Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Technische Übersicht zu Shibboleth 2. Shibboleth-Workshop, Freiburg, 23.03.2006 Franck Borel, UB Freiburg

Ähnliche Präsentationen


Präsentation zum Thema: "Technische Übersicht zu Shibboleth 2. Shibboleth-Workshop, Freiburg, 23.03.2006 Franck Borel, UB Freiburg"—  Präsentation transkript:

1 Technische Übersicht zu Shibboleth 2. Shibboleth-Workshop, Freiburg, Franck Borel, UB Freiburg

2 Franck Borel, UB Freiburg 2 Übersicht Wissen – Verstehen – Anwenden –Eigenschaften von Shibboleth –Wie funktioniert Shibboleth? –Shibboleth in der Praxis –Shibboleth in der Zukunft

3 Franck Borel, UB Freiburg 3 Eigenschaften von Shibboleth Gesicherter Zugang zu webbasierten Diensten Gewährleistet anonymen Zugang zu Informationen und Ressourcen, wobei der Zutritt beliebigen Gruppen/Personen zugewiesen werden kann (z.B. Universität, Fakultät, Prof. Ziegenbart) Single Sign-On Freie Wahl des Authentifizierungssystems (erwartet Umgebungsvariable REMOTE_USER) Autorisierung erfolgt über Attribute Nachrichten werden mit Hilfe von SOAP und SAML- Anfragen/Antworten ausgetauscht Open-Source (Apache 2.0 Lizenz) Setzt auf bewährte Software und Standards auf und unterstützt die wichtigsten Betriebssysteme

4 Franck Borel, UB Freiburg 4 Föderation Wie funktioniert Shibboleth? Heimat- einrichtung mit Identity-Provider Heimat- einrichtung mit Identity-Provider Anbieter mit Service-Provider Anbieter mit Service-Provider WAYF Authentifizierung Autorisierung Authentifizierung Autorisierung Ressourcen- verwaltung, Zugangs- berechtigung Ordnet einen Benutzer seiner Heimateinrichtung zu Vertragspartner, Operator, rechtliche Belange

5 Franck Borel, UB Freiburg 5 Wie funktioniert Shibboleth? Wodurch wird die Kommunikation zwischen Service-Provider und Identity-Provider ermöglicht? –HTTP / HTTPS (Port 80, 443, 8443) –Browser/Post (sichtbar für den Benutzer) –Browser/Artifact (nicht sichtbar für den Benutzer) –Umgebungsvariablen –SAML-Nachrichten –Metadaten

6 Franck Borel, UB Freiburg 6 Wie funktioniert Shibboleth? SAML-Nachricht: Dient der Übertragung von Anfragen und Antworten HTTP/HTTPS SOAP Nachricht SOAP Kopf SOAP Inhalt SAML Anfrage/Antwort

7 Franck Borel, UB Freiburg 7 Wie funktioniert Shibboleth? SAML-Nachrichten –Eigenschaften: Können digital signiert werden Werden in fünf verschiedenen Varianten verwendet: a.Bestätigung einer erfolgreichen Authentifizierung b.Attribute c.Fehlerrückmeldung d.Autorisierungsnachricht anhand derer der Service Provider entscheiden kann, ob ein Benutzer auf eine Ressource zugreifen darf oder nicht e.Zusammengesetzter Typ aus a und b (Browser/Artifact)

8 Franck Borel, UB Freiburg 8 Wie funktioniert Shibboleth? Metadaten –Ermöglichen die Kommunikation zwischen Identity- Provider und Service-Provider –In den Metadaten sind Identity-Provider und Service- Provider aufgeführt, die an den Austausch von Nachrichten beteiligt sind –Nur in dem Metadaten aufgeführte Zertifikate werden akzeptiert

9 Franck Borel, UB Freiburg 9 Wie funktioniert Shibboleth? Metadaten: Aufbau Rahmen Stamm- Zertifkate Identity Provider und Service Provider

10 Franck Borel, UB Freiburg 10 Wie funktioniert Shibboleth? Benutzerin Service-Provider (4) (5) Benutzerin berechtigt? (6) (7) (8) verweigert nein (3) (9) gestattet Zugriff ja Identity-Provider WAYF Benutzerin bekannt? ja nein (2) (1)

11 Franck Borel, UB Freiburg 11 Wie funktioniert Shibboleth? Authentifizierung Attribute Authority (AA) SSO Dienst Artifact Resolution Service Assertion Consumer Service Target Resource Access Control Identity Provider (4) 302 (3) GET (8) 302 (5) GET (10) 200 (9) GET (2) 302 (1) GET (6) POST (7) 200 Szenario: Erstkontakt ohne WAYF mit Browser/Artifact Service Provider Benutzer

12 Franck Borel, UB Freiburg 12 Wie funktioniert Shibboleth? Sicherheitsmechanismen –SSL/TSL: Man-in-the-Middle, Message Modification, Eavesdropping –XMLsig: Message Modification –Gültigkeitsdauer von Sitzungen, Bestätigungen, Attributen (engl. Lifetime, TTL): Replay, DOS –Metadaten: DOS, Message Modification –Es werden keine personenbezogenen Daten übermittelt sondern Stellvertreter (engl. Handler): Eavesdropping

13 Franck Borel, UB Freiburg 13 Shibboleth in der Praxis Unterstützte Betriebssysteme: –Linux –Solaris –Windows –Mac OS-X

14 Franck Borel, UB Freiburg 14 Shibboleth in der Praxis Notwendige Software (Bsp. Linux): –Identity Provider: Tomcat Apache mit mod_ssl (für HTTPS) und mod_jk (Verbindung zum Tomcat) JDK (für Tomcat und Identity-Provider) Ant (Software entpacken) OpenSAML (transportieren, erstellen und parsen der SAML-Nachrichten) OpenSSL (für Server-Zertifikate) NTP (Zeitstempel: Wie lange ist die SAML-Nachricht gültig)

15 Franck Borel, UB Freiburg 15 Shibboleth in der Praxis Notwendige Software (Bsp. Linux): –Service Provider: Apache + mod_ssl (für HTTPS) OpenSSL (für Server-Zertifikate) NTP (Zeitstempel: Wie lange ist die SAML-Nachricht gültig?) Libcurl OpenSAML (transportieren, erstellen und parsen der SAML- Nachrichten)

16 Franck Borel, UB Freiburg 16 Shibboleth in der Praxis Optionale Software (Auszug): –WAYF (Internet2): Lokalisierungsdienst –Rechteserver (Uni-Regensburg): Attributübersetzung für Service-Provider –Arpedit (Internet2): ARP-Editor für Identity Provider –Mod_auth_location (Internet2): Anonymer Zugang von ausgewählten Browsern und Service Providern –ShARPE (MAMS): Administrationswerkzeug zum Konfigurieren von ARP-Dateien –Autograph (MAMS): Benutzerwerkzeug zum Konfigurieren von ARP-Dateien –Resource-Registry (SWITCH): Zentraler Datenspeicher, in denen alle Informationen zu den Service Providern und Identity Providern zusammengetragen sind

17 Franck Borel, UB Freiburg 17 Shibboleth in der Praxis Erst-Installation: Wie geht man vor? –Dokumentationen zu Shibboleth –Installationsanleitung besorgen –Installation der Server und der Shibboleth-Software –Test-Konfiguration mit Hilfe der AAR Demo- UmgebungAAR Demo- Umgebung –Feinabstimmung der Konfiguration (z.B. Session Timeout, AAP, Logging) –Optionale Software einspielen und testen

18 Franck Borel, UB Freiburg 18 Shibboleth in der Praxis Potentielle Hürden: –Identity Provider: Standard Authentifizierung (Tomcat Valve) reicht nicht immer aus und muss daher angepasst werden, was wiederum tief greifende Kenntnisse über Tomcat verlangt Zertifikate Shibboleth-Dokumentation kein Single Log-Out (der Benutzer muss den Browser schliessen, um alle Sitzungen zu beenden; für die Version 2.1 ist ein Single Log-Out geplant) –Service Provider: Zertifikate Shibboleth-Dokumentation –WAYF: Keine Dokumentation vorhanden!

19 Franck Borel, UB Freiburg 19 Shibboleth in der Praxis Ein paar Beispiele zu Diensten, die shibboleth-fähig gemacht worden sind: –ReDI (UB Freiburg): Testphase –Wiki (Ohio University): Produktionsphase –Virtuelle Lernumgebung (Bodington.org): Produktionsphase –Quicktime Streaming Server (Darwin Streaming Server): Produktionsphase –Datenbank (EBSCO Publishing): Produktionsphase –Napster: Produktionsphase –E-Learning (OLAT Schweiz): Produktionsphase

20 Franck Borel, UB Freiburg 20 Shibboleth in der Zukunft Für Shibboleth 2.x sind unter anderen folgende Erweiterungen geplant: –Anpassen an den SAML 2.0 Standard (z.B. Single Log-Out, Authentifizierung wird stärker in den Identity-Provider eingebunden als bisher, Service-Provider bekommt weitere Konfigurationseinstellungen) –ShARPE und Autograph als fester Bestandteil –Service Provider auch als Java-Servlet (2.3+) –der zentrale WAYF-Dienst fällt weg –es wird einen Discovery Service geben, der beim Service- Provider installiert ist und auch mit mehreren Föderationszugehörigkeiten zurecht kommt –Bessere Dokumentation

21 Franck Borel, UB Freiburg 21 Ich danke Ihnen für Ihre Aufmerksamkeit! Fragen?


Herunterladen ppt "Technische Übersicht zu Shibboleth 2. Shibboleth-Workshop, Freiburg, 23.03.2006 Franck Borel, UB Freiburg"

Ähnliche Präsentationen


Google-Anzeigen