Accelerate your esales in the Digital Marketplace.

Größe: px

Ab Seite anzeigen:

Download "Accelerate your esales in the Digital Marketplace."

Mina Bruhn
vor 8 Jahren
Abrufe

1 Accelerate your esales in the Digital Marketplace. Shibboleth auf Umwegen Ein Erfahrungsbericht über die Integration eines Service Providers in ein hochverfügbares Multi Softwareportal System 6. Oktober 2009 Jörgen Dahlke Diplom-Informatiker

2 Gliederung - Was wird vorgestellt? asknet AG Steckbrief Motivation für den Einsatz von Shibboleth Technische Umsetzung Ausblick

3 asknet AG: Steckbrief 1995 als Spin-Off von der Universität Karlsruhe gegründet Versorgte die Universität bzw. das Rechenzentrum mit Software Spezialisierung auf Software-Vertrieb über das Internet (als erstes Unternehmen Deutschlands) Weitere Universitäten und Rechenzentren kamen als Kunden im Laufe der Jahre hinzu Inzwischen werden unsere Software-Portale von nahezu 80% aller deutschen Universitäten genutzt Page 3

4 asknet AG: Softwareportale Jede Universität / Rechenzentrum besitzt einen eigenes Software-Portal mit eigenen Produkten und Angeboten Mehr als fünfzig Portale Page 4

5 Gliederung - Was wird vorgestellt? asknet AG Steckbrief Motivation für den Einsatz von Shibboleth Technische Umsetzung Ausblick

Motivation Portale haben grundsätzlich erstmal keine Single-Sign-On Anbindung Unabhängige Accountverwaltung, völlig losgelöst vom jeweiligen Universitätsaccount Motivation 1:

6 Motivation Portale haben grundsätzlich erstmal keine Single-Sign-On Anbindung Unabhängige Accountverwaltung, völlig losgelöst vom jeweiligen Universitätsaccount Motivation 1: Vereinfachung des Login-Prozess für den Kunden Web 2.0 Single-Sign-On Technologien Shibboleth (SAML) Open ID Microsoft Cardspace Motivation 2: Einstieg in die neuen Single-Sign-On Standards Page 6

7 Motivation Zugriff auf das Portal sollen nur bestimmten Personen haben (Unversitätsangehörige, Studenten, Mitarbeiter) Nutzer besitzen oft verschiedene Berechtigungen Software zu erwerben z.b. Spezielle Microsoftrabatte für Studenten Wie wird überprüft, für welche Ressourcen jemand berechtigt ist? Per Post, oder Fax eine schriftliche Bestätigung der Universität Anschließend wird der Account des Studenten / Mitarbeiters mit entsprechenden Berechtigungen versehen Motivation 3: Prozessoptimierung Wartezeit für den Nutzer auf Null reduzieren Fehler minimieren, Personal entbinden Page 7

8 Motivation Anfrage der Universität Tübingen, ob man gemeinsam eine Authentifizierung und Authorisierung mit Shibboleth 2 realisieren können Motivation 4: Anfrage und später Projekt mit dem ZDV der Universität Tübingen Danke! Page 8

9 Gliederung - Was wird vorgestellt? asknet AG Steckbrief Motivation für den Einsatz von Shibboleth Technische Umsetzung Ausblick

10 Umsetzung - Vorbedingungen Sind ein ServiceProvider; IdP übernimmt die Accountverwaltung der Universität Auf unseren Webservern laufen mehr als einhundert Systeme, welche ständig verfügbar sein müssen (24 / 7) Kein Linuxserver / kein Servercluster / kein IIS noch nicht auf Shibboleth-SP getestet wollten eine Lösung, welche nur die laufenden Systeme gar nicht oder höchstens minimal beeinflußt eigener Linux-Server mit Shibboleth-SP ohne direkte Koppelung an das bestehende System Page 10

11 Umsetzung - Vorbedingungen Wunsch: Shibboleth Lösung später auf andere Software-Portale erweiterbar Kundenmigrierung bekannte Kunden sollen sich mit ihren IdP Credentials in ihren schon bestehenden Account einloggen können Shibboleth dient so sowohl der Authentifizierung des Nutzers im Software-Portal als auch der Authorisierung für Nutzer mit besonderen Berechtigungen Shibboleth 2 - Service Provider Page 11

12 Umsetzung - Überblick (1) Nutzer greift auf das Softwareportal zu (2) Applikation wird aufgerufen und initiiert eine lazy Session auf einem anderen Server (3) + (4) SAMLRequest des SP an den IdP und die Response (5) SAMLResponse wird von CGI auf ServiceProvider auswertet und die Attribute an PortalServer geschickt (6) Nutzer erhält Zugriff auf Ressource abhängig von Attributen Page 12

13 Umsetzung - Detail Wenn der Nutzer vom IdP mit einer Antwort zurückkehrt, werden die Attribute wie üblich vom SP als Serverumgebungsvariablen zur Verfügung gestellt und von einem serverseitigen Script (Return URL) auf dem SP-Server ausgelesen Das Script auf dem Serviceproviderserver schickt den Nutzer zusammen mit den Attributswerten als URL Parameter zurück zum eigentlichen Portal Page 13

14 Umsetzung Mit Hilfe des signierten Hashs kann die Applikation Manipulationen der Attribute durch den Nutzer erkennen Somit ist die Integrität der Daten gesichert Zwischen Portalserver und Serviceprovider werden die Daten mit SSL-Verschlüsselung übertragen Zusätzlich zu den Daten (Attribut-Wert-Paare) wird jedoch ebenfalls ein signierter Hash der Werte übertragen Auch gegen Replay-Attacks gesichert nur korrekt authentifizierte und authorisierte Nutzer können sich im Portal anmelden beziehungsweise erhalten die Berechtigungen und den Zugriff auf die Ressourcen, die ihnen zustehen Page 14

15 Umsetzung - Gesamtbild Einzige Änderungen sind in der speziellen Software-Portal-Applikation und auf dem Shibbolethserver Minimal invasiv für andere Software-Portale Shibboleth SP und Proxy können so theoretisch beliebig viele Portale bedienen Page 15

16 Gliederung - Was wird vorgestellt? asknet AG Steckbrief Motivation für den Einsatz von Shibboleth Technische Umsetzung Ausblick

17 Ausblick Stand: im Live Betrieb mit der Uni Tübingen Arbeiten noch an automatische Überwachung Shibboleth-Anbindung an weitere Universitäten ist in Planung Auffüllen der Nutzerdaten (z.b. für Lieferadressen) soweit wie möglich über Attribute Natürlich datenschutztechnisch brisant, deshalb konfigurierbar nach IdP Kein Identity Provider in Planung Page 17

18 Thank you for your attention! Tack Gracias Vielen Dank Merci ありがとうございます Bedankt спасибо Tak 谢谢 Thank You ευχαριστώ 감사합니다 Kiitos Takk Grazie Dziękujemy Obrigado Jörgen Dahlke Diplom Informatiker Phone: +49 (0)721 / asknet AG Vincenz-Priessnitz-Str Karlsruhe, Germany Page 18

Ähnliche Dokumente

Webalizer HOWTO. Stand: 18.06.2012

Webalizer HOWTO. Stand: 18.06.2012 Webalizer HOWTO Stand: 18.06.2012 Copyright 2003 by manitu. Alle Rechte vorbehalten. Alle verwendeten Bezeichnungen dienen lediglich der Kennzeichnung und können z.t. eingetragene Warenzeichen sein, ohne