Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Einführung in den Identity Provider Eine technische Übersicht Shibboleth Workshop Freiburg, 12.10.2005 Franck Borel, AAR-Projekt, UB Freiburg.

Ähnliche Präsentationen


Präsentation zum Thema: "Einführung in den Identity Provider Eine technische Übersicht Shibboleth Workshop Freiburg, 12.10.2005 Franck Borel, AAR-Projekt, UB Freiburg."—  Präsentation transkript:

1 Einführung in den Identity Provider Eine technische Übersicht Shibboleth Workshop Freiburg, Franck Borel, AAR-Projekt, UB Freiburg

2 Franck Borel, AAR-Projekt, UB-Freiburg 2 Übersicht Die Aufgaben des Identity Providers Der Aufbau des Identity Providers Die Übertragungsmethoden von Nachrichten: Grundlagen und Konzept –Kleiner Exkurs in Shibboleth-SAML –Browser/Post und Browser/Artifact Metadaten

3 Franck Borel, AAR-Projekt, UB-Freiburg 3 Die Aufgaben des Identity Provider An identity provider maintains user credentials and attributes (T. Scavo & S.Cantor, 2005). –User credentials Authentifizierung –Attributes Autorisierung

4 Franck Borel, AAR-Projekt, UB-Freiburg 4 Der Aufbau des Identity Providers Komponenten des Identity Provider Authentication Authority Attribute Authority (AA) SSO Service (SSO) Artifact Resolution Service Identifiziert den Benutzer Wartet auf Benutzer- anmeldungen und leitet den Benutzer an die Authentication Authority weiter Beantwortet Anfragen zu Benutzerrechten Beantwortet Anfragen die mit Browser/ Artifact gesendet wurden

5 Franck Borel, AAR-Projekt, UB-Freiburg 5 Die Übertragungsmethoden von Nachrichten Die Übertragung von Nachrichten erfolgt mit Hilfe von: –SAML –Browser/Post –Browser/Artifact

6 Franck Borel, AAR-Projekt, UB-Freiburg 6 Die Übertragungsmethoden von Nachrichten Client Authentication Authority Attribute Authority (AA) SSO Dienst Artifact Resolution Service Assertion Consumer Service Target Resource Access Control Identity Provider Service Provider (4) 302 (3) Get (8) 302 (5) Get (10) 200 (9) Get (2) 302 (1) Get (6) POST (7) 200 (6) POST Übertragung von Nachrichten – Übersicht ohne WAYF Attribute Requester

7 Franck Borel, AAR-Projekt, UB-Freiburg 7 Die Übertragungsmethoden von Nachrichten Kleiner Exkurs in Shibboleth-SAML Eigenschaften: Können digital signiert werden Werden in fünf verschiedenen Varianten verwendet: a.Bestätigung einer erfolgreichen Authentifizierung b.Fehlerrückmeldung c.Attributantwort d.Autorisierungsnachricht anhand derer der Service Provider entscheiden kann, ob ein Benutzer auf eine Ressource zugreifen darf oder nicht e.Zusammengesetzter Typ aus a und c (Browser/Artifact)

8 Franck Borel, AAR-Projekt, UB-Freiburg 8 Die Übertragungsmethoden von Nachrichten Kleiner Exkurs in SAML Beispiel für eine Authentifizierungsbestätigung (SSO Bestätigung) 3f7b3dcf ecd-92c8-1544f346baf8 urn:oasis:names:tc:SAML:1.0:cm:bearer Zeitstempel Authentifizierungs- methode Handle Empfänger

9 Franck Borel, AAR-Projekt, UB-Freiburg 9 Die Übertragungsmethoden von Nachrichten Kleiner Exkurs in SAML Beispiel für eine SAML-Nachricht mit Benutzerrechten (Attribute) 3f7b3dcf ecd-92c8-1544f346baf8 userid Attribut Handle Empfänger

10 Franck Borel, AAR-Projekt, UB-Freiburg 10 Die Übertragungsmethoden von Nachrichten Es kommen zwei verschiedene Übertragungsmethoden zum Einsatz: a.Browser/Post: Bestehend aus einer Anfrage mit GET und einer Antwort mit Browser/Post. b.Browser/Artifact: Bestehend aus einer Anfrage mit GET und einer Antwort mit Browser/Artifact.

11 Franck Borel, AAR-Projekt, UB-Freiburg 11 Die Übertragungsmethoden von Nachrichten Authentifizierung mit Browser/Post Client SSO Service Authentication Authority (4)200(3)Get https://idp.example.org/shibboleth/SSO? target=https://sp.example.org/myresource& shire=https://sp.example.org/shibboleth/SSO& providerId=https://sp.example.org/shibboleth& time=

...

12 Franck Borel, AAR-Projekt, UB-Freiburg 12 Die Übertragungsmethoden von Nachrichten Authentifizierung mit Browser/Artifact Client Authentication Authority Attribute Authority SSO Service Artifact Resolution Service Assertion Consumer Service Target Resource Access Control (4) 302 (3) Get (8) 302 (5) Get (10) 200 (9) Get (2) 302 (1) Get (6) POST(7) 200

13 Franck Borel, AAR-Projekt, UB-Freiburg Benutzeranfrage an den SSO https://idp.example.org/shibboleth/SSO? target=https://sp.example.org/myresource& shire=https://sp.example.org/shibboleth/SSO/Artifact &providerId=https://sp.example.org/shibboleth Die Übertragungsmethoden von Nachrichten Authentifizierung mit Browser/Artifact 2. Anfrage des Service Providers an den Identity Provider AAEwGDwd3Z7Fr1GPbM82Fk2CZbpNB1dxD+t2Prp+TDtqxVA78iMf3F23 3. Antwort des Identity Provider an den Service Provider

14 Franck Borel, AAR-Projekt, UB-Freiburg 14 Die Übertragungsmethoden von Nachrichten Übertragung der Attribute: Die Übertragung erfolgt in zwei Schritten: –Anfrage vom Service Provider mit einer SAML-Nachricht (Browser/Post oder Browser/Artifact) –Antwort vom Identity Provider mit einer SAML-Nachricht (Browser/Post oder Browser/Artifact) Der Austausch von Attributen ist optional. Der Service Provider kann aufgrund der Authentifizierung Ressourcen für einen Benutzer freigeben. In der Praxis wird der Service Provider im Normalfall mehr Informationen zum Benutzer benötigen.

15 Franck Borel, AAR-Projekt, UB-Freiburg 15 Die Übertragungsmethoden von Nachrichten Identity Provider Client Authentication Authority Attribute Authority SSO Service Artifact Resolution Service Assertion Consumer Service Target Resource Access Control Service Provider (4) 302 (3) Get (8) 302 (5) Get (10) 200 (9) Get (2) 302 (1) Get (6) POST (7) 200 (6) POST Browser/Artifact Browser/Post Übertragung von Attributen Attribute Requester

16 Franck Borel, AAR-Projekt, UB-Freiburg 16 Die Übertragungsmethoden von Nachrichten Attributanfrage mit Browser/Post 1. Anfrage an die Attribute Authority (AA) 3f7b3dcf ecd-92c8-1544f346baf8 2. Antwort mit Attributen an den Service Provider

17 Franck Borel, AAR-Projekt, UB-Freiburg Anfrage an den SSO-Dienst https://idp.example.org/shibboleth/SSO? target=https://sp.example.org/myresource& SAMLart=AAEwGDwd3Z7FrGPbM82Fk2CZbpNB7YuJ8k%2BvmCjh9Y4Wsq6H5%2BKU4C SAMLart=AAEwGDwd3Z7Fr1GPbM82Fk2CZbpNB8tb%2By6Yoo40XGfl4QfLKq9xZ8UW Die Übertragungsmethoden von Nachrichten Attributanfrage mit Browser/Artifact 2. Anfrage an die Attribute Authority (AA) AAEwGDwd3Z7Fr1GPbM82Fk2CZbpNB7YuJ8gk+vmCjh9Y4Wsq6H5+KU4C AAEwGDwd3Z7Fr1GPbM82Fk2CZbpNB8tb+y6YOO40XGfl4QfLKq9xZ8UW 3. Antwort mit Attributen an den Service Provider

18 Franck Borel, AAR-Projekt, UB-Freiburg 18 Metadaten Wozu Metadaten? –Um die Kommunikation zwischen Identity Provider und Service Provider zu erleichtern –Sicherheit In den Metadaten sind Identity Provider und Service Provider aufgeführt, die zu einer Föderation gehören Nur in dem Metadaten aufgeführte Zertifikate werden akzeptiert

19 Franck Borel, AAR-Projekt, UB-Freiburg 19 Metadaten Aufbau der Metadaten: Akzeptierte und verwendete Zertifikate Auflistung der teilnehmenden Einheiten

20 Franck Borel, AAR-Projekt, UB-Freiburg 20 Metadaten Beispiel für Metadaten des Identity Providers https://idp.example.org/shib Shibboleth Identity Provider Shibboleth Identity Some Location Shibboleth IdP Support Zertifikate Teilnehmende Einheiten (vier Typen): SSO Dienst (IdP) Assertion Consumer Service (SP) Authentication Authority (IdP) Attribute Authority (IdP) Weitere Eigenschaften zur Einheit

21 Franck Borel, AAR-Projekt, UB-Freiburg 21 Metadaten Beispiel für Metadaten des Identity Provider: SSO Dienst IdP SSO Key urn:oasis:names:tc:SAML:1.1:nameid-format: Address urn:mace:shibboleth:1.0:nameIdentifier Standort Verwendete Übertragungsmethode Typ der Einheit

22 Franck Borel, AAR-Projekt, UB-Freiburg 22 Metadaten Beispiel für Metadaten des Identity Provider: Attribute Authority urn:mace:shibboleth:1.0:nameIdentifier Typ der teilnehmenden Einheit Standort

23 Franck Borel, AAR-Projekt, UB-Freiburg 23 Danke für Ihre Aufmerksamkeit! Seien Sie gespannt auf… Identity Provider II, die Rückkehr Heute Nachmittag in diesem Raum


Herunterladen ppt "Einführung in den Identity Provider Eine technische Übersicht Shibboleth Workshop Freiburg, 12.10.2005 Franck Borel, AAR-Projekt, UB Freiburg."

Ähnliche Präsentationen


Google-Anzeigen