Seminar Telekommunikation. Federated Identity Management mit Shibboleth

Transkript

1 Seminar Telekommunikation bei Prof. Dr. Martin Leischner im WS 2005/06 Federated Identity Management mit Shibboleth von

2 Übersicht 1. Identity Management 2. Federated Identity Management 3. Konzepte von Shibboleth 4. Testbetrieb

3 A set of claims about a subject [Microsoft] Was ist eine digitale Identität? Claim : die Erhebung eines Anspruchs [Lexitron] Subject : eine Person oder ein Gegenstand, der den (Einsatz-)Bereich ( realm, wörtlich Königreich) des claims repräsentiert Beispiel: Maria Mustermann Member Level: Platinum Member Since: 1997 Code: 625 travelux Valid Through: 7/2006

4 Idee des Identity Managements Jede Person hat in ihrem Vertrauensbereich einen Identitätsmanager Stück Software auf Rechner zu Hause, auf PDA oder bei (Internet-) Provider Identitätsmanager wird bei allen Anwendungen zwischengeschaltet, bei denen potentiell personenbezogene Informationen im Spiel sind Benutzer kann bestimmen, welche Daten herausgegeben werden, und gegebenenfalls darüber verhandeln Pseudonyme werden automatisch angelegt und verwaltet Datenverarbeitung wird dokumentiert in Datenschutzerklärungen und Einzelnachweisen

5 Das Problem die Vielzahl an Identitäten Joe s Fish Market.Com Tropical, Fresh Water, Shell Fish, Lobster,Frogs, Whales, Seals, Clams

6 Authentifizierung + Autorisierung mit mehreren Identity Management Systemen Hochschule A Bibliothek B Hochschule C Authentifizierung Autorisierung Mail Web E-Learning E-Journal DB-Recherche E-Learning Ressource Aufwändige Registrierung bei allen Ressourcen unzuverlässige und veraltete Daten Verschiedene Login-Verfahren Viele Passworte Viele Ressourcen ungeschützt Hoher Administrationsaufwand

7 Übersicht 1. Identity Management 2. Federated Identity Management 3. Konzepte von Shibboleth 4. Testbetrieb

8 Was ist eine Federated Identity? Federated Identity allows an organization to consume identities issued by other organizations [Microsoft] Federated identity means the management of identity information between members of a federation. [Internet2] Federation: A federation is an association of organizations that come together to exchange information as appropriate about their users and resources in order to enable collaborations and transactions. [Internet2] Teilnehmer einer Federation: Identity Provider: Aussteller einer digitalen Identität Ressource / Target: Bereitsteller einer Ressource / Konsument einer Identität

9 Was ist eine Federation? Federation Ressource Identity Provider

10 Federation Eine Federation ist ein Zusammenschluss von Identity-Providern und Ressourcen auf Basis gemeinsamer Richtlinien. Eine Federation schafft ein notwendiges Vertrauensverhältnis zwischen Identity- Providern und Ressourcen und einen organisatorischen Rahmen für den Austausch von Benutzerinformationen. Aufgaben einer Federation sind: Vorgabe von Richtlinien (Policies) Betrieb des Lokalisierungsdienstes (WAYF) Betrieb einer Zertifizierungsstelle

11 Authentifizierung + Autorisierung ohne Federation Hochschule A Bibliothek B Hochschule C Authentifizierung Autorisierung Mail Web E-Learning E-Journal DB-Recherche E-Learning Ressource Aufwändige Registrierung bei allen Ressourcen unzuverlässige und veraltete Daten Verschiedene Login-Verfahren Viele Passworte Viele Ressourcen ungeschützt Hoher Administrationsaufwand

12 Authentifizierung + Autorisierung in einer Federation Hochschule A Bibliothek B Hochschule C Authentifizierung Federated Identity Management System Autorisierung Mail Web E-Learning E-Journal DB-Recherche E-Learning Ressource Registrierung bei den Ressourcen entfällt Einheitliches Login- Verfahren Single-Sign- On erschließt neue Ressourcen für die Benutzer Standortunabhängig Intergrationsaufwand entfällt

13 Frei verfügbare Federated Identity Management Frameworks WS-Federation Shibboleth Liberty Alliance SAML

14 SAML = Security Assertion Markup Language Von OASIS-Open spezifizierter Standard SAML SAML ist ein XML basierter Standard für den Austausch von Authentifizierungs- und Autorisierungsinformationen (Attributen) SAML definiert verschiedene Nachrichtentypen und Standardverfahren für deren Übertragung (Browser/POST, SOAP)

15 Liberty Alliance Project Initiative verschiedener Unternehmen (Sun Microsystems, American Express, AOL, VeriSign), um die Interoperabilität zwischen Identitätsmanagement-Systemen zu adressieren Als Konkurrenz zu Microsofts Passport entwickelt Schwerpunkt auf webbasierten Authentifizierungssystemen gegenseitiger Austausch von Profilinformationen (z.b. mittels Attributen) Abbildung der Credentials (Login/PW) in einer Domäne auf Credentials in einer anderen Domäne Einzelabsprachen / Verträge zwischen den beteiligten Partnern notwendig explizite Einwilligung des Benutzers möglich

16 Web Services Architektur WS-Secure Conversation WS- Federation WS- Authorization WS-Policy WS-Trust WS-Privacy WS-Security SOAP Foundation

17 WS Federation WS-Federation 1.0, von IBM/Microsoft/VeriSign/BEA/RSA im Juli 2003 herausgebrachter Standard Definiert auf WS-SecureConversation, WS-Policy, WS-Trust und WSS: SOAP Message Security basierende Mechanismen um Zusammenschlüsse mehrerer Vertrauenszonen in Verbund zu ermöglichen Identity-Provider: Authentifizierungsservice, Erweiterung zu Security-Token- Service Pseudonym-Service: Verwaltung verschiedener Aliase für verschiedene Zonen, Ergänzung zu Identity-Providern

18 Übersicht 1. Identity Management 2. Federated Identity Management 3. Konzepte von Shibboleth 4. Testbetrieb

19 Shibboleth Was bedeutet das? Historisch: ein hebräisches Wort (übersetzt: Getreideähre ) wurde aber schon damals in der Bedeutung von 'Kennwort' verwendet Hintergrund ist eine Stelle aus dem Alten Testament, in der die Gileadmiten die Aussprechweise von Shibboleth als Mittel dazu nutzten, Personen also Freund oder Feind zu kategorisieren Heute: Inter-realm Attribute-based authorization for Web Services [CISTI]

20 Inter-realm attribute-based authorization for Web Services Inter-realm: Beziehungen zwischen unabhängigen Systemen, Partnern, Einrichtungen Durch Föderation aneinander gebunden Attribute-based: neben den üblichen Authentifizierungsattributen (Benutzername, Passwort) besteht die Möglichkeit, eigene Attribute zwecks Autorisierung zu definieren Authorization: Überprüfung von Zugriffsrechten auf Ressourcen / Dienste Web Services: Focus auf Webanwendungen, aber grundsätzlich nicht darauf beschränkt

21 Shibboleth Projekt (1) Shibboleth ist ein Internet2/MACE-Projekt (MACE = Middleware Architecture Committee for Education) Standard basierte Architektur: SAML (Shibboleth 1.3 basiert auf SAML 1.1, demnächst auch SAML 2.0) Shibboleth entwickelt eine Architektur (Framework, Komponenten, Protokolle) Richtlinien-Strukturen und eine Open Source-Implementierung für den einrichtungsübergreifenden Zugriff auf geschützte (Web-)Ressourcen

22 Shibboleth Projekt (2) Bildung von Föderationen von Einrichtungen / Ressourcen stehen im Vordergrund Entwicklung eines Single-Sign-On Verfahrens Zugriffskontrolle basierend auf individuell definierbaren Attributen Betonung auf der Wahrung der Privatsphäre

23 Shibboleth Komponenten Identity Provider Service Provider (Ressource) WAYF Dienst (Lokalisierungsdienst)

24 Die Aufgaben des Identity Providers An identity provider maintains user credentials and attributes [Cantor] User credentials Benutzername / Passwort Attributes Eigenschaften einer Person (z.b. Teilnehmer des Seminars Telekommunikation) Komponenten: Handle Service (HS) Attribute Authority (AA) Attribute Release Policies (ARP)

25 Beispiel Implementierung eines Identity Providers Apache mod_jk Authentifizierung über Tomcat oder Apache schützt SSO (HS) Benutzerdaten Horizon SQL Tomcat HS LDAP... AA ARP Shibboleth- Komponenten Autorisierung Richtlinien für die Freigabe von Attributen

26 Aufgaben des Service Providers Schutz der Ressourcen Kontaktaufnahme zum Identity Provider (via WAYF) Überprüfung der Attribute Freigabe der Ressource Komponenten: Shibboleth Indexical Reference Establisher (SHIRE) Shibboleth Attribute Requester (SHAR) Resource Manager (RM)

27 Beispiel Implementierung eines Service Providers Benutzer authentifiziert? fragt Attribute bei der AA ab SHIRE SHAR Apache RM Ressourcen definiert, welche Attribute für den Zugriff auf die Ressourcen erforderlich sind AAP kontrolliert den Zugriff auf die Ressourcen

28 Phase 1: Benutzeranfrage und Weiterleitung zum WAYF WAYF 3. HTTP Response: IdP auswählen Benutzer 2. HTTP Redirect zum WAYF 1. HTTP Request: Ressource anfragen Identity Provider HS AA Föderation SHIRE SHAR Service Provider Authentifizierung Autorisierung

29 5. HTTP Redirect zum IdP Phase 2: Auswahl des Identity Providers und Authentifizierungsanfrage 4. HTTP Response: Auswahl des IDP WAYF Benutzer 6. HTTP Request: Username/ Passwort Identity Provider HS AA Föderation SHIRE SHAR Service Provider Authentifizierung Autorisierung

30 Beispiel für eine Authentifizierungsbestätigung <saml:assertion...> <saml:conditions NotBefore=" T09:17:02Z" NotOnOrAfter=" T09:27:02Z"> <saml:audiencerestrictioncondition> <saml:audience> </saml:audiencerestrictioncondition> </saml:conditions> <saml:authenticationstatement AuthenticationInstant=" T09:22:00Z" AuthenticationMethod="urn:oasis:names:tc:SAML:1.0:am:password"> <saml:subject> <saml:nameidentifier Format="urn:mace:shibboleth:1.0:nameIdentifier" Empfänger NameQualifier=" 3f7b3dcf ecd-92c8-1544f346baf8 </saml:nameidentifier> <saml:subjectconfirmation> <saml:confirmationmethod> urn:oasis:names:tc:saml:1.0:cm:bearer </saml:confirmationmethod> </saml:subjectconfirmation> </saml:subject> </saml:authenticationstatement> </saml:assertion> Handle Zeitstempel Authentifizierungsmethode

31 Phase 3: Zugriff auf Ressource 7. HTTP Response: Username/ Passwort WAYF Benutzer Föderation 8. Authentifizierung 9. Erzeugen des Handles Identity- Provider HS AA 10. HTTP Redirect: Senden des Handles SHIRE SHAR Service- Provider Authentifizierung Autorisierung

32 Phase 4: Handle und Attribute Austausch WAYF Benutzer Föderation 11. Server-to-Server: Rücksenden des Handles / Anfrage der Attribute 13. Server-to-Server: Senden der Attribute 12. Überprüfung des Handles Identity- Provider HS AA SHIRE SHAR Service- Provider 14.Überprüfung der Attribute / Entscheidung über Zugriff auf Ressource Authentifizierung Autorisierung

33 Aus Sicht des Identity Providers: Einbindung neuer Ressourcen in das eigene Angebot ist sehr einfach Alle Komponenten sind Open Source und stehen kostenfrei zur Verfügung Fazit Aus Sicht des Service Providers: Einbindung neuer Ressourcen in das eigene Angebot ist einfach keine eigene Benutzerverwaltung erforderlich Ressourcen können dennoch differenziert geschützt werden Aus Sicht des Benutzers: Single Sign-on alle Ressourcen können mit einem einzigen Account und nach nur einmaliger Authentifizierung genutzt werden Nutzung der Ressourcen ist unabhängig von Standort und Zugriffsweg möglich Datenschutz wird respektiert

34 Übersicht 1. Identity Management 2. Federated Identity Management 3. Konzepte von Shibboleth 4. Testbetrieb im Netzwerk-Labor

35 [CISTI] Canada Institute for Scientific and Technical Information (CISTI), besucht im Januar 2006 Quellen [Cantor] S. Cantor, Shibboleth Architecture: Protocols and Profiles, [Internet2] Internet2 Shibboleth Projekt, [Lexitron] Lexitron Das Fachlexikon der IT-Begriffe, [Liberty] Liberty Alliance Project, [Microsoft] Microsoft Identity and Access Management, [SAML], [SWITCH] Swiss Education and Research Netzwork (SWITCH), [WS-Federation] Web Services Federation,