Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Die Technik des Service Provider 2. Shibboleth-Workshop Freiburg, 23. März Dr. Jochen Lienhard AAR Projekt UB Freiburg Authentifizierung, Autorisierung.

Ähnliche Präsentationen


Präsentation zum Thema: "Die Technik des Service Provider 2. Shibboleth-Workshop Freiburg, 23. März Dr. Jochen Lienhard AAR Projekt UB Freiburg Authentifizierung, Autorisierung."—  Präsentation transkript:

1 Die Technik des Service Provider 2. Shibboleth-Workshop Freiburg, 23. März Dr. Jochen Lienhard AAR Projekt UB Freiburg Authentifizierung, Autorisierung und Rechteverwaltung

2 Dr. Jochen Lienhard, AAR Projekt, UB Freiburg2 Was ist ein Service Provider? Allgemein Ein Service Provider (SP) ist ein Anbieter von webbasierten Diensten oder Inhalten, die einen eingeschränkten Zugriff benötigen. bei Shibboleth „A Service Provider (SP) is a deployment of SAML software that validates assertions issued by Identity Providers (IdP) and uses them to create a security context and assists in the enforcement of access control based on the information.”

3 Dr. Jochen Lienhard, AAR Projekt, UB Freiburg3 Beispiele für Ressourcen HTML-Seiten, PHP- oder CGI-Scripte e-Learning-Module in LMS Datenbanken Elektronische Zeitschriften Zertifizierungsstelle...

4 Dr. Jochen Lienhard, AAR Projekt, UB Freiburg4 Ohne Shibboleth Web- Server Apache oder IIS httpd.conf Require.... Daten im Filesystem Ressource Manager

5 Dr. Jochen Lienhard, AAR Projekt, UB Freiburg5 Mit Shibboleth Web-Server Apache oder IIS httpd.conf AuthType shibboleth ShibRequireSession On Daten im Filesystem Ressource Manager mod_shib (ACS) shibd (+ AAP)

6 Dr. Jochen Lienhard, AAR Projekt, UB Freiburg6 Der Ressource Manager RM des Apache –require affiliation RM als Mischung aus Apache und zusätzlicher Software –require valid_user RM nur mit zusätzlicher Software –lazy session

7 Dr. Jochen Lienhard, AAR Projekt, UB Freiburg7 Aufgaben des Service Providers Schutz der Ressourcen Kontaktaufnahme zum Identity Provider (via WAYF) Überprüfung der Zertifikate Überprüfung der Attribute Freigabe der Ressource

8 Dr. Jochen Lienhard, AAR Projekt, UB Freiburg8 Die Shibboleth Komponenten mod_shib (A ssertion C onsumer S ervice ) Apache Modul, das in die httpd.conf eingebunden werden muss. shibd Shibboleth Dämon AAP Attribute Acceptance Policies

9 Dr. Jochen Lienhard, AAR Projekt, UB Freiburg9 Funktionsweise 1.Zugriff auf Ressource →Redirect zum WAYF oder IdP durch ACS 2.Authentifizierungsbestätigung des IdPs →Weiterleitung der SAML vom Apache-Modul (ACS) zum Shibboleth-Dämon (shibd) →Anfrage vom Dämon an den AA bzgl Attribute 3.Attribute des AAs →Verifizierung der Attribute (AAP.xml) →Freigabe oder Sperrung der Ressource durch RM

10 Dr. Jochen Lienhard, AAR Projekt, UB Freiburg10 Systemvoraussetzungen Betriebssystem –Linux, Solaris, Windows, MAC Webserver –Apache oder IIS Sicherheit –OpenSSL OpenSource Quellcode: C++

11 Dr. Jochen Lienhard, AAR Projekt, UB Freiburg11 Zusätzliche Komponenten Die zusätzlichen Komponenten sind bei Internet2 oder Apache verfügbar: –log4cpp –xerces-c –xml-security-c –opensaml

12 Dr. Jochen Lienhard, AAR Projekt, UB Freiburg12 Konfigurationsdateien apache.config bzw. apache2.config Konfigurationsdatei für das mod_shib shibboleth.xml Zentrale XML-Konfigurationsdatei AAP.xml XML Datei zur Konfiguration der Attribute Acceptance Policies

13 Dr. Jochen Lienhard, AAR Projekt, UB Freiburg13 Was muss man konfigurieren? Basiskonfiguration (apache.config + shibboleth.xml) Attributes (AAP.xml) Schutz der Ressoucre (apache.config + shibboleth.xml + RM) Zertifikate (shibboleth.xml) Föderation und Metadaten (shibboleth.xml) Logger und Fehlerseiten (shibboleth.xml)

14 Dr. Jochen Lienhard, AAR Projekt, UB Freiburg14 Basiskonfiguration shibboleth.xml editieren –Service Provider ID eintragen –WAYF oder IdP angeben –Metadaten und Audience anpassen –Zertifikate einbinden (Client Zertifikat) apache-Konfiguration einbinden. Anschließend ein Test gegenüber eines existierenden IdP.

15 Dr. Jochen Lienhard, AAR Projekt, UB Freiburg15 Attribute (AAP.xml) „Default-Attribute“: Identity Provider Empfangene Attribute müssen abgebildet und gefiltert werden

16 Dr. Jochen Lienhard, AAR Projekt, UB Freiburg16 Schutz der Ressourcen (am Beispiel von Apache) Konfiguration des Apache AuthType shibboleth ShibRequireSession On Require EduPersonEntitlement urn:mace:aar:entitlement:ezb:unirb:admin Ressource Manager Rechteserver

17 Dr. Jochen Lienhard, AAR Projekt, UB Freiburg17 Zertifikate Schlüssel und Zertifikat notwendig Client-Zertifikat für Requester-Match bei der ARP des IdP. Root-CA muss in der metadata.xml enthalten sein.

18 Dr. Jochen Lienhard, AAR Projekt, UB Freiburg18 Föderation und Metadaten Föderation –als Basis des Vertrauens –als Lieferant der Metadaten –als Rahmen Metadaten –notwendig zur Überprüfung der IdPs –Informationen über IdP –Informationen über Zertifikate

19 Dr. Jochen Lienhard, AAR Projekt, UB Freiburg19 Session Initiator default Initiator sollte der WAYF sein ermöglicht es URLs zu generieren, die einen Initiator enthalten, so dass der Nutzer direkt zum richtigen IdP geleitet wird ohne über den WAYF zu gehen.

20 Dr. Jochen Lienhard, AAR Projekt, UB Freiburg20 Logger und Fehlerseiten verschiedene Log-Level einstellbar –DEBUG, INFO, WARN, ERROR, OFF Fehlerseiten können selbst gestaltet werden: session="/usr/local/etc/shibboleth/sessionError.html“ metadata="/usr/local/etc/shibboleth/metadataError.html" rm="/usr/local/etc/shibboleth/rmError.html" access="/usr/local/etc/shibboleth/accessError.html"

21 Dr. Jochen Lienhard, AAR Projekt, UB Freiburg21 Timeouts diverse Timeouts einstellbar –für die Kommunikation –für die Session beachten, welche Timeouts die IdPs haben Gleichgewicht finden! Änderung diese Konzepts für Shibboleth 2.x vorgesehen.

22 Dr. Jochen Lienhard, AAR Projekt, UB Freiburg22 Einbindung in mehrere Föderationen notwendig für internationale Anbieter, falls nur länderspezifischen Föderationen existieren. –alternativ: eigene Föderation Realisierbar durch mehrere Applications Verschiedene URLs definieren und schützen Zugriff auf verschiedene WAYFs –ein metadata.xml

23 Dr. Jochen Lienhard, AAR Projekt, UB Freiburg23 WAYF beim SP Problem, welcher WAYF verwendet werden soll, wenn der SP mehreren Föderationen angehört. Vorteile: –gezielte Weiterleitung zum entsprechenden IdP möglich (Session Initiator) –nur eigene Kunden sind im WAYF Nachteil: –zusätzliche Komponente, die gepflegt werden muss.

24 Dr. Jochen Lienhard, AAR Projekt, UB Freiburg24 „Migrationscheckliste“ Wie werden die Ressourcen bisher geschützt (Apache, Tomcat, eigenes Verfahren,...)? Existiert ein Sitzungsmanagement? Kann dieses weiter verwendet werden, z.B. indem eine Sitzung über Shibboleth aufgebaut wird? Existiert eine Rechteverwaltung? Können die dafür notwendigen Informationen per Shibboleth über Attribute bereitgestellt werden? Können die Identity-Provider die Attribute liefern?

25 Dr. Jochen Lienhard, AAR Projekt, UB Freiburg25 Beispiele von SP Nagios (Überwachungssystem) Stokat Bibl.Verwaltungssystem ReDI Regionale Datenbank-Information Baden-Württemberg → Details am Nachmittag

26 Fragen, Probleme, Anregungen?


Herunterladen ppt "Die Technik des Service Provider 2. Shibboleth-Workshop Freiburg, 23. März Dr. Jochen Lienhard AAR Projekt UB Freiburg Authentifizierung, Autorisierung."

Ähnliche Präsentationen


Google-Anzeigen