,4-5: És elfoglalák a Gileádbeliek Efraim előtt a Jordán réveit... Forrás:

7 Nov 2007National Information Infrastructure Developement Institute 10 Bírák 12,5:... és lőn, hogy mikor az Efraim közül való menekülők azt mondják vala: Hadd menjek által: azt kérdezték tőlük a gileádbeli férfiak: Efraimbeli vagy-é?... Forrás:

7 Nov 2007National Information Infrastructure Developement Institute 11 Bírák 12,5-6:... és ha azt mondotta: nem! Akkor azt mondák néki: Mondd: Sibboleth!... Forrás:

7 Nov 2007National Information Infrastructure Developement Institute 12 Bírák 12,6:... És ha Szibbolethet mondott, mert nem tudta úgy kimondani,... Forrás:

7 Nov 2007National Information Infrastructure Developement Institute 13 Bírák 12,6:... akkor megfogták őt és megölték a Jordán réveinél,...

7 Nov 2007National Information Infrastructure Developement Institute 14 Bírák 12,6:... és elesett ott abban az időben az Efraimbeliek közül negyvenkétezer. Forrás:

7 Nov 2007National Information Infrastructure Developement Institute 15 Shibboleth Internet2 által fejlesztett szoftver – Webes Single Sign-On – Föderáció – SAML 1.1 kompatibilitás részben... a Shibboleth 1.3 egy protokoll is egyben – nyílt forráskódú IdP: Java SP: Apache / IIS modul (WAYF): Java (proof-of-concept)

7 Nov 2007National Information Infrastructure Developement Institute 16 Shibboleth architektúra áttekintés

7 Nov 2007National Information Infrastructure Developement Institute 17 Browser/POST Profile target= shire= providerId= <form method="post" action=" <input name="TARGET" type="hidden" value=" <input name="SAMLResponse" type="hidden" value="jlnd29h2e094kMjfgbnmKJBKNAhg=="/> target= shire= providerId=

7 Nov 2007National Information Infrastructure Developement Institute 18 Attribute Exchange

7 Nov 2007National Information Infrastructure Developement Institute 19 Browser/Artifact Profile target= shire= providerId= TARGET= SAMLArt=AA73DNFONNBVAQQVNRTGB%2BLKDFGL25%2BGF949NFDN >... AA73DNFONNBVAQQVNRTGB+LKDFGL25GF949NFDN >......

7 Nov 2007National Information Infrastructure Developement Institute 20 Metaadatok Metadata – IdP metaadatok: intézményi adatok + cert + Scope SSO – Artifact Resolution Service URL AA – SP metaadatok: intézményi adatok + cert + Assertion Consumer Service URL – Browser/POST és Browser/Artifact profile-ra

7 Nov 2007National Information Infrastructure Developement Institute 21 Alkalmazások levédése Forced Session (default) – webszerver modul véd – request csak autentikálva és autorizálva kerülhet az alkalmazáshoz

7 Nov 2007National Information Infrastructure Developement Institute 22 Alkalmazások levédése Lazy Session – „Login with Shibboleth” gomb – Az alkalmazáshoz eljuthat a kérés szűrés nélkül – A bejelentkezés státusza pl. a HTTP_SHIB_APPLICATION_ID vizsgálatával kérdezhető le nem spoof-olható

7 Nov 2007National Information Infrastructure Developement Institute 23 Kilépés Nehéz... Biztos módszer: böngésző bezárása – cookie-k, HTTP autentikáció törlése IdP: függ az autentikációs metódustól – pl. session lejárat SP: session törlése

7 Nov 2007National Information Infrastructure Developement Institute 24 Attribútumok IdP kiadja – Attribute Release Policy (ARP) SP ellenőrzi, elfogadja – Attribute Acceptance Policy (AAP) pl. Scope ellenőrzés metadata alapján – Az alkalmazás HTTP változókban kapja meg HTTP_SHIB_* – spoofing védelem

7 Nov 2007National Information Infrastructure Developement Institute 25 Nemzetközi kapcsolatok EduGAIN EduGAIN: Géant 2 JRA5 munkacsoport – föderációk közti kapcsolat ún. Bridging Element-ek segítségével a távoli föderáció egy IdP-ként vagy SP-ként jelenik meg – pl.:

7 Nov 2007National Information Infrastructure Developement Institute 26 Mit tegyenek a HBONE intézmények? IdP telepítés, csatlakozás – Cél: központi szolgáltatások „shibbolizálása” CA, VoD, Videokonferencia booking, stb Projekt és egyéb központi oldalak Részvétel a végleges föderációs szabályok kidolgozásában Belső SSO kialakítás – pl. e-learning

7 Nov 2007National Information Infrastructure Developement Institute 27 Bővebb információ: