Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Neue Shibboleth-Entwicklungen: Shibboleth 2.0 und SAML 2.0 VO-Management Workshop Schloss Birlinghoven, 19. Dezember 2006 Bernd Oberknapp Universitätsbibliothek.

Veröffentlicht von:Caroline Jaeger Geändert vor über 9 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Neue Shibboleth-Entwicklungen: Shibboleth 2.0 und SAML 2.0 VO-Management Workshop Schloss Birlinghoven, 19. Dezember 2006 Bernd Oberknapp Universitätsbibliothek."—  Präsentation transkript:

1 Neue Shibboleth-Entwicklungen: Shibboleth 2.0 und SAML 2.0 VO-Management Workshop Schloss Birlinghoven, 19. Dezember 2006 Bernd Oberknapp Universitätsbibliothek Freiburg E-Mail: bo@ub.uni-freiburg.de

2 2 Bernd Oberknapp, Universitätsbibliothek Freiburg Übersicht OpenSAML 2.0 Stand der Entwicklung Shibboleth 2.0 und SAML 2.0 Konzepte: –Authentication Context –Authentication Request –Single Logout Shibboleth 2.0 Komponenten: –Identity Provider –Service Provider (C++ und Java) –Discovery Service Ausblick

3 3 Bernd Oberknapp, Universitätsbibliothek Freiburg OpenSAML 2.0 SAML 2.0 ist eine gemeinsame Weiterentwicklung der SAML 1.1-Spezifikation durch die Liberty- und Shibboleth-Community OpenSAML 2.0 –„complete rewrite“ –unterstützt SAML 2.0, 1.1 und 1.0 –unterstützt XML Signing und Encryption Lizenz: Apache 2.0 „as open as things get these days“

4 4 Bernd Oberknapp, Universitätsbibliothek Freiburg Stand der Entwicklung OpenSAML 2.0: Entwicklung ist weitgehend abgeschlossen Identity Provider (IdP), Service Provider (SP) und Discovery Service (WAYF) 2.0: –Spezifikationen liegen komplett vor –erste Komponenten sind in der Entwicklung –Java-Komponenten mit Spring 2.0 Ziel für Beta-Release: März 2007?

5 5 Bernd Oberknapp, Universitätsbibliothek Freiburg Shibboleth 2.0 Interoperabilität mit Shibboleth –1.3: uneingeschränkt –1.2: voraussichtlich nur eingeschränkt –1.1: sehr eingeschränkt, wenn überhaupt Unterstützung für SAML 2.0 –Authentication Request und Context Classes inklusive Reauthentication (ForceAuthn), Passiv-Modus (IsPassive), NameIDPolicy,... –Single Logout (SLO) –verschiedene NameID-Formate Browser/POST mit Attribute-Push als Default- Profil (erfordert XML Encryption)

6 6 Bernd Oberknapp, Universitätsbibliothek Freiburg Authentication Context XML Schema zur Beschreibung des gesamten Authentifizierungsprozesses inklusive der organisatorischen und technischen Verfahren Vergleichbar mit Level of Assurance Sehr komplex, deshalb werden üblicherweise vordefinierte Authentication Context Classes verwendet Beispiele für Authentication Context Classes: –Internet Protocol –PasswordProtectedTransport –SmartcardPKI –MobileTwoFactorContract

7 7 Bernd Oberknapp, Universitätsbibliothek Freiburg Authentication Request In Shibboleth 1.3 einfacher Redirect zum IdP, in Shibboleth 2.0/SAML 2.0 XML-Request (über SSL 3.0 oder TLS 1.0, optional signiert) SP kann –vorgeben, welche Authentication Context Classes (minimal/maximal) verwendet werden dürfen –verlangen, dass der Benutzer sich erneut authentifiziert (ForceAuthn) –verlangen, dass keine Interaktion mit dem Benutzer erfolgt (IsPassive)

8 8 Bernd Oberknapp, Universitätsbibliothek Freiburg Single Logout Single Logout (SLO) beendet die Session im IdP und die zugehörigen Sessions in allen SPs, in die der Nutzer eingeloggt worden ist SLO kann erfolgen: –asynchron (Front-Channel) über den Browser (HTTP Redirect, POST oder Artifact, empfohlen) –oder synchron (Back-Channel) über SOAP SLO kann im SP oder im IdP initiiert werden Anwendungen, die ein eigenes Session- Management (Lazy Authentication) verwenden, müssen angepasst werden!

9 9 Bernd Oberknapp, Universitätsbibliothek Freiburg Metadaten Für XML Encryption und HTTP Redirect Binding (u.a.) müssen die Zertifikate der Kommunikationspartner bekannt sein Empfehlung: Inline-Zertifikate verwenden Alternative: Referenzen auf Zertifikate mit RetrievalMethod – falls sich jemand findet, der dies implementiert Konsequenz bei Verwendung von Inline- Zertifikaten: Wer die Metadaten signiert, übernimmt praktisch die Rolle einer CA!

10 10 Bernd Oberknapp, Universitätsbibliothek Freiburg IdP 2.0 Komponenten Profile Endpoints Profile Handler Session-Manager Authentication Handler Attribute Resolver Attribute Filtering Engine (Shibboleth 1.3: ARP-Engine)

11 11 Bernd Oberknapp, Universitätsbibliothek Freiburg Session-Manager SSO/Authentication Context- und SLO- Unterstützung bei Shibboleth 2.0 stellen im Vergleich zu Shibboleth 1.3 deutlich höhere Anforderungen an das Session-Management Session-Manager führt Buch über –UserID (Principal Name) –verwendete Authentifizierungsverfahren (Authentication Context Classes) –Logins in SPs inklusive der verwendeten NameIDs und Authentication Context Classes –Zugriffszeiten und Timeouts

12 12 Bernd Oberknapp, Universitätsbibliothek Freiburg Authentication Handler Bei Shibboleth 2.0 hat der IdP die Kontrolle über die Authentifizierung, d.h. die Authentifizierung schützt nicht wie bei Shibboleth 1.3 den IdP, sondern der IdP löst die Authentifizierung bei Bedarf selbst aus! Authentication Handler werden je nach vorgegebenen Authentication Context Classes aufgerufen Authentication Handler erhalten zur Durchführung der Authentifizierung die komplette Kontrolle Mitgeliefert werden bei Shibboleth 2.0 mindestens Authentication Handler für –Benutzerkennung/Passwort-Authentifizierung –REMOTE_USER (ähnlich wie bei Shibboleth 1.3) –IP basierte Authentifizierung

13 13 Bernd Oberknapp, Universitätsbibliothek Freiburg Attribute Resolver Zusätzliche Attribute Connectors, u.a. –zum Extrahieren von Attributen aus SAML Attribute Statements und –zur Einbindung von Skripten Attribute Encoder zur Übersetzung der Attribute in Protokoll spezifische Darstellungen Principal Connectors zur Übersetzung von NameIDs in UserIDs und umgekehrt (NameIDs werden wie Attribute behandelt) Zugriff auf alle relevanten Informationen

14 14 Bernd Oberknapp, Universitätsbibliothek Freiburg Attribute Filtering Engine –erstellt die Liste der benötigten Attribute –filtert Attribute und Attributwerte –filtert NameIDs abhängig von der Relying Party Stark erweiterte Filtermöglichkeiten inklusive der Möglichkeit, eigene Filter zu definieren ARPs für –Benutzergruppen –Gruppen von SPs ARP Constraints

15 15 Bernd Oberknapp, Universitätsbibliothek Freiburg C++ SP 2.0 Kein Timeout und Refresh für Attribute Support für Clustering über Schnittstelle für ODBC-fähige Datenbanken Übergabe der Attribute an die Anwendung über Environment-Variablen statt HTTP-Header (wegen Problemen mit der Längenbegrenzung) Schnittstelle zur Anwendung für SLO?

16 16 Bernd Oberknapp, Universitätsbibliothek Freiburg Java SP 2.0 Es wird einen Java SP geben! Implementiert als Java Servlet Filter Attribute werden der Anwendung als Request- oder Session-Attribute zur Verfügung gestellt Java SP wird Attribute Resolver und Attribute Filtering Engine enthalten (wie der IdP, auf derselben Code-Basis)

17 17 Bernd Oberknapp, Universitätsbibliothek Freiburg Discovery Service 2.0 Es wird einen offiziell unterstützten Discovery Service (WAYF) geben! Implementiert als Java Servlet Neues Protokoll für Kommunikaton von SP und WAYF Neuer Workflow mit mehr Kontrolle für den SP über den Discovery Prozess: SP  WAYF  SP  IdP Modus ohne Interaktion mit dem Nutzer (isPassive) Unterstützung für mehrere Förderationen Plugins zur Filterung der IdP-Listen Integration in einen SP bzw. eine Anwendung sollte damit vergleichsweise einfach möglich sein

18 18 Bernd Oberknapp, Universitätsbibliothek Freiburg Zusammenfassung Im Vergleich zu Shibboleth 1.3 bietet Shibboleth 2.0 viele neue Funktionen auf Basis der erweiterten Möglichkeiten von SAML 2.0 und eine Vielzahl von Verbesserungen, basierend auf den Erfahrungen mit Shibboleth 1.x!

19 19 Bernd Oberknapp, Universitätsbibliothek Freiburg Ausblick: Shibboleth 2.1 NameID Management und Mapping SAML 2.0 angewandt auf Portale, Metasuche und Web Services (Multi-tier Anwendungen) Priorität werden Web Services (SOAP) haben Basis wird voraussichtlich Liberty ID WSF 2.0 sein, wesentliche Komponenten sind: –Delegation (modelliert über SubjectConfirmation) –SOAP Binding (WSF Security) –SAML Token Service (WSF Authentication)

20 20 Bernd Oberknapp, Universitätsbibliothek Freiburg Weitere Informationen SAML 2.0 Spezifikation Überblick und Spezifikationen zu Shibboleth 2.0: Shibboleth-Wiki, Einstiegspunkt ShibTwoRoadmapShibTwoRoadmap Schnittstellen: Subversion-RepositorySubversion-Repository DFN-AAI Wiki – wenn die erste Release von Shibboleth 2.0 verfügbar istDFN-AAI Wiki DFN-AAI Workshop am 26. Februar 2007 in Berlin

Herunterladen ppt "Neue Shibboleth-Entwicklungen: Shibboleth 2.0 und SAML 2.0 VO-Management Workshop Schloss Birlinghoven, 19. Dezember 2006 Bernd Oberknapp Universitätsbibliothek."

Ähnliche Präsentationen

interaktiver Web Service Workflows

interaktiver Web Service Workflows
Ausblick auf Shibboleth 2.0

Ausblick auf Shibboleth 2.0
Software Architektur Service­orientierte Architektur und Sicherheit

Software Architektur Service­orientierte Architektur und Sicherheit
E-Commerce Shop System

E-Commerce Shop System
Was gibt´s neues im Bereich Sicherheit

Was gibt´s neues im Bereich Sicherheit
ReDI als Pilotanwendung für Shibboleth

ReDI als Pilotanwendung für Shibboleth
Anwendungen schützen mit Shibboleth

Anwendungen schützen mit Shibboleth
1 XVergabe Story Authentifizierung v003. Story Die Story zeigt auf, wie sich Alice an einer Vergabelösung authentifiziert Alice ist bereits bei der Vergabeplattform.

1 XVergabe Story Authentifizierung v003. Story Die Story zeigt auf, wie sich Alice an einer Vergabelösung authentifiziert Alice ist bereits bei der Vergabeplattform.
Web 2.0 und RIAs - Adobe Air1 Seminar: Web 2.0 und Rich Internet Applications Wintersemester 2007/2008 Daniel Thaidigsmann

Web 2.0 und RIAs - Adobe Air1 Seminar: Web 2.0 und Rich Internet Applications Wintersemester 2007/2008 Daniel Thaidigsmann
Das Projekt AAR ReDI als Pilotanwendung für die Shibboleth-Authentifizierung vascoda AG Betrieb und Weiterentwicklung Köln, 24. August 2005 Bernd Oberknapp,

Das Projekt AAR ReDI als Pilotanwendung für die Shibboleth-Authentifizierung vascoda AG Betrieb und Weiterentwicklung Köln, 24. August 2005 Bernd Oberknapp,
1 Allgemeine Fragestellung Suche nach wissenschaftlicher Information im Internet Quelle wird gefunden, aber… …Zugang nur gegen Passwort oder Zahlung Wiss.

1 Allgemeine Fragestellung Suche nach wissenschaftlicher Information im Internet Quelle wird gefunden, aber… …Zugang nur gegen Passwort oder Zahlung Wiss.
Bernd Oberknapp, UB Freiburg

Bernd Oberknapp, UB Freiburg
Authentifizierung, Autorisierung und Rechteverwaltung Einsatz und Funktion des Rechteservers 2. Shibboleth-Workshop Freiburg, 23. März 2006 Gerald Schupfner,

Authentifizierung, Autorisierung und Rechteverwaltung Einsatz und Funktion des Rechteservers 2. Shibboleth-Workshop Freiburg, 23. März 2006 Gerald Schupfner,
Föderationen: Richtlinien, Zertifikate und Attribute

Föderationen: Richtlinien, Zertifikate und Attribute
Bernd Oberknapp, UB Freiburg

Bernd Oberknapp, UB Freiburg
Einführung in den Identity Provider

Einführung in den Identity Provider
Ulrich Kähler, DFN-Verein

Ulrich Kähler, DFN-Verein
DFN-AAI Stand des Testsystems Raoul Borenius, DFN-AAI-Team

DFN-AAI Stand des Testsystems Raoul Borenius, DFN-AAI-Team
Einbindung des Service Providers: Einfache Web-Applikation, Überwachungssystem NAGIOS 2. Shibboleth-Workshop, Freiburg, 23.03.2006 Franck Borel, UB Freiburg.

Einbindung des Service Providers: Einfache Web-Applikation, Überwachungssystem NAGIOS 2. Shibboleth-Workshop, Freiburg, Franck Borel, UB Freiburg.
Technische Übersicht zu Shibboleth

Technische Übersicht zu Shibboleth

Ähnliche Präsentationen

Google-Anzeigen