Die Technik des Service Provider 2. Shibboleth-Workshop Freiburg, 23. März Dr. Jochen Lienhard AAR Projekt UB Freiburg Authentifizierung, Autorisierung.

Slides:



Advertisements
Ähnliche Präsentationen
Ausblick auf Shibboleth 2.0
Advertisements

Software Architektur Service­orientierte Architektur und Sicherheit
Travel and Consumer Services Proseminar Allgegenwärtiges Rechnen – Ubiquitous Computing Tim Behlhardt Matr. Nr.:
Semesterarbeit von Dieter Lorenz, Sebastian Galenski, Stephan Bury
Apache - PHP - MySQL Apache-PHP-MySQL.
ReDI als Pilotanwendung für Shibboleth
und Einführung in die Thematik
Anwendungen schützen mit Shibboleth
Aufbau des Internets Überblick Prof. Dr. T. Hildebrandt
Basis-Architekturen für Web-Anwendungen
Die Elektronische Zeitschriftenbibliothek
Web 2.0 und RIAs - Adobe Air1 Seminar: Web 2.0 und Rich Internet Applications Wintersemester 2007/2008 Daniel Thaidigsmann
Das Projekt AAR Authentifizierung, Autorisierung und Rechteverwaltung Vorstellung des Projektes und Informationsaustausch Mannheim, 13. Juni 2006 Franck.
Verteilte Authentifizierung mit Open Source Software – Integrationsplattform für Wissenschaft und Wirtschaft Kommunales Daten- und Identitätsmanagement.
Das Projekt AAR ReDI als Pilotanwendung für die Shibboleth-Authentifizierung vascoda AG Betrieb und Weiterentwicklung Köln, 24. August 2005 Bernd Oberknapp,
Das Projekt AAR Authentifizierung, Autorisierung und Rechteverwaltung
1 Allgemeine Fragestellung Suche nach wissenschaftlicher Information im Internet Quelle wird gefunden, aber… …Zugang nur gegen Passwort oder Zahlung Wiss.
Bernd Oberknapp, UB Freiburg
Authentifizierung, Autorisierung und Rechteverwaltung Einsatz und Funktion des Rechteservers 2. Shibboleth-Workshop Freiburg, 23. März 2006 Gerald Schupfner,
Föderationen: Richtlinien, Zertifikate und Attribute
Bernd Oberknapp, UB Freiburg
Einführung in den Identity Provider
Ulrich Kähler, DFN-Verein
Ulrich Kähler, DFN-Verein
DFN-AAI Stand des Testsystems Raoul Borenius, DFN-AAI-Team
Einbindung des Service Providers: Einfache Web-Applikation, Überwachungssystem NAGIOS 2. Shibboleth-Workshop, Freiburg, Franck Borel, UB Freiburg.
Technische Übersicht zu Shibboleth
Datenbankzugriff im WWW (Kommerzielle Systeme)
eXist Open Source Native XML Database
Erweiterung B2B Usermanagement / LDAP-Anbindung
Sicherheit und Personalisierung Internet Portal der Universität München.
Daniel Höfler Markus Thurner XMLApplicationPlatform Siemens OpenStage 60/80.
XINDICE The Apache XML Project Name: Jacqueline Langhorst
Einsatz von Single-Sign-On Technologien im Rahmen der Integration von E-Learning Anwendungen Christian Nockemann.
Information und Technik Nordrhein-Westfalen Single Sign On mit CAS Düsseldorf, Single Sign On für Webanwendungen am Beispiel von CAS.
Technik Gestaltung Navigation Daten. Übersicht Client Webbrowser InternetServer.
Lehre, Studium, Forschung LSF Software-System HIS-GX ist eine Webanwendung für:L ehre, S tudium und F orschung bietet vielfältige Funktionalitäten für.
Dokumenten- und Archivsystem auf Basis kommerzieller Software Verband der Bibliotheken des Landes Dokumenten-
Smartphones im Kanzleinetz Vergleich der technischen Umsetzung COLLEGA - TAG Freitag, 27. November 2009.
1.WICHTIG: oBringen Sie Ihr Betriebssystem möglichst "offline" auf den aktuellen Stand. Insbesondere sollten Sie bei Verwendung von Windows XP nicht ohne.
Mailserver-Installation mit LDAP-Schnittstelle für die Firma XYZ GmbH
Welche Funktion hat die php.ini? -Beinhaltet wichtige Einstellungen für PHP. Genannt seien hier u.a. der Speicherort von Cookies, Parameter der Kompilierung,
Einstellungen im Web für Outlook
Michael Haverbeck System Engineer
HOB RD VPN HOB Remote Desktop Virtual Private Network
Präsentation von Sonja Pathe
Software Architektur Service­orientierte Architektur und Sicherheit
Vergleich verschiedener Konzepte für das Software Engineering Praktikum.
CGI (Common Gateway Interface)
Vom Kontext zum Projekt V Carina Berning Sabrina Gursch Pierre Streicher Intelligente Dateisysteme.
QIS/LSF Dr. Martin Klingspohn.
Dedizierte Systeme Typo3 Installation Dedizierte Systeme – Typo3 Installation – Christoph Stollwerk IT Zertifikat der Philosophischen Fakultät WS 2008/2009.
Kursdokumentenmanagement. Inhalt Zielgruppe Anwendungs- breiche Vorteile der Lösung Kosten Testen der Software Funktionsweise und Voraus- setzungen Anwendungs-
Client-Server-Modell
PHP PHP ( „PHP Hypertext Preprocessor") ist eine Skriptsprache
Zentrale Authentifizierungsplattform mit Open Text Website Management bei Thieme.
->Prinzip ->Systeme ->Peer – to – Peer
1 Wolfgang Wiese, Regionales RechenZentrum Erlangen WCMS 3. August 2000 Wolfgang Wiese RRZE / Lehrstuhl für Informatik VII
Webserver, Apache und XAMPP
Webserver Apache & Xampp Referenten: Elena, Luziano und Sükran
Installation und Konfiguration des Identity Provider Shibboleth Workshop Freiburg, Franck Borel, AAR-Projekt, UB Freiburg.
Neue Shibboleth-Entwicklungen: Shibboleth 2.0 und SAML 2.0 VO-Management Workshop Schloss Birlinghoven, 19. Dezember 2006 Bernd Oberknapp Universitätsbibliothek.
1 Allgemeine Fragestellung Suche nach wissenschaftlicher Information im Internet Quelle wird gefunden, aber… …Zugang nur gegen Passwort oder Zahlung Wiss.
WINLearn Technische Umsetzung. Basistechnologie Oberfläche in HTML JSP (JavaServerPages) zur Datenauswertung Datenhaltung: Datenbank oder Filesystem JDBC.
Verteilte Authentifizierung, Autorisierung und Rechteverwaltung (AAR) beim elektronischen Publizieren Forum Innovation Buchmesse Frankfurt, 20. Oktober.
MyCoRe in einem in einem Detlev Degenhardt Jena, den Umfeld - Umfeld.
Shibboleth. Agenda Shibboleth? Single-Sign-On SAML & Co. Shibboleth  Eigenschaften  Architektur & Komponenten  Implementierungen  Kommunikation 
Historisch-Kulturwissenschaftliche Informationsverarbeitung Advanced IT Basics Linda Schröder Universit ä t zu K ö ln XAMPP – Eine praktische.
Identity Management.  Zentrale Begriffe und Probleme  Modellbildung  Methoden zur Authentisierung über HTTP  Technische Aspekte  Compliance  Hindernisse,
HTTP-Server Konfiguration
 Präsentation transkript:

Die Technik des Service Provider 2. Shibboleth-Workshop Freiburg, 23. März Dr. Jochen Lienhard AAR Projekt UB Freiburg Authentifizierung, Autorisierung und Rechteverwaltung

Dr. Jochen Lienhard, AAR Projekt, UB Freiburg2 Was ist ein Service Provider? Allgemein Ein Service Provider (SP) ist ein Anbieter von webbasierten Diensten oder Inhalten, die einen eingeschränkten Zugriff benötigen. bei Shibboleth „A Service Provider (SP) is a deployment of SAML software that validates assertions issued by Identity Providers (IdP) and uses them to create a security context and assists in the enforcement of access control based on the information.”

Dr. Jochen Lienhard, AAR Projekt, UB Freiburg3 Beispiele für Ressourcen HTML-Seiten, PHP- oder CGI-Scripte e-Learning-Module in LMS Datenbanken Elektronische Zeitschriften Zertifizierungsstelle...

Dr. Jochen Lienhard, AAR Projekt, UB Freiburg4 Ohne Shibboleth Web- Server Apache oder IIS httpd.conf Require.... Daten im Filesystem Ressource Manager

Dr. Jochen Lienhard, AAR Projekt, UB Freiburg5 Mit Shibboleth Web-Server Apache oder IIS httpd.conf AuthType shibboleth ShibRequireSession On Daten im Filesystem Ressource Manager mod_shib (ACS) shibd (+ AAP)

Dr. Jochen Lienhard, AAR Projekt, UB Freiburg6 Der Ressource Manager RM des Apache –require affiliation RM als Mischung aus Apache und zusätzlicher Software –require valid_user RM nur mit zusätzlicher Software –lazy session

Dr. Jochen Lienhard, AAR Projekt, UB Freiburg7 Aufgaben des Service Providers Schutz der Ressourcen Kontaktaufnahme zum Identity Provider (via WAYF) Überprüfung der Zertifikate Überprüfung der Attribute Freigabe der Ressource

Dr. Jochen Lienhard, AAR Projekt, UB Freiburg8 Die Shibboleth Komponenten mod_shib (A ssertion C onsumer S ervice ) Apache Modul, das in die httpd.conf eingebunden werden muss. shibd Shibboleth Dämon AAP Attribute Acceptance Policies

Dr. Jochen Lienhard, AAR Projekt, UB Freiburg9 Funktionsweise 1.Zugriff auf Ressource →Redirect zum WAYF oder IdP durch ACS 2.Authentifizierungsbestätigung des IdPs →Weiterleitung der SAML vom Apache-Modul (ACS) zum Shibboleth-Dämon (shibd) →Anfrage vom Dämon an den AA bzgl Attribute 3.Attribute des AAs →Verifizierung der Attribute (AAP.xml) →Freigabe oder Sperrung der Ressource durch RM

Dr. Jochen Lienhard, AAR Projekt, UB Freiburg10 Systemvoraussetzungen Betriebssystem –Linux, Solaris, Windows, MAC Webserver –Apache oder IIS Sicherheit –OpenSSL OpenSource Quellcode: C++

Dr. Jochen Lienhard, AAR Projekt, UB Freiburg11 Zusätzliche Komponenten Die zusätzlichen Komponenten sind bei Internet2 oder Apache verfügbar: –log4cpp –xerces-c –xml-security-c –opensaml

Dr. Jochen Lienhard, AAR Projekt, UB Freiburg12 Konfigurationsdateien apache.config bzw. apache2.config Konfigurationsdatei für das mod_shib shibboleth.xml Zentrale XML-Konfigurationsdatei AAP.xml XML Datei zur Konfiguration der Attribute Acceptance Policies

Dr. Jochen Lienhard, AAR Projekt, UB Freiburg13 Was muss man konfigurieren? Basiskonfiguration (apache.config + shibboleth.xml) Attributes (AAP.xml) Schutz der Ressoucre (apache.config + shibboleth.xml + RM) Zertifikate (shibboleth.xml) Föderation und Metadaten (shibboleth.xml) Logger und Fehlerseiten (shibboleth.xml)

Dr. Jochen Lienhard, AAR Projekt, UB Freiburg14 Basiskonfiguration shibboleth.xml editieren –Service Provider ID eintragen –WAYF oder IdP angeben –Metadaten und Audience anpassen –Zertifikate einbinden (Client Zertifikat) apache-Konfiguration einbinden. Anschließend ein Test gegenüber eines existierenden IdP.

Dr. Jochen Lienhard, AAR Projekt, UB Freiburg15 Attribute (AAP.xml) „Default-Attribute“: Identity Provider Empfangene Attribute müssen abgebildet und gefiltert werden <AttributeRule Name=“urn:mace:dir:attribute-def:eduPersonAffiliation“ Header=“Shib-EP-Affiliation“ Alias=“affiliation“ >

Dr. Jochen Lienhard, AAR Projekt, UB Freiburg16 Schutz der Ressourcen (am Beispiel von Apache) Konfiguration des Apache AuthType shibboleth ShibRequireSession On Require EduPersonEntitlement urn:mace:aar:entitlement:ezb:unirb:admin Ressource Manager Rechteserver

Dr. Jochen Lienhard, AAR Projekt, UB Freiburg17 Zertifikate Schlüssel und Zertifikat notwendig Client-Zertifikat für Requester-Match bei der ARP des IdP. Root-CA muss in der metadata.xml enthalten sein.

Dr. Jochen Lienhard, AAR Projekt, UB Freiburg18 Föderation und Metadaten Föderation –als Basis des Vertrauens –als Lieferant der Metadaten –als Rahmen Metadaten –notwendig zur Überprüfung der IdPs –Informationen über IdP –Informationen über Zertifikate

Dr. Jochen Lienhard, AAR Projekt, UB Freiburg19 Session Initiator default Initiator sollte der WAYF sein ermöglicht es URLs zu generieren, die einen Initiator enthalten, so dass der Nutzer direkt zum richtigen IdP geleitet wird ohne über den WAYF zu gehen.

Dr. Jochen Lienhard, AAR Projekt, UB Freiburg20 Logger und Fehlerseiten verschiedene Log-Level einstellbar –DEBUG, INFO, WARN, ERROR, OFF Fehlerseiten können selbst gestaltet werden: session="/usr/local/etc/shibboleth/sessionError.html“ metadata="/usr/local/etc/shibboleth/metadataError.html" rm="/usr/local/etc/shibboleth/rmError.html" access="/usr/local/etc/shibboleth/accessError.html"

Dr. Jochen Lienhard, AAR Projekt, UB Freiburg21 Timeouts diverse Timeouts einstellbar –für die Kommunikation –für die Session beachten, welche Timeouts die IdPs haben Gleichgewicht finden! Änderung diese Konzepts für Shibboleth 2.x vorgesehen.

Dr. Jochen Lienhard, AAR Projekt, UB Freiburg22 Einbindung in mehrere Föderationen notwendig für internationale Anbieter, falls nur länderspezifischen Föderationen existieren. –alternativ: eigene Föderation Realisierbar durch mehrere Applications Verschiedene URLs definieren und schützen Zugriff auf verschiedene WAYFs –ein metadata.xml

Dr. Jochen Lienhard, AAR Projekt, UB Freiburg23 WAYF beim SP Problem, welcher WAYF verwendet werden soll, wenn der SP mehreren Föderationen angehört. Vorteile: –gezielte Weiterleitung zum entsprechenden IdP möglich (Session Initiator) –nur eigene Kunden sind im WAYF Nachteil: –zusätzliche Komponente, die gepflegt werden muss.

Dr. Jochen Lienhard, AAR Projekt, UB Freiburg24 „Migrationscheckliste“ Wie werden die Ressourcen bisher geschützt (Apache, Tomcat, eigenes Verfahren,...)? Existiert ein Sitzungsmanagement? Kann dieses weiter verwendet werden, z.B. indem eine Sitzung über Shibboleth aufgebaut wird? Existiert eine Rechteverwaltung? Können die dafür notwendigen Informationen per Shibboleth über Attribute bereitgestellt werden? Können die Identity-Provider die Attribute liefern?

Dr. Jochen Lienhard, AAR Projekt, UB Freiburg25 Beispiele von SP Nagios (Überwachungssystem) Stokat Bibl.Verwaltungssystem ReDI Regionale Datenbank-Information Baden-Württemberg → Details am Nachmittag

Fragen, Probleme, Anregungen?

Feedback: Datenschutzbestimmungen Feedback
Über Projekt: SlidePlayer Nutzungsbedingungen

© 2024 SlidePlayer.org Inc. All rights reserved.