Technische Übersicht zu Shibboleth

Slides:



Advertisements
Ähnliche Präsentationen
Ausblick auf Shibboleth 2.0
Advertisements

Software Architektur Service­orientierte Architektur und Sicherheit
Migration der Arbeitsplatzrechner und Benutzerprofile in eine neue Domänenstruktur bei der WetterOnline GmbH Alexander Wiechert Migration der Arbeitsplatzrechner.
Was gibt´s neues im Bereich Sicherheit
Multi-Server Shutdown
ReDI als Pilotanwendung für Shibboleth
Anwendungen schützen mit Shibboleth
für das Schulnetz der BS Roth
Systemverwaltung wie es Ihnen gefällt.
Die Elektronische Zeitschriftenbibliothek
Das Projekt AAR Authentifizierung, Autorisierung und Rechteverwaltung Vorstellung des Projektes und Informationsaustausch Mannheim, 13. Juni 2006 Franck.
Verteilte Authentifizierung mit Open Source Software – Integrationsplattform für Wissenschaft und Wirtschaft Kommunales Daten- und Identitätsmanagement.
Das Projekt AAR ReDI als Pilotanwendung für die Shibboleth-Authentifizierung vascoda AG Betrieb und Weiterentwicklung Köln, 24. August 2005 Bernd Oberknapp,
Das Projekt AAR Authentifizierung, Autorisierung und Rechteverwaltung
1 Allgemeine Fragestellung Suche nach wissenschaftlicher Information im Internet Quelle wird gefunden, aber… …Zugang nur gegen Passwort oder Zahlung Wiss.
Bernd Oberknapp, UB Freiburg
Authentifizierung, Autorisierung und Rechteverwaltung Einsatz und Funktion des Rechteservers 2. Shibboleth-Workshop Freiburg, 23. März 2006 Gerald Schupfner,
Föderationen: Richtlinien, Zertifikate und Attribute
Bernd Oberknapp, UB Freiburg
Einführung in den Identity Provider
Ulrich Kähler, DFN-Verein
Ulrich Kähler, DFN-Verein
DFN-AAI Stand des Testsystems Raoul Borenius, DFN-AAI-Team
Einbindung des Service Providers: Einfache Web-Applikation, Überwachungssystem NAGIOS 2. Shibboleth-Workshop, Freiburg, Franck Borel, UB Freiburg.
Datenbankzugriff im WWW (Kommerzielle Systeme)
Archivierung und Erschließung von Audio/Video-Material mit miless und MyCoRe F. Lützenkirchen Universitätsbibliothek.
Erweiterung B2B Usermanagement / LDAP-Anbindung
Information und Technik Nordrhein-Westfalen Single Sign On mit CAS Düsseldorf, Single Sign On für Webanwendungen am Beispiel von CAS.
Information und Technik Nordrhein-Westfalen Das personalisierte Portal Düsseldorf, Das personalisierte Portal.
Tomcat (I) Ende 1999 Jakarta-Projekt von Apache, IBM und Sun gegründet
Treffen mit Siemens Siemens: Werner Ahrens Volkmar Morisse Projektgruppe: Ludger Lecke Christian Platta Florian Pepping Themen:
Brandenburgische Technische Universität Cottbus Program Profiling Andrzej Filipiak Übung Testen von Software SoSe 2006.
Linux-HA-Cluster – Heartbeat mit DRBD
Überlegungen zur Architektur eines Fachinformations-Netzwerkes am Beispiel des CeGIM Mehrwert ist es nicht nur, Daten von ihren Quellen zu den Nutzern.
Lehre, Studium, Forschung LSF Software-System HIS-GX ist eine Webanwendung für:L ehre, S tudium und F orschung bietet vielfältige Funktionalitäten für.
Mailserver-Installation mit LDAP-Schnittstelle für die Firma XYZ GmbH
EVA-Sitzung, Schwarzenberg, 11/2007 Andre Swertz
ODBC (Open Database Connectivity)
Welche Funktion hat die php.ini? -Beinhaltet wichtige Einstellungen für PHP. Genannt seien hier u.a. der Speicherort von Cookies, Parameter der Kompilierung,
IGEL UMS Universal Management Suite Oktober 2011 Florian Spatz
HOB RD VPN HOB Remote Desktop Virtual Private Network
27. Juni 2003 Jan Drewnak – Institut für Geoinformatik, Münster Zugriffskontrolle in Geodateninfrastrukturen Web Authentication Service (WAS) und Web Security.
Übersicht Auf den folgenden Seiten wird Ihnen anhand einer kleinen Abteilung gezeigt, wie Sie PQM an Ihre Bedürfnisse anpassen können. Mitarbeiter einrichten.
Mark Bendix | 02. Juli 2007 | Prüf.-Nr
Client-Server Systeme
Software Architektur Service­orientierte Architektur und Sicherheit
Dedizierte Systeme Typo3 Installation Dedizierte Systeme – Typo3 Installation – Christoph Stollwerk IT Zertifikat der Philosophischen Fakultät WS 2008/2009.
Dokumenten- und Publikationsserver
Eine kurze Einführung.  Software zur Erstellung eines Dokumenten- servers  Dient zur Aufbewahrung von allen Typen von digitalen Inhalten (Texte, Bilder,
Kaseya Virtual System Administrator Produkt Update 7.0 Rocco van der Zwet Copyright ©2014 Kaseya 1.
VPN – Virtual Private Network
prof. dr. dieter steinmannfachhochschule trier © prof. dr. dieter steinmann Folie 1 vom Montag, 30. März 2015.
->Prinzip ->Systeme ->Peer – to – Peer
Webserver Apache & Xampp Referenten: Elena, Luziano und Sükran
Installation und Konfiguration des Identity Provider Shibboleth Workshop Freiburg, Franck Borel, AAR-Projekt, UB Freiburg.
Neue Shibboleth-Entwicklungen: Shibboleth 2.0 und SAML 2.0 VO-Management Workshop Schloss Birlinghoven, 19. Dezember 2006 Bernd Oberknapp Universitätsbibliothek.
Die Technik des Service Provider 2. Shibboleth-Workshop Freiburg, 23. März Dr. Jochen Lienhard AAR Projekt UB Freiburg Authentifizierung, Autorisierung.
1 Allgemeine Fragestellung Suche nach wissenschaftlicher Information im Internet Quelle wird gefunden, aber… …Zugang nur gegen Passwort oder Zahlung Wiss.
Verteilte Authentifizierung, Autorisierung und Rechteverwaltung (AAR) beim elektronischen Publizieren Forum Innovation Buchmesse Frankfurt, 20. Oktober.
Novell Server mit NetWare 6.5 und Windows 2003 Server Bernd Holzmann
Universität zu Köln IT – Zertifikat der Philosophischen Fakultät / Kurs: Allgemeine Technologien I mit Susanne Kurz M. A. Open Source Anw. vs. proprietäre.
MyCoRe in einem in einem Detlev Degenhardt Jena, den Umfeld - Umfeld.
Mit CAR4KMU zum eStandard auto-gration in der Automobilindustrie Installation auto-gration Konnektor.
Shibboleth. Agenda Shibboleth? Single-Sign-On SAML & Co. Shibboleth  Eigenschaften  Architektur & Komponenten  Implementierungen  Kommunikation 
Folie 1 ONLINE USV-Systeme AG Roland Kistler, Januar 2014 Herzlich Willkommen Roland Kistler Sales Engineer Tel. +49 (89)
Historisch-Kulturwissenschaftliche Informationsverarbeitung Advanced IT Basics Linda Schröder Universit ä t zu K ö ln XAMPP – Eine praktische.
Identity Management.  Zentrale Begriffe und Probleme  Modellbildung  Methoden zur Authentisierung über HTTP  Technische Aspekte  Compliance  Hindernisse,
Webservices SOAP und REST Nicole Fronhofs 1. Betreuer: Prof. Dr. Volker Sander 2. Betreuer: B. Sc. Sebastian Olscher.
Lars Tremmel ETH Informatikdienste Managed Services September 2013
 Präsentation transkript:

Technische Übersicht zu Shibboleth 2. Shibboleth-Workshop, Freiburg, 23.03.2006 Franck Borel, UB Freiburg borel@ub.uni-freiburg.de

Übersicht Wissen – Verstehen – Anwenden Eigenschaften von Shibboleth Wie funktioniert Shibboleth? Shibboleth in der Praxis Shibboleth in der Zukunft Franck Borel, UB Freiburg 2

Eigenschaften von Shibboleth Gesicherter Zugang zu webbasierten Diensten Gewährleistet anonymen Zugang zu Informationen und Ressourcen, wobei der Zutritt beliebigen Gruppen/Personen zugewiesen werden kann (z.B. Universität, Fakultät, Prof. Ziegenbart) Single Sign-On Freie Wahl des Authentifizierungssystems (erwartet Umgebungsvariable REMOTE_USER) Autorisierung erfolgt über Attribute Nachrichten werden mit Hilfe von SOAP und SAML-Anfragen/Antworten ausgetauscht Open-Source (Apache 2.0 Lizenz) Setzt auf bewährte Software und Standards auf und unterstützt die wichtigsten Betriebssysteme Franck Borel, UB Freiburg 3

Wie funktioniert Shibboleth? Föderation Ordnet einen Benutzer seiner Heimateinrichtung zu WAYF Ressourcen-verwaltung, Zugangs-berechtigung Heimat-einrichtung mit Identity-Provider Anbieter mit Service-Provider Authentifizierung Autorisierung Vertragspartner, Operator, rechtliche Belange Franck Borel, UB Freiburg 4

Wie funktioniert Shibboleth? Wodurch wird die Kommunikation zwischen Service-Provider und Identity-Provider ermöglicht? HTTP / HTTPS (Port 80, 443, 8443) Browser/Post (sichtbar für den Benutzer) Browser/Artifact (nicht sichtbar für den Benutzer) Umgebungsvariablen SAML-Nachrichten Metadaten Franck Borel, UB Freiburg 5

Wie funktioniert Shibboleth? SAML-Nachricht: Dient der Übertragung von Anfragen und Antworten HTTP/HTTPS SOAP Nachricht SOAP Kopf SOAP Inhalt SAML Anfrage/Antwort Franck Borel, UB Freiburg 6

Wie funktioniert Shibboleth? SAML-Nachrichten Eigenschaften: Können digital signiert werden Werden in fünf verschiedenen Varianten verwendet: Bestätigung einer erfolgreichen Authentifizierung Attribute Fehlerrückmeldung Autorisierungsnachricht anhand derer der Service Provider entscheiden kann, ob ein Benutzer auf eine Ressource zugreifen darf oder nicht Zusammengesetzter Typ aus a und b (Browser/Artifact) Franck Borel, UB Freiburg 7

Wie funktioniert Shibboleth? Metadaten Ermöglichen die Kommunikation zwischen Identity-Provider und Service-Provider In den Metadaten sind Identity-Provider und Service-Provider aufgeführt, die an den Austausch von Nachrichten beteiligt sind Nur in dem Metadaten aufgeführte Zertifikate werden akzeptiert Franck Borel, UB Freiburg 8

Wie funktioniert Shibboleth? Metadaten: Aufbau Rahmen <EntitiesDescriptor> <Extensions> <ds:KeyInfo /> </Extensions> <EntityDescriptor> <IDPSSODescriptor /> </EntityDescriptor> <SPSSODescriptor /> </EntitiesDescriptor> Stamm-Zertifkate Identity Provider und Service Provider Franck Borel, UB Freiburg 9

Wie funktioniert Shibboleth? Service-Provider Benutzerin (1) Benutzerin bekannt? ja nein (2) (3) WAYF (4) Benutzerin berechtigt? (6) (5) (7) Identity-Provider (9) gestattet Zugriff ja (8) verweigert nein Franck Borel, UB Freiburg 10

Wie funktioniert Shibboleth? Szenario: Erstkontakt ohne WAYF mit Browser/Artifact Identity Provider Benutzer Authentifizierung Attribute Authority (AA) (4) 302 SSO Dienst Artifact Resolution Service (3) GET (7) 200 (6) POST (8) 302 Assertion Consumer Service (5) GET (10) 200 (9) GET Access Control Target Resource (2) 302 (1) GET Service Provider Franck Borel, UB Freiburg 11

Wie funktioniert Shibboleth? Sicherheitsmechanismen SSL/TSL: Man-in-the-Middle, Message Modification, Eavesdropping XMLsig: Message Modification Gültigkeitsdauer von Sitzungen, Bestätigungen, Attributen (engl. Lifetime, TTL): Replay, DOS Metadaten: DOS, Message Modification Es werden keine personenbezogenen Daten übermittelt sondern Stellvertreter (engl. Handler): Eavesdropping Franck Borel, UB Freiburg 12

Shibboleth in der Praxis Unterstützte Betriebssysteme: Linux Solaris Windows Mac OS-X Franck Borel, UB Freiburg 13

Shibboleth in der Praxis Notwendige Software (Bsp. Linux): Identity Provider: Tomcat Apache mit mod_ssl (für HTTPS) und mod_jk (Verbindung zum Tomcat) JDK (für Tomcat und Identity-Provider) Ant (Software entpacken) OpenSAML (transportieren, erstellen und parsen der SAML-Nachrichten) OpenSSL (für Server-Zertifikate) NTP (Zeitstempel: Wie lange ist die SAML-Nachricht gültig) Franck Borel, UB Freiburg 14

Shibboleth in der Praxis Notwendige Software (Bsp. Linux): Service Provider: Apache + mod_ssl (für HTTPS) OpenSSL (für Server-Zertifikate) NTP (Zeitstempel: Wie lange ist die SAML-Nachricht gültig?) Libcurl OpenSAML (transportieren, erstellen und parsen der SAML-Nachrichten) Franck Borel, UB Freiburg 15

Shibboleth in der Praxis Optionale Software (Auszug): WAYF (Internet2): Lokalisierungsdienst Rechteserver (Uni-Regensburg): Attributübersetzung für Service-Provider Arpedit (Internet2): ARP-Editor für Identity Provider Mod_auth_location (Internet2): Anonymer Zugang von ausgewählten Browsern und Service Providern ShARPE (MAMS): Administrationswerkzeug zum Konfigurieren von ARP-Dateien Autograph (MAMS): Benutzerwerkzeug zum Konfigurieren von ARP-Dateien Resource-Registry (SWITCH): Zentraler Datenspeicher, in denen alle Informationen zu den Service Providern und Identity Providern zusammengetragen sind Franck Borel, UB Freiburg 16

Shibboleth in der Praxis Erst-Installation: Wie geht man vor? Dokumentationen zu Shibboleth Installationsanleitung besorgen Installation der Server und der Shibboleth-Software Test-Konfiguration mit Hilfe der AAR Demo-Umgebung Feinabstimmung der Konfiguration (z.B. Session Timeout, AAP, Logging) Optionale Software einspielen und testen Franck Borel, UB Freiburg 17

Shibboleth in der Praxis Potentielle Hürden: Identity Provider: Standard Authentifizierung (Tomcat Valve) reicht nicht immer aus und muss daher angepasst werden, was wiederum tief greifende Kenntnisse über Tomcat verlangt Zertifikate Shibboleth-Dokumentation kein Single Log-Out (der Benutzer muss den Browser schliessen, um alle Sitzungen zu beenden; für die Version 2.1 ist ein Single Log-Out geplant) Service Provider: WAYF: Keine Dokumentation vorhanden! Franck Borel, UB Freiburg 18

Shibboleth in der Praxis Ein paar Beispiele zu Diensten, die shibboleth-fähig gemacht worden sind: ReDI (UB Freiburg): Testphase Wiki (Ohio University): Produktionsphase Virtuelle Lernumgebung (Bodington.org): Produktionsphase Quicktime Streaming Server (Darwin Streaming Server): Produktionsphase Datenbank (EBSCO Publishing): Produktionsphase Napster: Produktionsphase E-Learning (OLAT Schweiz): Produktionsphase Franck Borel, UB Freiburg 19

Shibboleth in der Zukunft Für Shibboleth 2.x sind unter anderen folgende Erweiterungen geplant: Anpassen an den SAML 2.0 Standard (z.B. Single Log-Out, Authentifizierung wird stärker in den Identity-Provider eingebunden als bisher, Service-Provider bekommt weitere Konfigurationseinstellungen) ShARPE und Autograph als fester Bestandteil Service Provider auch als Java-Servlet (2.3+) der zentrale WAYF-Dienst fällt weg es wird einen Discovery Service geben, der beim Service-Provider installiert ist und auch mit mehreren Föderationszugehörigkeiten zurecht kommt Bessere Dokumentation Franck Borel, UB Freiburg 20

Ich danke Ihnen für Ihre Aufmerksamkeit! Fragen? Franck Borel, UB Freiburg 21

Feedback: Datenschutzbestimmungen Feedback
Über Projekt: SlidePlayer Nutzungsbedingungen

© 2024 SlidePlayer.org Inc. All rights reserved.