Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Einsatz von Single-Sign-On Technologien im Rahmen der Integration von E- Learning Anwendungen Christian Nockemann.

Ähnliche Präsentationen


Präsentation zum Thema: "Einsatz von Single-Sign-On Technologien im Rahmen der Integration von E- Learning Anwendungen Christian Nockemann."—  Präsentation transkript:

1 Einsatz von Single-Sign-On Technologien im Rahmen der Integration von E- Learning Anwendungen Christian Nockemann

2 Freitag, 16. März Agenda 1. Einleitung 2. Single Sign-On 3. SSO im E-Learning Kontext 4. Live Demo 5. Fazit

3 Freitag, 16. März Einleitung Unüberschaubare Anzahl von Web-Ressourcen Jeweils eigene Anmeldeverfahren Probleme aus Sicht der Benutzer: –Geringe Benutzerfreundlichkeit –Sicherheitsprobleme Probleme aus Sicht der Admins/Entwickler: –Kosten-/Zeitaufwändige Verwaltung von Benutzerdaten –Inkonsistente Datenhaltung –Aufwändige Entwicklung und Änderung von sicheren Anmeldeverfahren

4 Freitag, 16. März Single Sign-On Einmalige Anmeldung bei Authentifizierungs- Autorität (AA) Authentifizierung bei mehreren Service- Anbietern (SA) Zwei Varianten[Koc07]: –Client-basiert –Server-basiert Weiterleitung der Benutzerdaten [Ope01]: –direkt –token-basiert –unmittelbar –temporär

5 Freitag, 16. März Token-basierte Weiterleitung [Dec02]

6 Freitag, 16. März Autorisierung und Single Sign-Out Autorisierung: –Geschieht meist nach der Authentifizierung –Zuweisung […] von Zugriffsrechten auf Daten und Dienste an Systemnutzer [Jan04] Single Sign-Out –Gleichzeitige Abmeldung bei allen Service-Anbietern –Wichtig bei der Benutzung öffentlicher Rechner

7 Freitag, 16. März Kerberos Authentifizierungsprotokoll Starke Kryptographie [Ker07] Authentifizierung mit so genannten Tickets Drei Parteien [Wie08]: –Principal (z.B. –Key Distribution Center (KDC) Principal Database Authentication Server (AS) Ticket Granting Server (TGS) –Service-Anbieter

8 Freitag, 16. März Anmeldung mit Kerberos

9 Freitag, 16. März Vor- und Nachteile von Kerberos Vorteile: –Sichere Kryptographie –Performant [Wie08] –Im RFC 1510 festgehalten Nachteile: –Nicht ohne weiteres mit NAT-Firewalls einsetzbar [Wie08] –Anpassung bereits vorhandener Web-Applikationen ist sehr aufwändig –Kein Single Sign-Out Mechanismus

10 Freitag, 16. März OpenID Sehr populär [Arr08] Beschränkt sich auf grundlegende SSO- Funktionen Vier Parteien: –Client –OpenID Server –Identity Server –Consumer

11 Freitag, 16. März Anmeldung mit OpenID

12 Freitag, 16. März Vor- und Nachteile von OpenID Vorteile: –Weit verbreitet –Auch bei bereits vorhandenen Webseiten leicht einzusetzen –Sehr intuitiv, da Benutzer sich direkt beim Consumer anmeldet –Single Sign-Out Problematik existiert nicht Nachteile: –Phishing Attacken möglich [Lau07] –Identity Server speichert besuchte Seiten [Ben07] –Keine Autorisierungsfunktion –Nur grundlegende SSO-Funktionalität

13 Freitag, 16. März Shibboleth Basiert auf der Security Assertion Markup Language (SAML) [OAS07] Vier Parteien: –Client –Identity Provider (IdP) SSO-Service Authentication Authority –Service Provider (SP) Assertion Consumer Service –Where Are You From? (WAYF) Unterstützt Weiterleitung von Attributen

14 Freitag, 16. März Anmeldung mit Shibboleth

15 Freitag, 16. März Vor- und Nachteile von Shibboleth Vorteile: –Verbreitete Standards: SAML, XML, SOAP, SSL, uvm. –Nutzung bereits vorhandener Infrastrukturen [Ebe06] –Intuitiv, da Benutzer zunächst auf den Service- Anbieter zugreift Nachteile: –Aufwändige Anpassung bereits vorhandener Web- Ressourcen –Kein Single Sign-Out

16 Freitag, 16. März Evaluation der SSO-Anbieter OpenID: –Leicht anwendbar, weit verbreitet –Sicherheitslücken, geringer Funktionsumfang Kerberos: –Hoher Grad an Sicherheit, Performant –Aufwändige Anpassung, kein Single Sign-Out Shibboleth: –Flexibel, Offene Schnittstellen –Aufwändige Anpassung, kein Single Sign-Out Kerberos und Shibboleth sind für das E- Learning Umfeld am besten geeignet

17 Freitag, 16. März Vorteilhaftigkeit von SSO im E-Learning Kontext Vorteile: –Einheitlicher Authentifizierungsvorgang –Benutzerfreundlichkeit –Sicherheit –Reduzierter Aufwand für Benutzerverwaltung Nachteile: –Ermöglicht unerlaubten Zugriff auf viele SAs, wenn Anmeldedaten ausgespäht werden –Single-Point-Of-Failure –Nur wenige Anbieter unterstützen Single Sign-Out

18 Freitag, 16. März SSO an der WWU Seit 2006 wird Shibboleth eingesetzt (initiiert vom ZIV) ZIV stellt IdP zur Verfügung Anwendungen die den Service bereits nutzen: –Learnr (learnr.uni-muenster.de) –xLx (xlx.uni-muenster.de) Anmeldung mit ZIV-Kennung und Passwort

19 Freitag, 16. März Kopplung mit dem Identitätsmanagement des ZIV IdP des ZIV empfängt und bearbeitet Authentifizierungsanfragen Voraussetzungen für die Nutzung des SSO- Services: –Installation eines SP –Zertifikat des ZIV Übermittelte Attribute: –Nachname –Universitäts- -Adresse –ZIV-Kennung Verwendung der Benutzerdatenbank des ZIV

20 Freitag, 16. März Anmeldung bei xLx

21 Freitag, 16. März Anmeldung beim IdP des ZIV

22 Freitag, 16. März Weiterleitung zurück zum SP

23 Freitag, 16. März Zugriff auf den geschützten Bereich

24 Freitag, 16. März Anmeldung bei Learnr

25 Freitag, 16. März Direkte Weiterleitung zum geschützten Bereich

26 Freitag, 16. März Zugriff auf den geschützten Bereich

27 Freitag, 16. März Fazit SSO gewinnt an Bedeutung[Arr08] Nutzenzuwachs für Benutzer und Entwickler/Admins Universitätsübergreifendes SSO-Netz denkbar –Im Rahmen des SaxIS-Projekts in Sachsen bereits eingeführt[Sax06] Probleme: –Single Sign-Out –Anpassungsaufwand

28 Freitag, 16. März Literaturverzeichnis [Arr08]Micheal Arrington: OpenID Welcomes Microsoft, Google, Verisign and IBM, microsoft-google-verisign-and-ibm/. Zuletzt abgerufen am [Ben07]Ralf Bendrath: OpenID - next big thing with lots of problems, next-big-thing-with-lots-of.html. Zuletzt abgerufen am [Dec02] J. De Clercq: Single Sign-On Architectures, in Lecture notes in computerscience vol. 2437, S. 40 – 58, Springer-Verlag, [Ebe06]Lars Eberle, SaxIS-Shibboleth-Workshop, freiberg.de/~saxis/content/dokumente/Eberle_TU_Freiberg.pd f?PHPSESSID=c07726a2852cb0ed7a5122f2562edc8e. Zuletzt abgerufen am

29 Freitag, 16. März Literaturverzeichnis [Koc07] Christian Koch: Single Sign-On – Komfort für den Benutzer oder ein Sicherheitsrisiko?, gle_sign_on_komfort_fuer_den_benutzer_oder.html. Zuletzt abgerufen am [Ope01] Introduction to Single Sign-On, Zuletzt abgerufen am [Jan04]Wilhelm Janssen: Autorisierung, Zuletzt abgerufen am [Ker07]What is Kerberos?, Zuletzt abgerufen am

30 Freitag, 16. März Literaturverzeichnis [Lau07]Ben Laurie: OpenID: Phishing Heaven, Zuletzt abgerufen am [OAS07]OASIS Security Services (SAML) TC, open.org/committees/tc_home.php?wg_abbrev=s ecurity. Zuletzt abgerufen am [Wie08]Mike Wiesner, Kerberos V5 mit Debian, meetings/2005/linuxtag- karlsruhe/debianday/mike_wiesner- kerberos_v5_mit_debian.pdf. Zuletzt abgerufen am

31 Freitag, 16. März Fragen?

32 Freitag, 16. März Implementierung Installation und Konfiguration eines SP: –Shibboleth Dienst bzw. Daemon installieren (shibd) –Apache/Tomcat Konfiguration: shibboleth.xml httpd.conf: AuthType shibboleth ShibRequireSession On ShibRedirectToSSL 443 require valid-user AAP.xml:

33 Freitag, 16. März Implementierung Auslesen des HTTP-Headers –Code-Beispiel in Java: String = request.getHeader(Shib-mail); Leicht wartbar, da nur bei einer Pfadänderung die httpd.conf angepasst werden muss.


Herunterladen ppt "Einsatz von Single-Sign-On Technologien im Rahmen der Integration von E- Learning Anwendungen Christian Nockemann."

Ähnliche Präsentationen


Google-Anzeigen