Előadást letölteni
Az előadás letöltése folymat van. Kérjük, várjon
1
Szalai Ferenc – Web Service Bricks (szferi@wsbricks.com)
Identity Management (IdM) - Bevezető avagy bambuszvágó késsel a rövidítések dzsunglében Szalai Ferenc – Web Service Bricks
2
Mi a szösz az a IdM? A digitális személyazonoság (identity) kezelésével kapcsolatos technolólógiák, szabályok és folyamatok gyűjteménye. Célja, hogy meghatározza az információhoz való hozzáférés szabályozásának egységes és standard módszertanát.
3
Mi a probléma? “Van egységes információs rendszerünk, több is!”
Szervezeten belüli tetszőleges információs rendszerhez való hozzáférés egységes szabályozása. A szervezeti és személyi változások hatékony követése. Hatékony és biztonságos együttműködés más szervezetekkel.
4
IdM fő területei Digitális személyazonosság-kezelés és azonosítás:
hogy azonosítjuk?, milyen attribútumai vannak?, ki milyen attribútumokhoz férhet hozzá?, SSO Jogosultság-kezelés: kinek mihez van milyen joga? Felhasználó életciklusának kezelése: belép, elmegy, munkakört vált, szervezet változik, folyamatok változnak stb.
5
IdM fő területei Audit, Accounting: ki mit csinált mikor? Federáció:
bizalom alapú kapcsolat önálló szervezeti egyégek között Önkiszolgálás – self-service: jelszóújítás és -emlékeztető, bizonyos attribútumok szerkesztése (profil)
6
Single Sign On Kedetben vala az LDAP/Directory: egy felhasználónév és jelszó mindenhova. De miért kell ezt mindig bepötyögni? IdP: Identity Provider ahol azonosítjuk magunkat és aki az attribútumainkat birtokolja RP/SP: Relaying Party, Service Provider akinek szüksége van az azonosításra SSO Protokollok: Az IdP és RP közötti kommunikáció
7
F(e)öderáció Független szervezetek (security domains) közötti biztonságos azonosság-csere Nincs szükség redundáns felhasználói adatok felvételére. Bizalom alapú (praktice X509 cert csere) Jogi keretrendszer is szükséges hozzá. Technológia már rendelkezésre áll, csak használni kell!
8
IdP RP token token
9
SAML Security Assertion Markap Language
Igazolások (assertion) leírásának nyelve kire vonatkozik?, kinek szól?, meddig érvényes?, attribútumok IdP és RP közötti protokoll-profilok pl.: WebSSO Bindings: hogyan kell SAML igazolást küldeni pl. SOAP üzenetben Metadata: az IdP és RP leírása XML-ben Profilok: az elfogadott attribútumok specifikációja
10
WS-* WS-Policy: kommuniáció előfeltételeinek meghatározása (algoritmus, elvárt tokenváltozat stb.) WS-Trust: fő komponense az STS (Security Token Service) – általános keret (Username, Kerberos, X509, stb.) tokenek biztonságos továbbítására WS-Federation: AuthN, AuthZ, Attribútum, Pseudonym szolgáltatások integrációja WS- Trust alapon
11
Felhasználóközpontú IdM
Felhasználó dönt, milyen információt ad ki magáról kinek Csak azt az információt kell kiadni, ami feltetlenül szükséges a szolgáltatás igénybevételéhez. A felhasználó dönt, hogy milyen harmadik szervet von be a műveletekbe (pl.: IdP). Pseudonymity Független a technológiától és annak üzemeltetőjétől Adathalászat ellenes (Anti-phishing) Minden körülmények között hasonló élményt nyújtson a felhasználónak.
13
OpenID Azonosító: URL (https://szferi.myopenid.com)
Az azonosítás nem automatikus, azt minden esetben SP oldalról kezdeményezni kell. Nincs bizalmi viszony az IdP és SP között. Attribútumcsere szabványos 2.0 óta. Nagy szolgáltatók támogatják: AOL, Yahoo, Google, MS, stb. Független IdP-k pl.: myopenid.com OpenID IdP-k integrációs pontok más technológiákkal. Rengeteg probléma vár megoldásra pl.: phishing
14
iName/XRI/XDI XRI (eXtensible Resource Identifier): Dolgok (ember, szervezet, stb.) elnevezésének módja A IP cím <> DNS összekapcsolást általánosítja. XDI (XDI Data Interchange): két XRI név közötti állandóan engedélyezett kapcsolat leírása XRD: eXtensible Resource Description OASIS standard =Mary.Jones +phone.number/(+area.code) @Jones.and.Company/((+phone.number)/(+area.code))
15
XRD példa <xrds:XRDS xmlns:xrds="xri://$xrds"
xmlns:openid=" xmlns="xri://$xrd*($v*2.0)"> <XRD> <Service priority="0"> <Type> <Type> <Type> <Type> Type> <Type> <URI> <LocalID> </Service> </XRD> </xrds>
16
Yadis Hogyan találjuk meg a jó IdP-t?
URI/XRI alapú IdP-felfedezési protokoll Elfogadott azonosító formátumok: OpenID URL, XRI, LID, Sxip ID X-XRDS-Location:
17
InfoCard/CardSpace Felejtsük el végre a jelszót!
A valós személyazonosító kártyákat mintázza. Minden kártyának globális egyedi azonosítója van. Saját kibocsátású (Self-issued) és IdP által kibocsátott kártyákat is kezel. WS-* protokollokra és SAML igazolásokra épül.
18
Hova tovább, hovatovább?
Konszolidáció az elburjánzó felhasználói azonosítók felszámolása, egységesítése központosított felhasználó életciklus-kezelés Adaptáció azonosítási eljárás kiválasztása (nem fejlesztünk sajátot!) IdP telepítése Integráció, együttműködés technológiák között kivel akarsz federációba lépni, miért, hogyan? Tréning, felhasználó-támogatás, dokumentáció
Hasonló előadás
© 2024 SlidePlayer.hu Inc.
All rights reserved.