Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Einsatz von Single-Sign-On Technologien im Rahmen der Integration von E- Learning Anwendungen Christian Nockemann.

Ähnliche Präsentationen


Präsentation zum Thema: "Einsatz von Single-Sign-On Technologien im Rahmen der Integration von E- Learning Anwendungen Christian Nockemann."—  Präsentation transkript:

1 Einsatz von Single-Sign-On Technologien im Rahmen der Integration von E- Learning Anwendungen Christian Nockemann

2 Freitag, 16. März 20082 Agenda 1. Einleitung 2. Single Sign-On 3. SSO im E-Learning Kontext 4. Live Demo 5. Fazit

3 Freitag, 16. März 20083 Einleitung Unüberschaubare Anzahl von Web-Ressourcen Jeweils eigene Anmeldeverfahren Probleme aus Sicht der Benutzer: –Geringe Benutzerfreundlichkeit –Sicherheitsprobleme Probleme aus Sicht der Admins/Entwickler: –Kosten-/Zeitaufwändige Verwaltung von Benutzerdaten –Inkonsistente Datenhaltung –Aufwändige Entwicklung und Änderung von sicheren Anmeldeverfahren

4 Freitag, 16. März 20084 Single Sign-On Einmalige Anmeldung bei Authentifizierungs- Autorität (AA) Authentifizierung bei mehreren Service- Anbietern (SA) Zwei Varianten[Koc07]: –Client-basiert –Server-basiert Weiterleitung der Benutzerdaten [Ope01]: –direkt –token-basiert –unmittelbar –temporär

5 Freitag, 16. März 20085 Token-basierte Weiterleitung [Dec02]

6 Freitag, 16. März 20086 Autorisierung und Single Sign-Out Autorisierung: –Geschieht meist nach der Authentifizierung –Zuweisung […] von Zugriffsrechten auf Daten und Dienste an Systemnutzer [Jan04] Single Sign-Out –Gleichzeitige Abmeldung bei allen Service-Anbietern –Wichtig bei der Benutzung öffentlicher Rechner

7 Freitag, 16. März 20087 Kerberos Authentifizierungsprotokoll Starke Kryptographie [Ker07] Authentifizierung mit so genannten Tickets Drei Parteien [Wie08]: –Principal (z.B. c_nock01/student@uni-muenster) –Key Distribution Center (KDC) Principal Database Authentication Server (AS) Ticket Granting Server (TGS) –Service-Anbieter

8 Freitag, 16. März 20088 Anmeldung mit Kerberos

9 Freitag, 16. März 20089 Vor- und Nachteile von Kerberos Vorteile: –Sichere Kryptographie –Performant [Wie08] –Im RFC 1510 festgehalten Nachteile: –Nicht ohne weiteres mit NAT-Firewalls einsetzbar [Wie08] –Anpassung bereits vorhandener Web-Applikationen ist sehr aufwändig –Kein Single Sign-Out Mechanismus

10 Freitag, 16. März 200810 OpenID Sehr populär [Arr08] Beschränkt sich auf grundlegende SSO- Funktionen Vier Parteien: –Client –OpenID Server –Identity Server –Consumer

11 Freitag, 16. März 200811 Anmeldung mit OpenID

12 Freitag, 16. März 200812 Vor- und Nachteile von OpenID Vorteile: –Weit verbreitet –Auch bei bereits vorhandenen Webseiten leicht einzusetzen –Sehr intuitiv, da Benutzer sich direkt beim Consumer anmeldet –Single Sign-Out Problematik existiert nicht Nachteile: –Phishing Attacken möglich [Lau07] –Identity Server speichert besuchte Seiten [Ben07] –Keine Autorisierungsfunktion –Nur grundlegende SSO-Funktionalität

13 Freitag, 16. März 200813 Shibboleth Basiert auf der Security Assertion Markup Language (SAML) [OAS07] Vier Parteien: –Client –Identity Provider (IdP) SSO-Service Authentication Authority –Service Provider (SP) Assertion Consumer Service –Where Are You From? (WAYF) Unterstützt Weiterleitung von Attributen

14 Freitag, 16. März 200814 Anmeldung mit Shibboleth

15 Freitag, 16. März 200815 Vor- und Nachteile von Shibboleth Vorteile: –Verbreitete Standards: SAML, XML, SOAP, SSL, uvm. –Nutzung bereits vorhandener Infrastrukturen [Ebe06] –Intuitiv, da Benutzer zunächst auf den Service- Anbieter zugreift Nachteile: –Aufwändige Anpassung bereits vorhandener Web- Ressourcen –Kein Single Sign-Out

16 Freitag, 16. März 200816 Evaluation der SSO-Anbieter OpenID: –Leicht anwendbar, weit verbreitet –Sicherheitslücken, geringer Funktionsumfang Kerberos: –Hoher Grad an Sicherheit, Performant –Aufwändige Anpassung, kein Single Sign-Out Shibboleth: –Flexibel, Offene Schnittstellen –Aufwändige Anpassung, kein Single Sign-Out Kerberos und Shibboleth sind für das E- Learning Umfeld am besten geeignet

17 Freitag, 16. März 200817 Vorteilhaftigkeit von SSO im E-Learning Kontext Vorteile: –Einheitlicher Authentifizierungsvorgang –Benutzerfreundlichkeit –Sicherheit –Reduzierter Aufwand für Benutzerverwaltung Nachteile: –Ermöglicht unerlaubten Zugriff auf viele SAs, wenn Anmeldedaten ausgespäht werden –Single-Point-Of-Failure –Nur wenige Anbieter unterstützen Single Sign-Out

18 Freitag, 16. März 200818 SSO an der WWU Seit 2006 wird Shibboleth eingesetzt (initiiert vom ZIV) ZIV stellt IdP zur Verfügung Anwendungen die den Service bereits nutzen: –Learnr (learnr.uni-muenster.de) –xLx (xlx.uni-muenster.de) Anmeldung mit ZIV-Kennung und Passwort

19 Freitag, 16. März 200819 Kopplung mit dem Identitätsmanagement des ZIV IdP des ZIV empfängt und bearbeitet Authentifizierungsanfragen Voraussetzungen für die Nutzung des SSO- Services: –Installation eines SP –Zertifikat des ZIV Übermittelte Attribute: –Nachname –Universitäts-Email-Adresse –ZIV-Kennung Verwendung der Benutzerdatenbank des ZIV

20 Freitag, 16. März 200820 Anmeldung bei xLx

21 Freitag, 16. März 200821 Anmeldung beim IdP des ZIV

22 Freitag, 16. März 200822 Weiterleitung zurück zum SP

23 Freitag, 16. März 200823 Zugriff auf den geschützten Bereich

24 Freitag, 16. März 200824 Anmeldung bei Learnr

25 Freitag, 16. März 200825 Direkte Weiterleitung zum geschützten Bereich

26 Freitag, 16. März 200826 Zugriff auf den geschützten Bereich

27 Freitag, 16. März 200827 Fazit SSO gewinnt an Bedeutung[Arr08] Nutzenzuwachs für Benutzer und Entwickler/Admins Universitätsübergreifendes SSO-Netz denkbar –Im Rahmen des SaxIS-Projekts in Sachsen bereits eingeführt[Sax06] Probleme: –Single Sign-Out –Anpassungsaufwand

28 Freitag, 16. März 200828 Literaturverzeichnis [Arr08]Micheal Arrington: OpenID Welcomes Microsoft, Google, Verisign and IBM, http://www.techcrunch.com/2008/02/07/openid-welcomes- microsoft-google-verisign-and-ibm/. Zuletzt abgerufen am 09.04.08. [Ben07]Ralf Bendrath: OpenID - next big thing with lots of problems, http://bendrath.blogspot.com/2007/04/openid- next-big-thing-with-lots-of.html. Zuletzt abgerufen am 20.04.08. [Dec02] J. De Clercq: Single Sign-On Architectures, in Lecture notes in computerscience vol. 2437, S. 40 – 58, Springer-Verlag, 2002. [Ebe06]Lars Eberle, SaxIS-Shibboleth-Workshop, http://www.tu- freiberg.de/~saxis/content/dokumente/Eberle_TU_Freiberg.pd f?PHPSESSID=c07726a2852cb0ed7a5122f2562edc8e. Zuletzt abgerufen am 08.04.08.

29 Freitag, 16. März 200829 Literaturverzeichnis [Koc07] Christian Koch: Single Sign-On – Komfort für den Benutzer oder ein Sicherheitsrisiko?, http://www.securitymanager.de/magazin/artikel_996_sin gle_sign_on_komfort_fuer_den_benutzer_oder.html. Zuletzt abgerufen am 01.04.08. [Ope01] Introduction to Single Sign-On, http://www.opengroup.org/security/sso_intro.htm. Zuletzt abgerufen am 04.04.08. [Jan04]Wilhelm Janssen: Autorisierung, http://www.at-mix.de/autorisierung.htm. Zuletzt abgerufen am 19.04.08. [Ker07]What is Kerberos?, http://web.mit.edu/kerberos/www/#what_is. Zuletzt abgerufen am 08.04.08.

30 Freitag, 16. März 200830 Literaturverzeichnis [Lau07]Ben Laurie: OpenID: Phishing Heaven, http://www.links.org/?p=187. Zuletzt abgerufen am 20.04.08. [OAS07]OASIS Security Services (SAML) TC, http://www.oasis- open.org/committees/tc_home.php?wg_abbrev=s ecurity. Zuletzt abgerufen am 04.04.08. [Wie08]Mike Wiesner, Kerberos V5 mit Debian, http://meetings-archive.debian.net/pub/debian- meetings/2005/linuxtag- karlsruhe/debianday/mike_wiesner- kerberos_v5_mit_debian.pdf. Zuletzt abgerufen am 08.04.08.

31 Freitag, 16. März 200831 Fragen?

32 Freitag, 16. März 200832 Implementierung Installation und Konfiguration eines SP: –Shibboleth Dienst bzw. Daemon installieren (shibd) –Apache/Tomcat Konfiguration: shibboleth.xml httpd.conf: AuthType shibboleth ShibRequireSession On ShibRedirectToSSL 443 require valid-user AAP.xml:

33 Freitag, 16. März 200833 Implementierung Auslesen des HTTP-Headers –Code-Beispiel in Java: String E-Mail = request.getHeader(Shib-mail); Leicht wartbar, da nur bei einer Pfadänderung die httpd.conf angepasst werden muss.


Herunterladen ppt "Einsatz von Single-Sign-On Technologien im Rahmen der Integration von E- Learning Anwendungen Christian Nockemann."

Ähnliche Präsentationen


Google-Anzeigen