Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Szalai Ferenc – Web Service Bricks

Hasonló előadás


Az előadások a következő témára: "Szalai Ferenc – Web Service Bricks"— Előadás másolata:

1 Szalai Ferenc – Web Service Bricks (szferi@wsbricks.com)
Identity Management (IdM) - Bevezető avagy bambuszvágó késsel a rövidítések dzsunglében Szalai Ferenc – Web Service Bricks

2 Mi a szösz az a IdM? A digitális személyazonoság (identity) kezelésével kapcsolatos technolólógiák, szabályok és folyamatok gyűjteménye. Célja, hogy meghatározza az információhoz való hozzáférés szabályozásának egységes és standard módszertanát.

3 Mi a probléma? “Van egységes információs rendszerünk, több is!”
Szervezeten belüli tetszőleges információs rendszerhez való hozzáférés egységes szabályozása. A szervezeti és személyi változások hatékony követése. Hatékony és biztonságos együttműködés más szervezetekkel.

4 IdM fő területei Digitális személyazonosság-kezelés és azonosítás:
hogy azonosítjuk?, milyen attribútumai vannak?, ki milyen attribútumokhoz férhet hozzá?, SSO Jogosultság-kezelés: kinek mihez van milyen joga? Felhasználó életciklusának kezelése: belép, elmegy, munkakört vált, szervezet változik, folyamatok változnak stb.

5 IdM fő területei Audit, Accounting: ki mit csinált mikor? Federáció:
bizalom alapú kapcsolat önálló szervezeti egyégek között Önkiszolgálás – self-service: jelszóújítás és -emlékeztető, bizonyos attribútumok szerkesztése (profil)

6 Single Sign On Kedetben vala az LDAP/Directory: egy felhasználónév és jelszó mindenhova. De miért kell ezt mindig bepötyögni? IdP: Identity Provider ahol azonosítjuk magunkat és aki az attribútumainkat birtokolja RP/SP: Relaying Party, Service Provider akinek szüksége van az azonosításra SSO Protokollok: Az IdP és RP közötti kommunikáció

7 F(e)öderáció Független szervezetek (security domains) közötti biztonságos azonosság-csere Nincs szükség redundáns felhasználói adatok felvételére. Bizalom alapú (praktice X509 cert csere) Jogi keretrendszer is szükséges hozzá. Technológia már rendelkezésre áll, csak használni kell!

8 IdP RP token token

9 SAML Security Assertion Markap Language
Igazolások (assertion) leírásának nyelve kire vonatkozik?, kinek szól?, meddig érvényes?, attribútumok IdP és RP közötti protokoll-profilok pl.: WebSSO Bindings: hogyan kell SAML igazolást küldeni pl. SOAP üzenetben Metadata: az IdP és RP leírása XML-ben Profilok: az elfogadott attribútumok specifikációja

10 WS-* WS-Policy: kommuniáció előfeltételeinek meghatározása (algoritmus, elvárt tokenváltozat stb.) WS-Trust: fő komponense az STS (Security Token Service) – általános keret (Username, Kerberos, X509, stb.) tokenek biztonságos továbbítására WS-Federation: AuthN, AuthZ, Attribútum, Pseudonym szolgáltatások integrációja WS- Trust alapon

11 Felhasználóközpontú IdM
Felhasználó dönt, milyen információt ad ki magáról kinek Csak azt az információt kell kiadni, ami feltetlenül szükséges a szolgáltatás igénybevételéhez. A felhasználó dönt, hogy milyen harmadik szervet von be a műveletekbe (pl.: IdP). Pseudonymity Független a technológiától és annak üzemeltetőjétől Adathalászat ellenes (Anti-phishing) Minden körülmények között hasonló élményt nyújtson a felhasználónak.

12

13 OpenID Azonosító: URL (https://szferi.myopenid.com)
Az azonosítás nem automatikus, azt minden esetben SP oldalról kezdeményezni kell. Nincs bizalmi viszony az IdP és SP között. Attribútumcsere szabványos 2.0 óta. Nagy szolgáltatók támogatják: AOL, Yahoo, Google, MS, stb. Független IdP-k pl.: myopenid.com OpenID IdP-k integrációs pontok más technológiákkal. Rengeteg probléma vár megoldásra pl.: phishing

14 iName/XRI/XDI XRI (eXtensible Resource Identifier): Dolgok (ember, szervezet, stb.) elnevezésének módja A IP cím <> DNS összekapcsolást általánosítja. XDI (XDI Data Interchange): két XRI név közötti állandóan engedélyezett kapcsolat leírása XRD: eXtensible Resource Description OASIS standard =Mary.Jones +phone.number/(+area.code) @Jones.and.Company/((+phone.number)/(+area.code))

15 XRD példa <xrds:XRDS xmlns:xrds="xri://$xrds"
xmlns:openid=" xmlns="xri://$xrd*($v*2.0)"> <XRD> <Service priority="0"> <Type> <Type> <Type> <Type> Type> <Type> <URI> <LocalID> </Service> </XRD> </xrds>

16 Yadis Hogyan találjuk meg a jó IdP-t?
URI/XRI alapú IdP-felfedezési protokoll Elfogadott azonosító formátumok: OpenID URL, XRI, LID, Sxip ID X-XRDS-Location:

17 InfoCard/CardSpace Felejtsük el végre a jelszót!
A valós személyazonosító kártyákat mintázza. Minden kártyának globális egyedi azonosítója van. Saját kibocsátású (Self-issued) és IdP által kibocsátott kártyákat is kezel. WS-* protokollokra és SAML igazolásokra épül.

18 Hova tovább, hovatovább?
Konszolidáció az elburjánzó felhasználói azonosítók felszámolása, egységesítése központosított felhasználó életciklus-kezelés Adaptáció azonosítási eljárás kiválasztása (nem fejlesztünk sajátot!) IdP telepítése Integráció, együttműködés technológiák között kivel akarsz federációba lépni, miért, hogyan? Tréning, felhasználó-támogatás, dokumentáció

19


Letölteni ppt "Szalai Ferenc – Web Service Bricks"

Hasonló előadás


Google Hirdetések