Szalai Ferenc – Web Service Bricks (szferi@wsbricks.com) Identity Management (IdM) - Bevezető avagy bambuszvágó késsel a rövidítések dzsunglében Szalai Ferenc – Web Service Bricks (szferi@wsbricks.com)
Mi a szösz az a IdM? A digitális személyazonoság (identity) kezelésével kapcsolatos technolólógiák, szabályok és folyamatok gyűjteménye. Célja, hogy meghatározza az információhoz való hozzáférés szabályozásának egységes és standard módszertanát.
Mi a probléma? “Van egységes információs rendszerünk, több is!” Szervezeten belüli tetszőleges információs rendszerhez való hozzáférés egységes szabályozása. A szervezeti és személyi változások hatékony követése. Hatékony és biztonságos együttműködés más szervezetekkel.
IdM fő területei Digitális személyazonosság-kezelés és azonosítás: hogy azonosítjuk?, milyen attribútumai vannak?, ki milyen attribútumokhoz férhet hozzá?, SSO Jogosultság-kezelés: kinek mihez van milyen joga? Felhasználó életciklusának kezelése: belép, elmegy, munkakört vált, szervezet változik, folyamatok változnak stb.
IdM fő területei Audit, Accounting: ki mit csinált mikor? Federáció: bizalom alapú kapcsolat önálló szervezeti egyégek között Önkiszolgálás – self-service: jelszóújítás és -emlékeztető, bizonyos attribútumok szerkesztése (profil)
Single Sign On Kedetben vala az LDAP/Directory: egy felhasználónév és jelszó mindenhova. De miért kell ezt mindig bepötyögni? IdP: Identity Provider ahol azonosítjuk magunkat és aki az attribútumainkat birtokolja RP/SP: Relaying Party, Service Provider akinek szüksége van az azonosításra SSO Protokollok: Az IdP és RP közötti kommunikáció
F(e)öderáció Független szervezetek (security domains) közötti biztonságos azonosság-csere Nincs szükség redundáns felhasználói adatok felvételére. Bizalom alapú (praktice X509 cert csere) Jogi keretrendszer is szükséges hozzá. Technológia már rendelkezésre áll, csak használni kell!
IdP RP token token
SAML Security Assertion Markap Language Igazolások (assertion) leírásának nyelve kire vonatkozik?, kinek szól?, meddig érvényes?, attribútumok IdP és RP közötti protokoll-profilok pl.: WebSSO Bindings: hogyan kell SAML igazolást küldeni pl. SOAP üzenetben Metadata: az IdP és RP leírása XML-ben Profilok: az elfogadott attribútumok specifikációja
WS-* WS-Policy: kommuniáció előfeltételeinek meghatározása (algoritmus, elvárt tokenváltozat stb.) WS-Trust: fő komponense az STS (Security Token Service) – általános keret (Username, Kerberos, X509, stb.) tokenek biztonságos továbbítására WS-Federation: AuthN, AuthZ, Attribútum, Pseudonym szolgáltatások integrációja WS- Trust alapon
Felhasználóközpontú IdM Felhasználó dönt, milyen információt ad ki magáról kinek Csak azt az információt kell kiadni, ami feltetlenül szükséges a szolgáltatás igénybevételéhez. A felhasználó dönt, hogy milyen harmadik szervet von be a műveletekbe (pl.: IdP). Pseudonymity Független a technológiától és annak üzemeltetőjétől Adathalászat ellenes (Anti-phishing) Minden körülmények között hasonló élményt nyújtson a felhasználónak.
OpenID Azonosító: URL (https://szferi.myopenid.com) Az azonosítás nem automatikus, azt minden esetben SP oldalról kezdeményezni kell. Nincs bizalmi viszony az IdP és SP között. Attribútumcsere szabványos 2.0 óta. Nagy szolgáltatók támogatják: AOL, Yahoo, Google, MS, stb. Független IdP-k pl.: myopenid.com OpenID IdP-k integrációs pontok más technológiákkal. Rengeteg probléma vár megoldásra pl.: phishing
iName/XRI/XDI XRI (eXtensible Resource Identifier): Dolgok (ember, szervezet, stb.) elnevezésének módja A IP cím <> DNS összekapcsolást általánosítja. XDI (XDI Data Interchange): két XRI név közötti állandóan engedélyezett kapcsolat leírása XRD: eXtensible Resource Description OASIS standard =Mary.Jones +phone.number/(+area.code) @Jones.and.Company/((+phone.number)/(+area.code))
XRD példa <xrds:XRDS xmlns:xrds="xri://$xrds" xmlns:openid="http://openid.net/xmlns/1.0" xmlns="xri://$xrd*($v*2.0)"> <XRD> <Service priority="0"> <Type>http://specs.openid.net/auth/2.0/signon</Type> <Type>http://openid.net/sreg/1.0</Type> <Type>http://openid.net/extensions/sreg/1.1</Type> <Type>http://schemas.openid.net/pape/policies/2007/06/phishing-resistant</ Type> <Type>http://openid.net/srv/ax/1.0</Type> <URI>https://www.myopenid.com/server</URI> <LocalID>https://szferi.myopenid.com/</LocalID> </Service> </XRD> </xrds>
Yadis Hogyan találjuk meg a jó IdP-t? URI/XRI alapú IdP-felfedezési protokoll Elfogadott azonosító formátumok: OpenID URL, XRI, LID, Sxip ID X-XRDS-Location: https://szferi.myopenid.com/xrds
InfoCard/CardSpace Felejtsük el végre a jelszót! A valós személyazonosító kártyákat mintázza. Minden kártyának globális egyedi azonosítója van. Saját kibocsátású (Self-issued) és IdP által kibocsátott kártyákat is kezel. WS-* protokollokra és SAML igazolásokra épül.
Hova tovább, hovatovább? Konszolidáció az elburjánzó felhasználói azonosítók felszámolása, egységesítése központosított felhasználó életciklus-kezelés Adaptáció azonosítási eljárás kiválasztása (nem fejlesztünk sajátot!) IdP telepítése Integráció, együttműködés technológiák között kivel akarsz federációba lépni, miért, hogyan? Tréning, felhasználó-támogatás, dokumentáció