Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Technische Übersicht zu Shibboleth

Veröffentlicht von:Winfried Rase Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Technische Übersicht zu Shibboleth"—  Präsentation transkript:

1 Technische Übersicht zu Shibboleth
2. Shibboleth-Workshop, Freiburg, Franck Borel, UB Freiburg

2 Übersicht Wissen – Verstehen – Anwenden Eigenschaften von Shibboleth
Wie funktioniert Shibboleth? Shibboleth in der Praxis Shibboleth in der Zukunft Franck Borel, UB Freiburg

3 Eigenschaften von Shibboleth
Gesicherter Zugang zu webbasierten Diensten Gewährleistet anonymen Zugang zu Informationen und Ressourcen, wobei der Zutritt beliebigen Gruppen/Personen zugewiesen werden kann (z.B. Universität, Fakultät, Prof. Ziegenbart) Single Sign-On Freie Wahl des Authentifizierungssystems (erwartet Umgebungsvariable REMOTE_USER) Autorisierung erfolgt über Attribute Nachrichten werden mit Hilfe von SOAP und SAML-Anfragen/Antworten ausgetauscht Open-Source (Apache 2.0 Lizenz) Setzt auf bewährte Software und Standards auf und unterstützt die wichtigsten Betriebssysteme Franck Borel, UB Freiburg

4 Wie funktioniert Shibboleth?
Föderation Ordnet einen Benutzer seiner Heimateinrichtung zu WAYF Ressourcen-verwaltung, Zugangs-berechtigung Heimat-einrichtung mit Identity-Provider Anbieter mit Service-Provider Authentifizierung Autorisierung Vertragspartner, Operator, rechtliche Belange Franck Borel, UB Freiburg

5 Wie funktioniert Shibboleth?
Wodurch wird die Kommunikation zwischen Service-Provider und Identity-Provider ermöglicht? HTTP / HTTPS (Port 80, 443, 8443) Browser/Post (sichtbar für den Benutzer) Browser/Artifact (nicht sichtbar für den Benutzer) Umgebungsvariablen SAML-Nachrichten Metadaten Franck Borel, UB Freiburg

6 Wie funktioniert Shibboleth?
SAML-Nachricht: Dient der Übertragung von Anfragen und Antworten HTTP/HTTPS SOAP Nachricht SOAP Kopf SOAP Inhalt SAML Anfrage/Antwort Franck Borel, UB Freiburg

7 Wie funktioniert Shibboleth?
SAML-Nachrichten Eigenschaften: Können digital signiert werden Werden in fünf verschiedenen Varianten verwendet: Bestätigung einer erfolgreichen Authentifizierung Attribute Fehlerrückmeldung Autorisierungsnachricht anhand derer der Service Provider entscheiden kann, ob ein Benutzer auf eine Ressource zugreifen darf oder nicht Zusammengesetzter Typ aus a und b (Browser/Artifact) Franck Borel, UB Freiburg

8 Wie funktioniert Shibboleth?
Metadaten Ermöglichen die Kommunikation zwischen Identity-Provider und Service-Provider In den Metadaten sind Identity-Provider und Service-Provider aufgeführt, die an den Austausch von Nachrichten beteiligt sind Nur in dem Metadaten aufgeführte Zertifikate werden akzeptiert Franck Borel, UB Freiburg

9 Wie funktioniert Shibboleth?
Metadaten: Aufbau Rahmen <EntitiesDescriptor> <Extensions> <ds:KeyInfo /> </Extensions> <EntityDescriptor> <IDPSSODescriptor /> </EntityDescriptor> <SPSSODescriptor /> </EntitiesDescriptor> Stamm-Zertifkate Identity Provider und Service Provider Franck Borel, UB Freiburg

10 Wie funktioniert Shibboleth?
Service-Provider Benutzerin (1) Benutzerin bekannt? ja nein (2) (3) WAYF (4) Benutzerin berechtigt? (6) (5) (7) Identity-Provider (9) gestattet Zugriff ja (8) verweigert nein Franck Borel, UB Freiburg

11 Wie funktioniert Shibboleth?
Szenario: Erstkontakt ohne WAYF mit Browser/Artifact Identity Provider Benutzer Authentifizierung Attribute Authority (AA) (4) 302 SSO Dienst Artifact Resolution Service (3) GET (7) 200 (6) POST (8) 302 Assertion Consumer Service (5) GET (10) 200 (9) GET Access Control Target Resource (2) 302 (1) GET Service Provider Franck Borel, UB Freiburg

12 Wie funktioniert Shibboleth?
Sicherheitsmechanismen SSL/TSL: Man-in-the-Middle, Message Modification, Eavesdropping XMLsig: Message Modification Gültigkeitsdauer von Sitzungen, Bestätigungen, Attributen (engl. Lifetime, TTL): Replay, DOS Metadaten: DOS, Message Modification Es werden keine personenbezogenen Daten übermittelt sondern Stellvertreter (engl. Handler): Eavesdropping Franck Borel, UB Freiburg

13 Shibboleth in der Praxis
Unterstützte Betriebssysteme: Linux Solaris Windows Mac OS-X Franck Borel, UB Freiburg

14 Shibboleth in der Praxis
Notwendige Software (Bsp. Linux): Identity Provider: Tomcat Apache mit mod_ssl (für HTTPS) und mod_jk (Verbindung zum Tomcat) JDK (für Tomcat und Identity-Provider) Ant (Software entpacken) OpenSAML (transportieren, erstellen und parsen der SAML-Nachrichten) OpenSSL (für Server-Zertifikate) NTP (Zeitstempel: Wie lange ist die SAML-Nachricht gültig) Franck Borel, UB Freiburg

15 Shibboleth in der Praxis
Notwendige Software (Bsp. Linux): Service Provider: Apache + mod_ssl (für HTTPS) OpenSSL (für Server-Zertifikate) NTP (Zeitstempel: Wie lange ist die SAML-Nachricht gültig?) Libcurl OpenSAML (transportieren, erstellen und parsen der SAML-Nachrichten) Franck Borel, UB Freiburg

16 Shibboleth in der Praxis
Optionale Software (Auszug): WAYF (Internet2): Lokalisierungsdienst Rechteserver (Uni-Regensburg): Attributübersetzung für Service-Provider Arpedit (Internet2): ARP-Editor für Identity Provider Mod_auth_location (Internet2): Anonymer Zugang von ausgewählten Browsern und Service Providern ShARPE (MAMS): Administrationswerkzeug zum Konfigurieren von ARP-Dateien Autograph (MAMS): Benutzerwerkzeug zum Konfigurieren von ARP-Dateien Resource-Registry (SWITCH): Zentraler Datenspeicher, in denen alle Informationen zu den Service Providern und Identity Providern zusammengetragen sind Franck Borel, UB Freiburg

17 Shibboleth in der Praxis
Erst-Installation: Wie geht man vor? Dokumentationen zu Shibboleth Installationsanleitung besorgen Installation der Server und der Shibboleth-Software Test-Konfiguration mit Hilfe der AAR Demo-Umgebung Feinabstimmung der Konfiguration (z.B. Session Timeout, AAP, Logging) Optionale Software einspielen und testen Franck Borel, UB Freiburg

18 Shibboleth in der Praxis
Potentielle Hürden: Identity Provider: Standard Authentifizierung (Tomcat Valve) reicht nicht immer aus und muss daher angepasst werden, was wiederum tief greifende Kenntnisse über Tomcat verlangt Zertifikate Shibboleth-Dokumentation kein Single Log-Out (der Benutzer muss den Browser schliessen, um alle Sitzungen zu beenden; für die Version 2.1 ist ein Single Log-Out geplant) Service Provider: WAYF: Keine Dokumentation vorhanden! Franck Borel, UB Freiburg

19 Shibboleth in der Praxis
Ein paar Beispiele zu Diensten, die shibboleth-fähig gemacht worden sind: ReDI (UB Freiburg): Testphase Wiki (Ohio University): Produktionsphase Virtuelle Lernumgebung (Bodington.org): Produktionsphase Quicktime Streaming Server (Darwin Streaming Server): Produktionsphase Datenbank (EBSCO Publishing): Produktionsphase Napster: Produktionsphase E-Learning (OLAT Schweiz): Produktionsphase Franck Borel, UB Freiburg

20 Shibboleth in der Zukunft
Für Shibboleth 2.x sind unter anderen folgende Erweiterungen geplant: Anpassen an den SAML 2.0 Standard (z.B. Single Log-Out, Authentifizierung wird stärker in den Identity-Provider eingebunden als bisher, Service-Provider bekommt weitere Konfigurationseinstellungen) ShARPE und Autograph als fester Bestandteil Service Provider auch als Java-Servlet (2.3+) der zentrale WAYF-Dienst fällt weg es wird einen Discovery Service geben, der beim Service-Provider installiert ist und auch mit mehreren Föderationszugehörigkeiten zurecht kommt Bessere Dokumentation Franck Borel, UB Freiburg

21 Ich danke Ihnen für Ihre Aufmerksamkeit!
Fragen? Franck Borel, UB Freiburg

Herunterladen ppt "Technische Übersicht zu Shibboleth"

Ähnliche Präsentationen

Ausblick auf Shibboleth 2.0

Ausblick auf Shibboleth 2.0
Software Architektur Service­orientierte Architektur und Sicherheit

Software Architektur Service­orientierte Architektur und Sicherheit
Migration der Arbeitsplatzrechner und Benutzerprofile in eine neue Domänenstruktur bei der WetterOnline GmbH Alexander Wiechert Migration der Arbeitsplatzrechner.

Migration der Arbeitsplatzrechner und Benutzerprofile in eine neue Domänenstruktur bei der WetterOnline GmbH Alexander Wiechert Migration der Arbeitsplatzrechner.
Was gibt´s neues im Bereich Sicherheit

Was gibt´s neues im Bereich Sicherheit
Multi-Server Shutdown

Multi-Server Shutdown
ReDI als Pilotanwendung für Shibboleth

ReDI als Pilotanwendung für Shibboleth
Anwendungen schützen mit Shibboleth

Anwendungen schützen mit Shibboleth
für das Schulnetz der BS Roth

für das Schulnetz der BS Roth
Systemverwaltung wie es Ihnen gefällt.

Systemverwaltung wie es Ihnen gefällt.
Die Elektronische Zeitschriftenbibliothek

Die Elektronische Zeitschriftenbibliothek
Das Projekt AAR Authentifizierung, Autorisierung und Rechteverwaltung Vorstellung des Projektes und Informationsaustausch Mannheim, 13. Juni 2006 Franck.

Das Projekt AAR Authentifizierung, Autorisierung und Rechteverwaltung Vorstellung des Projektes und Informationsaustausch Mannheim, 13. Juni 2006 Franck.
Verteilte Authentifizierung mit Open Source Software – Integrationsplattform für Wissenschaft und Wirtschaft Kommunales Daten- und Identitätsmanagement.

Verteilte Authentifizierung mit Open Source Software – Integrationsplattform für Wissenschaft und Wirtschaft Kommunales Daten- und Identitätsmanagement.
Das Projekt AAR ReDI als Pilotanwendung für die Shibboleth-Authentifizierung vascoda AG Betrieb und Weiterentwicklung Köln, 24. August 2005 Bernd Oberknapp,

Das Projekt AAR ReDI als Pilotanwendung für die Shibboleth-Authentifizierung vascoda AG Betrieb und Weiterentwicklung Köln, 24. August 2005 Bernd Oberknapp,
Das Projekt AAR Authentifizierung, Autorisierung und Rechteverwaltung

Das Projekt AAR Authentifizierung, Autorisierung und Rechteverwaltung
1 Allgemeine Fragestellung Suche nach wissenschaftlicher Information im Internet Quelle wird gefunden, aber… …Zugang nur gegen Passwort oder Zahlung Wiss.

1 Allgemeine Fragestellung Suche nach wissenschaftlicher Information im Internet Quelle wird gefunden, aber… …Zugang nur gegen Passwort oder Zahlung Wiss.
Bernd Oberknapp, UB Freiburg

Bernd Oberknapp, UB Freiburg
Authentifizierung, Autorisierung und Rechteverwaltung Einsatz und Funktion des Rechteservers 2. Shibboleth-Workshop Freiburg, 23. März 2006 Gerald Schupfner,

Authentifizierung, Autorisierung und Rechteverwaltung Einsatz und Funktion des Rechteservers 2. Shibboleth-Workshop Freiburg, 23. März 2006 Gerald Schupfner,
Föderationen: Richtlinien, Zertifikate und Attribute

Föderationen: Richtlinien, Zertifikate und Attribute
Bernd Oberknapp, UB Freiburg

Bernd Oberknapp, UB Freiburg
Einführung in den Identity Provider

Einführung in den Identity Provider

Ähnliche Präsentationen

Google-Anzeigen