Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

7 Nov 2007National Information Infrastructure Developement Institute 1 Bajnok Kristóf NIIF Intézet november 7.

Hasonló előadás


Az előadások a következő témára: "7 Nov 2007National Information Infrastructure Developement Institute 1 Bajnok Kristóf NIIF Intézet november 7."— Előadás másolata:

1 7 Nov 2007National Information Infrastructure Developement Institute 1 http://www.niif.hu Bajnok Kristóf NIIF Intézet bajnokk@niif.hu 2007. november 7. AAI & Shibboleth HBONE Workshop

2 7 Nov 2007National Information Infrastructure Developement Institute 2 http://www.niif.hu AAI Cél 1: az autentikációt és az autorizációt leválasztani az alkalmazásról Cél 1: az autentikációt és az autorizációt leválasztani az alkalmazásról – biztonságosabb – egyszerűbb Single Sign on – egységesebb Cél 2: Föderáció Cél 2: Föderáció – elosztott felhasználó menedzsment

3 7 Nov 2007National Information Infrastructure Developement Institute 3 http://www.niif.hu Federation Több intézmény közösen dolgozik – A közösen használt erőforrásokhoz szabályozott keretek között kell hozzáférni – Legyen elég egyetlen identitás! megbíznak Az intézmények megbíznak egymás Identity Managementjében – eljárások – attribútumok használata

4 7 Nov 2007National Information Infrastructure Developement Institute 4 http://www.niif.hu Federation elemek Identity Provider (IdP): „anyaintézmény” – azonosítást végez (SSO domainek között is) – felügyeli az identitásokat – felhasználói adatokat szolgáltat Service Provider (SP): tartalomszolgáltató – megbízik az IdP-ben nincsenek saját felhasználói Federation management – Home location (WAYF), metadata, stb WAYF = Where Are You From?

5 7 Nov 2007National Information Infrastructure Developement Institute 5 http://www.niif.hu Federation Topológia

6 7 Nov 2007National Information Infrastructure Developement Institute 6 http://www.niif.hu Kommunikáció az AAI-n belül SAML SAML (Security Assertion Markup Language) – OASIS nyílt szabvány, XML alapú – Assertion: állítás + paraméterek + aláírás autentikációs esemény attribútumok (+ egyéb...) – Profilok: Browser profilok: az üzenetek továbbítása a böngészőn keresztül (POST) SOAP-alapú profilok: közvetlen

7 7 Nov 2007National Information Infrastructure Developement Institute 7 http://www.niif.hu SAML Assertion „Handle”: A Subject azonosítója

8 7 Nov 2007National Information Infrastructure Developement Institute 8 http://www.niif.hu Shibboleth

9 7 Nov 2007National Information Infrastructure Developement Institute 9 http://www.niif.hu Bírák 12,4-5: És elfoglalák a Gileádbeliek Efraim előtt a Jordán réveit... Forrás: http://www.thebricktestament.com

10 7 Nov 2007National Information Infrastructure Developement Institute 10 http://www.niif.hu Bírák 12,5:... és lőn, hogy mikor az Efraim közül való menekülők azt mondják vala: Hadd menjek által: azt kérdezték tőlük a gileádbeli férfiak: Efraimbeli vagy-é?... Forrás: http://www.thebricktestament.com

11 7 Nov 2007National Information Infrastructure Developement Institute 11 http://www.niif.hu Bírák 12,5-6:... és ha azt mondotta: nem! Akkor azt mondák néki: Mondd: Sibboleth!... Forrás: http://www.thebricktestament.com

12 7 Nov 2007National Information Infrastructure Developement Institute 12 http://www.niif.hu Bírák 12,6:... És ha Szibbolethet mondott, mert nem tudta úgy kimondani,... Forrás: http://www.thebricktestament.com

13 7 Nov 2007National Information Infrastructure Developement Institute 13 http://www.niif.hu Bírák 12,6:... akkor megfogták őt és megölték a Jordán réveinél,...

14 7 Nov 2007National Information Infrastructure Developement Institute 14 http://www.niif.hu Bírák 12,6:... és elesett ott abban az időben az Efraimbeliek közül negyvenkétezer. Forrás: http://www.thebricktestament.com

15 7 Nov 2007National Information Infrastructure Developement Institute 15 http://www.niif.hu Shibboleth Internet2 által fejlesztett szoftver – Webes Single Sign-On – Föderáció – SAML 1.1 kompatibilitás részben... a Shibboleth 1.3 egy protokoll is egyben – nyílt forráskódú IdP: Java SP: Apache / IIS modul (WAYF): Java (proof-of-concept)

16 7 Nov 2007National Information Infrastructure Developement Institute 16 http://www.niif.hu Shibboleth architektúra áttekintés

17 7 Nov 2007National Information Infrastructure Developement Institute 17 http://www.niif.hu Browser/POST Profile https://wayf.example.org? target=https://sp.example.org/resourcename& shire=https://sp.example.org/shibboleth/ACS/POST& providerId=https://sp.example.org/shibboleth <form method="post" action="https://sp.example.org/shibboleth/ACS/POST"> <input name="TARGET" type="hidden" value="https://sp.example.org/resourcename"/> <input name="SAMLResponse" type="hidden" value="jlnd29h2e094kMjfgbnmKJBKNAhg=="/> https://idp.example.org? target=https://sp.example.org/resourcename& shire=https://sp.example.org/shibboleth/ACS/POST& providerId=https://sp.example.org/shibboleth

18 7 Nov 2007National Information Infrastructure Developement Institute 18 http://www.niif.hu Attribute Exchange

19 7 Nov 2007National Information Infrastructure Developement Institute 19 http://www.niif.hu Browser/Artifact Profile https://wayf.example.org? target=https://sp.example.org/resourcename& shire=https://sp.example.org/shibboleth/ACS/Artifact& providerId=https://sp.example.org/shibboleth https://sp.example.org/shibboleth/SSO/Artifact? TARGET=https://sp.example.org/resourcename& SAMLArt=AA73DNFONNBVAQQVNRTGB%2BLKDFGL25%2BGF949NFDN >... AA73DNFONNBVAQQVNRTGB+LKDFGL25GF949NFDN >......

20 7 Nov 2007National Information Infrastructure Developement Institute 20 http://www.niif.hu Metaadatok Metadata – IdP metaadatok: intézményi adatok + cert + Scope SSO – Artifact Resolution Service URL AA – SP metaadatok: intézményi adatok + cert + Assertion Consumer Service URL – Browser/POST és Browser/Artifact profile-ra

21 7 Nov 2007National Information Infrastructure Developement Institute 21 http://www.niif.hu Alkalmazások levédése Forced Session (default) – webszerver modul véd – request csak autentikálva és autorizálva kerülhet az alkalmazáshoz

22 7 Nov 2007National Information Infrastructure Developement Institute 22 http://www.niif.hu Alkalmazások levédése Lazy Session – „Login with Shibboleth” gomb – Az alkalmazáshoz eljuthat a kérés szűrés nélkül – A bejelentkezés státusza pl. a HTTP_SHIB_APPLICATION_ID vizsgálatával kérdezhető le nem spoof-olható

23 7 Nov 2007National Information Infrastructure Developement Institute 23 http://www.niif.hu Kilépés Nehéz... Biztos módszer: böngésző bezárása – cookie-k, HTTP autentikáció törlése IdP: függ az autentikációs metódustól – pl. session lejárat SP: session törlése

24 7 Nov 2007National Information Infrastructure Developement Institute 24 http://www.niif.hu Attribútumok IdP kiadja – Attribute Release Policy (ARP) SP ellenőrzi, elfogadja – Attribute Acceptance Policy (AAP) pl. Scope ellenőrzés metadata alapján – Az alkalmazás HTTP változókban kapja meg HTTP_SHIB_* – spoofing védelem

25 7 Nov 2007National Information Infrastructure Developement Institute 25 http://www.niif.hu Nemzetközi kapcsolatok EduGAIN EduGAIN: Géant 2 JRA5 munkacsoport – föderációk közti kapcsolat ún. Bridging Element-ek segítségével a távoli föderáció egy IdP-ként vagy SP-ként jelenik meg – pl.: https://kelimutu.switch.ch/aai/

26 7 Nov 2007National Information Infrastructure Developement Institute 26 http://www.niif.hu Mit tegyenek a HBONE intézmények? IdP telepítés, csatlakozás – Cél: központi szolgáltatások „shibbolizálása” CA, VoD, Videokonferencia booking, stb Projekt és egyéb központi oldalak Részvétel a végleges föderációs szabályok kidolgozásában Belső SSO kialakítás – pl. e-learning

27 7 Nov 2007National Information Infrastructure Developement Institute 27 http://www.niif.hu Bővebb információ: http://wiki.aai.niif.hu


Letölteni ppt "7 Nov 2007National Information Infrastructure Developement Institute 1 Bajnok Kristóf NIIF Intézet november 7."

Hasonló előadás


Google Hirdetések