Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Die Technik des Service Provider 2. Shibboleth-Workshop Freiburg, 23. März Dr. Jochen Lienhard AAR Projekt UB Freiburg Authentifizierung, Autorisierung.

Veröffentlicht von:Klara Knopp Geändert vor über 8 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Die Technik des Service Provider 2. Shibboleth-Workshop Freiburg, 23. März Dr. Jochen Lienhard AAR Projekt UB Freiburg Authentifizierung, Autorisierung."—  Präsentation transkript:

1 Die Technik des Service Provider 2. Shibboleth-Workshop Freiburg, 23. März Dr. Jochen Lienhard AAR Projekt UB Freiburg Authentifizierung, Autorisierung und Rechteverwaltung

2 Dr. Jochen Lienhard, AAR Projekt, UB Freiburg2 Was ist ein Service Provider? Allgemein Ein Service Provider (SP) ist ein Anbieter von webbasierten Diensten oder Inhalten, die einen eingeschränkten Zugriff benötigen. bei Shibboleth „A Service Provider (SP) is a deployment of SAML software that validates assertions issued by Identity Providers (IdP) and uses them to create a security context and assists in the enforcement of access control based on the information.”

3 Dr. Jochen Lienhard, AAR Projekt, UB Freiburg3 Beispiele für Ressourcen HTML-Seiten, PHP- oder CGI-Scripte e-Learning-Module in LMS Datenbanken Elektronische Zeitschriften Zertifizierungsstelle...

4 Dr. Jochen Lienhard, AAR Projekt, UB Freiburg4 Ohne Shibboleth Web- Server Apache oder IIS httpd.conf Require.... Daten im Filesystem Ressource Manager

5 Dr. Jochen Lienhard, AAR Projekt, UB Freiburg5 Mit Shibboleth Web-Server Apache oder IIS httpd.conf AuthType shibboleth ShibRequireSession On Daten im Filesystem Ressource Manager mod_shib (ACS) shibd (+ AAP)

6 Dr. Jochen Lienhard, AAR Projekt, UB Freiburg6 Der Ressource Manager RM des Apache –require affiliation member@uni-freiburg.de RM als Mischung aus Apache und zusätzlicher Software –require valid_user +.... RM nur mit zusätzlicher Software –lazy session

7 Dr. Jochen Lienhard, AAR Projekt, UB Freiburg7 Aufgaben des Service Providers Schutz der Ressourcen Kontaktaufnahme zum Identity Provider (via WAYF) Überprüfung der Zertifikate Überprüfung der Attribute Freigabe der Ressource

8 Dr. Jochen Lienhard, AAR Projekt, UB Freiburg8 Die Shibboleth Komponenten mod_shib (A ssertion C onsumer S ervice ) Apache Modul, das in die httpd.conf eingebunden werden muss. shibd Shibboleth Dämon AAP Attribute Acceptance Policies

9 Dr. Jochen Lienhard, AAR Projekt, UB Freiburg9 Funktionsweise 1.Zugriff auf Ressource →Redirect zum WAYF oder IdP durch ACS 2.Authentifizierungsbestätigung des IdPs →Weiterleitung der SAML vom Apache-Modul (ACS) zum Shibboleth-Dämon (shibd) →Anfrage vom Dämon an den AA bzgl Attribute 3.Attribute des AAs →Verifizierung der Attribute (AAP.xml) →Freigabe oder Sperrung der Ressource durch RM

10 Dr. Jochen Lienhard, AAR Projekt, UB Freiburg10 Systemvoraussetzungen Betriebssystem –Linux, Solaris, Windows, MAC Webserver –Apache oder IIS Sicherheit –OpenSSL OpenSource Quellcode: C++

11 Dr. Jochen Lienhard, AAR Projekt, UB Freiburg11 Zusätzliche Komponenten Die zusätzlichen Komponenten sind bei Internet2 oder Apache verfügbar: –log4cpp –xerces-c –xml-security-c –opensaml

12 Dr. Jochen Lienhard, AAR Projekt, UB Freiburg12 Konfigurationsdateien apache.config bzw. apache2.config Konfigurationsdatei für das mod_shib shibboleth.xml Zentrale XML-Konfigurationsdatei AAP.xml XML Datei zur Konfiguration der Attribute Acceptance Policies

13 Dr. Jochen Lienhard, AAR Projekt, UB Freiburg13 Was muss man konfigurieren? Basiskonfiguration (apache.config + shibboleth.xml) Attributes (AAP.xml) Schutz der Ressoucre (apache.config + shibboleth.xml + RM) Zertifikate (shibboleth.xml) Föderation und Metadaten (shibboleth.xml) Logger und Fehlerseiten (shibboleth.xml)

14 Dr. Jochen Lienhard, AAR Projekt, UB Freiburg14 Basiskonfiguration shibboleth.xml editieren –Service Provider ID eintragen –WAYF oder IdP angeben –Metadaten und Audience anpassen –Zertifikate einbinden (Client Zertifikat) apache-Konfiguration einbinden. Anschließend ein Test gegenüber eines existierenden IdP.

15 Dr. Jochen Lienhard, AAR Projekt, UB Freiburg15 Attribute (AAP.xml) „Default-Attribute“: Identity Provider Empfangene Attribute müssen abgebildet und gefiltert werden <AttributeRule Name=“urn:mace:dir:attribute-def:eduPersonAffiliation“ Header=“Shib-EP-Affiliation“ Alias=“affiliation“ >

16 Dr. Jochen Lienhard, AAR Projekt, UB Freiburg16 Schutz der Ressourcen (am Beispiel von Apache) Konfiguration des Apache AuthType shibboleth ShibRequireSession On Require EduPersonEntitlement urn:mace:aar:entitlement:ezb:unirb:admin Ressource Manager Rechteserver

17 Dr. Jochen Lienhard, AAR Projekt, UB Freiburg17 Zertifikate Schlüssel und Zertifikat notwendig Client-Zertifikat für Requester-Match bei der ARP des IdP. Root-CA muss in der metadata.xml enthalten sein.

18 Dr. Jochen Lienhard, AAR Projekt, UB Freiburg18 Föderation und Metadaten Föderation –als Basis des Vertrauens –als Lieferant der Metadaten –als Rahmen Metadaten –notwendig zur Überprüfung der IdPs –Informationen über IdP –Informationen über Zertifikate

19 Dr. Jochen Lienhard, AAR Projekt, UB Freiburg19 Session Initiator default Initiator sollte der WAYF sein ermöglicht es URLs zu generieren, die einen Initiator enthalten, so dass der Nutzer direkt zum richtigen IdP geleitet wird ohne über den WAYF zu gehen.

20 Dr. Jochen Lienhard, AAR Projekt, UB Freiburg20 Logger und Fehlerseiten verschiedene Log-Level einstellbar –DEBUG, INFO, WARN, ERROR, OFF Fehlerseiten können selbst gestaltet werden: session="/usr/local/etc/shibboleth/sessionError.html“ metadata="/usr/local/etc/shibboleth/metadataError.html" rm="/usr/local/etc/shibboleth/rmError.html" access="/usr/local/etc/shibboleth/accessError.html"

21 Dr. Jochen Lienhard, AAR Projekt, UB Freiburg21 Timeouts diverse Timeouts einstellbar –für die Kommunikation –für die Session beachten, welche Timeouts die IdPs haben Gleichgewicht finden! Änderung diese Konzepts für Shibboleth 2.x vorgesehen.

22 Dr. Jochen Lienhard, AAR Projekt, UB Freiburg22 Einbindung in mehrere Föderationen notwendig für internationale Anbieter, falls nur länderspezifischen Föderationen existieren. –alternativ: eigene Föderation Realisierbar durch mehrere Applications Verschiedene URLs definieren und schützen Zugriff auf verschiedene WAYFs –ein metadata.xml

23 Dr. Jochen Lienhard, AAR Projekt, UB Freiburg23 WAYF beim SP Problem, welcher WAYF verwendet werden soll, wenn der SP mehreren Föderationen angehört. Vorteile: –gezielte Weiterleitung zum entsprechenden IdP möglich (Session Initiator) –nur eigene Kunden sind im WAYF Nachteil: –zusätzliche Komponente, die gepflegt werden muss.

24 Dr. Jochen Lienhard, AAR Projekt, UB Freiburg24 „Migrationscheckliste“ Wie werden die Ressourcen bisher geschützt (Apache, Tomcat, eigenes Verfahren,...)? Existiert ein Sitzungsmanagement? Kann dieses weiter verwendet werden, z.B. indem eine Sitzung über Shibboleth aufgebaut wird? Existiert eine Rechteverwaltung? Können die dafür notwendigen Informationen per Shibboleth über Attribute bereitgestellt werden? Können die Identity-Provider die Attribute liefern?

25 Dr. Jochen Lienhard, AAR Projekt, UB Freiburg25 Beispiele von SP Nagios (Überwachungssystem) Stokat Bibl.Verwaltungssystem ReDI Regionale Datenbank-Information Baden-Württemberg → Details am Nachmittag

26 Fragen, Probleme, Anregungen?

Herunterladen ppt "Die Technik des Service Provider 2. Shibboleth-Workshop Freiburg, 23. März Dr. Jochen Lienhard AAR Projekt UB Freiburg Authentifizierung, Autorisierung."

Ähnliche Präsentationen

Ausblick auf Shibboleth 2.0

Ausblick auf Shibboleth 2.0
Software Architektur Service­orientierte Architektur und Sicherheit

Software Architektur Service­orientierte Architektur und Sicherheit
Travel and Consumer Services Proseminar Allgegenwärtiges Rechnen – Ubiquitous Computing Tim Behlhardt Matr. Nr.: 132016.

Travel and Consumer Services Proseminar Allgegenwärtiges Rechnen – Ubiquitous Computing Tim Behlhardt Matr. Nr.:
Semesterarbeit von Dieter Lorenz, Sebastian Galenski, Stephan Bury

Semesterarbeit von Dieter Lorenz, Sebastian Galenski, Stephan Bury
Apache - PHP - MySQL Apache-PHP-MySQL.

Apache - PHP - MySQL Apache-PHP-MySQL.
ReDI als Pilotanwendung für Shibboleth

ReDI als Pilotanwendung für Shibboleth
und Einführung in die Thematik

und Einführung in die Thematik
Anwendungen schützen mit Shibboleth

Anwendungen schützen mit Shibboleth
Aufbau des Internets Überblick Prof. Dr. T. Hildebrandt

Aufbau des Internets Überblick Prof. Dr. T. Hildebrandt
Basis-Architekturen für Web-Anwendungen

Basis-Architekturen für Web-Anwendungen
Die Elektronische Zeitschriftenbibliothek

Die Elektronische Zeitschriftenbibliothek
Web 2.0 und RIAs - Adobe Air1 Seminar: Web 2.0 und Rich Internet Applications Wintersemester 2007/2008 Daniel Thaidigsmann

Web 2.0 und RIAs - Adobe Air1 Seminar: Web 2.0 und Rich Internet Applications Wintersemester 2007/2008 Daniel Thaidigsmann
Das Projekt AAR Authentifizierung, Autorisierung und Rechteverwaltung Vorstellung des Projektes und Informationsaustausch Mannheim, 13. Juni 2006 Franck.

Das Projekt AAR Authentifizierung, Autorisierung und Rechteverwaltung Vorstellung des Projektes und Informationsaustausch Mannheim, 13. Juni 2006 Franck.
Verteilte Authentifizierung mit Open Source Software – Integrationsplattform für Wissenschaft und Wirtschaft Kommunales Daten- und Identitätsmanagement.

Verteilte Authentifizierung mit Open Source Software – Integrationsplattform für Wissenschaft und Wirtschaft Kommunales Daten- und Identitätsmanagement.
Das Projekt AAR ReDI als Pilotanwendung für die Shibboleth-Authentifizierung vascoda AG Betrieb und Weiterentwicklung Köln, 24. August 2005 Bernd Oberknapp,

Das Projekt AAR ReDI als Pilotanwendung für die Shibboleth-Authentifizierung vascoda AG Betrieb und Weiterentwicklung Köln, 24. August 2005 Bernd Oberknapp,
Das Projekt AAR Authentifizierung, Autorisierung und Rechteverwaltung

Das Projekt AAR Authentifizierung, Autorisierung und Rechteverwaltung
1 Allgemeine Fragestellung Suche nach wissenschaftlicher Information im Internet Quelle wird gefunden, aber… …Zugang nur gegen Passwort oder Zahlung Wiss.

1 Allgemeine Fragestellung Suche nach wissenschaftlicher Information im Internet Quelle wird gefunden, aber… …Zugang nur gegen Passwort oder Zahlung Wiss.
Bernd Oberknapp, UB Freiburg

Bernd Oberknapp, UB Freiburg
Authentifizierung, Autorisierung und Rechteverwaltung Einsatz und Funktion des Rechteservers 2. Shibboleth-Workshop Freiburg, 23. März 2006 Gerald Schupfner,

Authentifizierung, Autorisierung und Rechteverwaltung Einsatz und Funktion des Rechteservers 2. Shibboleth-Workshop Freiburg, 23. März 2006 Gerald Schupfner,
Föderationen: Richtlinien, Zertifikate und Attribute

Föderationen: Richtlinien, Zertifikate und Attribute

Ähnliche Präsentationen

Google-Anzeigen