Kobil Roundtable Identity Federation. Konzepte und Einsatz

Größe: px

Ab Seite anzeigen:

Download "Kobil Roundtable 2013. Identity Federation. Konzepte und Einsatz"

Oldwig Kneller
vor 8 Jahren
Abrufe

1 Kobil Roundtable 2013 Identity Federation Konzepte und Einsatz

3 Basel, 23. Oktober

4 AD domain controller AD domain controller csi-domäne File server Exchange server Basel, 23. Oktober cnlab-domäne

5 Basel, 23. Oktober

6 Basel, 23. Oktober

7 Alle diese Beispiele zeigen «Federations» Was ist Federation? Wie funktioniert Federation? Basel, 23. Oktober

8 Identity Federation Basel, 23. Oktober

9 Authentisierung mittels Pass Reisender Türkische Passbehörde Schweizer Zoll «Ich traue dir» «so sieht unser Pass aus» «gib mir einen Pass» Prüft Identität des Reisenden Pass vorzeigen Zöllner prüft Pass Identität des Reisenden wird anerkannt Basel, 23. Oktober

einen Pass» Prüft Identität des Reisenden Pass vorzeigen Zöllner

10 Authentisierung mittels SAML User Identity Provider Service Provider Identity Federation Schlüssel «logge mich ein», Benutzername, Passwort «Benutzername» ist eingeloggt, Token Prüft Benutzername und Password «Benutzername» ist eingeloggt, Token Prüft Token User ist eingeloggt Basel, 23. Oktober

«Benutzername» ist eingeloggt, Token Prüft Benutzername und Password

11 Auch verwendet für Bibliotheken Zugang zu Journals Wohnungsvermittlungen e-learning Plattformen Stellen- /Praktikavermittlung etc. der Hochschulen. Basel, 23. Oktober

12 Basel, 23. Oktober

Authentisierung mittels OAuth User Identity Provider Service Provider Schlüssel Akzeptiert FB als IP «lass mich rein» «gib mir beschränkten Zugriff auf dein Konto beim Facebook» «gib Skype

13 Authentisierung mittels OAuth User Identity Provider Service Provider Schlüssel Akzeptiert FB als IP «lass mich rein» «gib mir beschränkten Zugriff auf dein Konto beim Facebook» «gib Skype beschränkten Zugang» Benutzername, Passwort Token Facebook prüft Benutzername und Password «lass mich rein», Token «gib mir beschränkten Zugang» Prüft Token «Zugang ok», Benutzerdaten Prüft «ok» User ist eingeloggt Basel, 23. Oktober

Benutzername, Passwort Token Facebook prüft Benutzername und Password «lass mich rein», Token «gib mir

14 Basel, 23. Oktober

15 Kerberos: eine Art Federation innerhalb der Domäne AD domain controller File server Exchange server Basel, 23. Oktober cnlab-domäne

16 Kerberos User Domänen-Kontroller Authentication Server Ticket Granting Server Schlüssel Application Server «logge mich ein» Benutzername, Passwort Ticket Granting Ticket Prüft Benutzername und Passwort «gib mir ein Service Granting Ticket» Ticket Granting Ticket Service Granting Ticket Prüft Ticket Granting Ticket «Gib Service», Service Granting Ticket Prüft Service Granting Ticket Erbringt Service Basel, 23. Oktober

ein Service Granting Ticket» Ticket Granting Ticket Service Granting Ticket Prüft Ticket Granting Ticket

17 Begriffe zu Identity Federation Identity Provider Asserting Party SAML Authority Google Facebook Twitter Xing MySpace PayPal VeriSign Microsoft Active Directory SuisseID Yahoo LinkedIn Skype Service Provider Relying Party Wikitravel Behörden (e-goverment) The Guardian The Economist Stackoverflow buch.ch etc. OpenID OAuth SAML Protokolle Kerberos Shibboleth Radius Basel, 23. Oktober

Service Provider Relying Party Wikitravel Behörden (e-goverment) The Guardian The Economist

18 Service Provider Apple Microsoft The Economist Stackoverflow The Guardian PC Advisor Wer bietet was im Internet? Identity Provider Apple ID Microsoft Account ( ) 18

19 SuisseID als Identity Provider E-Portal verschiedener Gemeinden (Aesch, Altstätten, Amden, Amriswil, Andwil, Arbon, Au, B...) Behörden Brack Electronics buch.ch Post KPT SECO Die SuisseID-CA: auch eine Art Federation Post SuisseID Mobile Services: ein «klassischer» Identity Provider Basel, 23. Oktober

20 Chancen und Risiken von Identity Federation Vereinfachtes ID-Management für den User Vereinfachtes Authentiserungsverfahren für den Service Provider Komfort durch Single Sign-on Sicherheitsmängel beim Identity Provider geben Zugang zum Service Provider Missbrauch von verwaisten Zugängen Fehlende Sperrung Fehlender Passwortwechsel Unerwünschtes Verhalten des Identity Provider: muss mich korrekt authentisieren darf nicht auf meine Service Provider zugreifen darf Dritten keinen Zugang auf meine Service Provider geben Problem der Verkettung mit einem erfolgreichen Angriff erlangt der Angreifer Zugang zu diversen Diensten Basel, 23. Oktober

Passwortwechsel Unerwünschtes Verhalten des Identity Provider: muss mich korrekt authentisieren darf nicht auf meine Service Provider zugreifen darf Dritten

21 Danke Esther Hänggi

Ähnliche Dokumente

!"#$"%&'()*$+()',!-+.'/',

!#$%&'()*$+()',!-+.'/', Soziotechnische Informationssysteme 7. OAuth, OpenID und SAML Inhalte Motivation OAuth OpenID SAML 4(5,12316,7'.'0,!.80/6,9*$:'0+$.;.,&0$'0, 3, Grundlagen Schützenswerte Objekte Zugreifende Subjekte Authentifizierung!