Di 8.3. Windows CardSpace und das Identity Metasystem Philosophie, Technik und Praxis. Dominick Baier

Transkript

1 Di 8.3 January 21-25, 2008, Munich, Germany ICM - International Congress Centre Munich Windows CardSpace und das Identity Metasystem Philosophie, Technik und Praxis Dominick Baier

2 In-depth support and consulting for { software architects and developers } Windows CardSpace und das Identity Metasystem Philosophie, Technik und Praxis Dominick Baier thinktecture dominick.baier@thinktecture.com Agenda Warum? Identity Metasystem Windows CardSpace Beispiele 2

3 Offline Authentifizierung???! Authority Web Service Browser Web Server 3 Online Authentifizierung Meist mit Benutzername/Passwort Gemeinsame Geheimnisse Missbrauch sehr einfach Identity Silos 4

4 Identity silos!

5

6

7

8

9 15 Anwendungs-zentrisch 16

10 Benutzer-zentrisch 17 Identity Systeme Zentralisierter (single) Sign-On und Datenspeicherung Microsoft Live ID Yahoo ID Google Account Liberty 18

11 Identity Metasystem Kein Identity-System funktioniert für jeden Viel mehr wird ein übergeordnetes System benötigt Kompatibilität vorausgesetzt WS-* Protokolle Standard Token Formate (z.b. SAML) Basiert auf den 7 Laws of Identity 19 7 Laws of Identity User control and consent Minimal disclosure Justifiable parties Directional identity Multiple operators and technologies Human integration Consistent experience across contexts 20

12 Identity Ecosystem 21 Authentifizierung mit WS-Sec Token E S Contract & Policies X509 SAML Kerberos XrML Custom 22 X509 Certificate Private Key

13 Tokens und Claims Claims sind Zusatzinformationen über einen Benutzer Name, Adresse, Alter Claims werden in Tokens transportiert = 23 Identity Metasystem Spieler Benutzer Relying Party Identity Provider 24

14 Beispiel: Login Benutzer trigg e r Login Relying Party Identity Provider Auswählen einer Identität Benutzer Identity Provider Relying Party

15 Token anfordern Benutzer Auth : X509, Kerb, SIC, U/PWD Relying Party Identity Provider Token übermitteln Benutzer Identity Provider Relying Party

16 Windows CardSpace sog. Identity Selector imitiert den Geldbeutel Bestandteil von.net 3.0 (XP, Vista, Server 2003/8) Information Cards Self-Issued Managed Bob s Card Bank/Government/CC Benutzt einen lokalen STS Daten sind lokal gespeichert Vergleichbar mit Visitenkarte Drittanbieter STS Kreditkarte, Regierung Lokal nur Metadaten vorhanden

17 Information Card Aus Sicht des Benutzers Daten über mich Name, Adresse, Telefon Daten über eine (Geschäfts) Beziehung Frequent Flyer / Fluggesellschaft Kreditkarte / Bank Einwohner / Regierung Evtl. zusätzliche Authentifierung erforderlich SmartCard Windows Domänen Logon Information Card Aus Sicht des Computers Token Format SAML, Kerberos STS Informationen Adresse Metadaten Policy Authentifizierungs Informationen Zertifikate ID Windows Account

18 Information Cards und Phishing Public Key signiert von Private Key PPID Surname Givenname Seite die Ebay phischt dynamisch erzeugt Benutzer Eingaben Anwendungs-Integration APIs befinden sich im.net Framework seit Version 3.0 System.IdentityModel WCF Integration ASP.NET Unterstützung Java, PHP, Ruby Frameworks Browser Plugins IE, Firefox, Safari 34

19 Beispiele Microsoft Live Logon z.b. Hotmail Otto Versand SignOn.com Experian.co.uk 35 Zusammenfassung Das Identity Metasystem kann einige Probleme lösen Identity Silos Phishing Interoperabilität CardSpace ist die Microsoft/Windows Implementierung eines Identity Selectors Aber auch noch ein paar Probleme Mobilität von Karten Verfügbarkeit von (kommerziellen) Identity Providern

20 Ressourcen Dominick Baier Weblog Dominick Baier thinktecture 37 Ressourcen Mein Blog ASP.NET Identity Selector Control ASP.NET Toolkit Identity Selector Interop Profile Specification Implementers Guide to Identitiy Selector Interop Guide to integrate CardSpace in Web Applications Web Application Design Patterns for CardSpace

21 Ressourcen Ruby on Rails support (RP) Java support (RP) Firefox plugin Safari plugin Dominick Baier und thinktecture Wir unterstützen Software-Entwickler und Architekten bei der Realisierung von.net- und Web Services-Projekten Wir versuchen, am Puls der Zeit zu bleiben und gleichzeitig die heutigen Probleme mit heutiger Technologie zu lösen Meine Spezialgebiete sind Sicherheit in verteilten Anwendungen, Identitäts-Management sowie die Windows/.NET Sicherheits-APIs und Technologien 40

22 In-depth support and consulting for { software architects and developers } christian.weyer@thinktecture.com 41