Ein Security Token Service (STS) ist ein

Größe: px
Ab Seite anzeigen:

Download "Ein Security Token Service (STS) ist ein"

Transkript

1 Security Token Services mit dem Geneva-Framework implementieren Bitte ein Security-Token Das Geneva-Framework vereinfacht die Implementierung eines Security Token Service. Es unterstützt Protokolle wie WS-Federation und WS-Trust und bietet eine nahtlose Integration in ASP.NET und WCF. dotnetpro gibt hier eine Übersicht über die Architektur des Frameworks. Ein Leitfaden hilft bei sicherheitsrelevanten Entscheidungen. Auf einen Blick Dominick Baier ist unabhängiger Sicherheitsberater bei thinktecture. Er unterstützt Unternehmen beim Entwickeln von sicheren verteilten Anwendungen, Code Reviews und Content Development. Er leitet Trainings bei DevelopMentor und ist Developer Security Microsoft MVP. Seinen Blog finden Sie unter Inhalt Die Architektur der Geneva Security Token Services kennenlernen. Sicherheitsrelevante Entscheidungen überlegt treffen. Security Token Services in ASP.NET und WCF integrieren. Grundlagen Geneva-Grundlagen, QdnpCodeA0905STS Claimbasierte Anwendungen erstellen, QdnpCodeA0907Geneva dnpcode A0911Geneva Ein Security Token Service (STS) ist ein Dienst, welcher Security-Token erzeugt. Clients können Security-Token anfordern, um sich danach bei den sogenannten Relying Parties damit zu authentifizieren. Die ersten beiden Teile dieser Artikelserie haben bereits ausführlich die Gesamtarchitektur eines solchen Systems sowie die Verarbeitung von Token in Relying Parties beleuchtet, [1] und [2]. Dieser Artikel konzentriert sich ausschließlich auf das Erstellen von Token sowie die Integration von Token-Services in ASP.NET und WCF. Das Geneva-Projekt [3] bietet grundsätzlich zwei Alternativen für Security Token Services. Zum einen den Geneva-Server, ein IT-Infrastrukturprodukt, das Token für Active-Directory-Benutzer erzeugen kann. Zum anderen bietet das Geneva-Framework die gesamte Basisinfrastruktur zur Erstellung eigener Token-Services. Ehe man den Schritt macht, einen eigenen Token-Service zu implementieren (dies ist immerhin eine zentrale, sicherheitskritische Komponente), sollte man genau prüfen, ob der Geneva-Server oder das Produkt eines Drittanbieters nicht bereits die gewünschten Features bieten. Aufgabe eines Security Token Service ist das Erstellen von Security-Token. Diese Token können wiederum Claims enthalten. Die Teilaufgaben können in folgende logische Phasen unterteilt werden: Authentifizierung des Clients, Auswerten der Token-Anfrage, Erzeugen der Claims, Erzeugen des Tokens, Erzeugen der Antwort auf die Token-Anfrage. Authentifizierung des Clients: Ein STS benutzt ein beliebiges Authentifizierungsprotokoll, um die Identität des Clients sicherzustellen. Als typische Vertreter wären hier HTTP-basierte Authentifizierung, Kerberos oder WS-Security zu nennen. Das Ergebnis der Authentifizierung ist eine eindeutige Benutzerkennung, die in den nachfolgenden Phasen für die Erzeugung von Claims und für sicherheitsrelevante Entscheidungen verwendet wird. Auswerten der Token-Anfrage: Die weitaus komplexeste Aufgabe eines Identity-Providers ist die Auswertung der Token-Anfrage. Je nach verwendetem Protokoll kann diese Anfrage mehr oder weniger Detailinformationen über das gewünschte Token beinhalten. Zum einen kann der RST (RequestSecurityToken) technische Details enthalten, zum Beispiel Token-Typ (beispielsweise SAML 1.1 oder SAML 2.0), Schlüsseltypen (symmetrisch oder asymmetrisch), Schlüssellängen. Weiterhin kann der RST auch die ID einer Information Card oder eine Liste erforderlicher und optionaler Claims übermitteln. Im Zusammenspiel mit allen anderen Parametern muss der Security Token Service dann entscheiden, ob diese Anfrage zulässig ist. Einer der wichtigsten Phasen bei der Auswertung der Anfrage ist das Ermitteln der Relying Party, für welche das Token bestimmt ist. Dabei muss der STS grundlegende Entscheidungen treffen: Sind beliebige oder lediglich registrierte Relying Parties zugelassen? Werden anonyme Relying Parties unterstützt? Werden Sicherheitsschlüssel im Voraus ausgehandelt? Wird die Verwendung von SSL beziehungsweise Verschlüsselung von Token erzwungen? WS-Trust erlaubt es zum Beispiel, die Relying Party über ein Zertifikat zu authentifizieren, während WS-Federation typischerweise nur eine Zeichenkette als Identifier verwendet. Hier muss je nach dem vorliegenden Sicherheitsbedürfnis eine entsprechende Richtlinie etabliert werden. Erzeugen der Claims: In dieser (optionalen) Phase werden Claims, welche den Benutzer beschreiben, erzeugt, um später in das Token eingebettet zu werden. Bei der Erzeugung von Claims kommen typische Muster zum Einsatz: fester Satz von Claims, unabhängig von Benutzer und Relying Party, Erzeugung von Claims in Abhängigkeit von der Relying-Party-Identität, Erzeugung von Claims, basierend auf der Liste der gewünschten Claims im RST

2 Erzeugen des Tokens: In dieser Phase werden die Claims sowie etwaige Schlüssel in ein Token verpackt. Verschiedene Faktoren spielen hier eine Rolle: Der angefragte Token-Typ muss von dem Identity-Provider und dem verwendeten Protokoll unterstützt werden. Im Fall von SAML-Token wird der Relying Party Identifier als Audience-URI eingebettet. Damit kann die Relying Party überprüfen, ob das Token auch wirklich für sie bestimmt ist. Token werden typischerweise verschlüsselt. Dadurch wird erreicht, dass das Token, unabhängig vom benutzten Transportmedium, vor Einsicht geschützt ist. Zudem können nur Empfänger mit dem entsprechenden Schlüsselmaterial das Token wieder entschlüsseln. Zuletzt wird das Token vom STS digital signiert. Das gewährleistet die Integrität und erlaubt der Relying Party, den Herausgeber des Tokens zu authentifizieren. Erzeugen der Token-Antwort (RSTR): Das Token wird in dieser Phase in eine Token- Antwortnachricht verpackt und an den Client zurückgesandt. Abhängig vom verwendeten Protokoll geschieht das über eine SOAP-Nachricht oder über einen reinen HTTP-POST-Aufruf. Architektur Security-Token können über diverse Protokolle angefragt (etwa WS-Federation oder WS-Trust) und in verschiedenen Formaten ausgeliefert werden (zum Beispiel SAML 1.1/2.0). Das Geneva-Framework hat den Anspruch, eine Basisarchitektur für Security Token Services bereitzustellen, die von diesen technischen Details abgekoppelt ist. Die Geneva-STS-Infrastruktur besteht aus einer Handvoll erweiterbarer Klassen, die von der Bearbeitung einer Token-Anfrage und der damit verbundenen Erzeugung eines Tokens abstrahieren. Diese Infrastruktur ist hostunabhängig und wird über öffentliche Erweiterungspunkte in einen konkreten Host eingebunden werden.von Haus aus liefert Geneva eine vorgefertigte Integration für ASP.NET und WCF. Abbildung 1 gibt eine Übersicht über die involvierten Klassen und ihre Beziehung untereinander. Im Nachfolgenden wird die Aufgabe der Klassen genauer untersucht. Generell ist zu sagen, dass das gesamte Geneva-Framework auf Erweiterbarkeit hin entworfen wurde. Alle angesprochenen Komponenten sind öffentliche Klassen mit Erweiterungspunkten. Dies macht das Framework [Abb. 1] Die Architektur der Geneva Security Token Services. sehr flexibel. Die Klasse SecurityTokenServiceConfiguration beschreibt alle konfigurierbaren Aspekte des STS, zum Beispiel: Herausgeber-URI, Standard-Signaturzertifikat, Standard- und unterstützte Token-Typen, Standard- und Maximallebensdauer von Token, Standard- und Maximal-Schlüssellängen, die STS-Implementierung. Über die Konfigurationsklasse kann der STS über die statische Methode CreateSecurityTokenService() erzeugt und konfiguriert werden. Die Konfiguration kann sowohl pur in Code als auch auf Basis einer XML-Konfigurationsdatei erzeugt werden. Die Klasse RequestSecurityToken abstrahiert eine Token-Anfrage. Diese Klasse ist bewusst protokollunabhängig gehalten, erlaubt aber direkten Zugriff auf die üblichen WS-Trust-/WS-Federation- sowie Identity- Metasystem-Spezifika, zum Beispiel: AppliesTo/Realm Adresse, RepliesTo-Adresse, Context, AuthenticationType, Token-Typ, Lebensdauer, Verschlüsselungs- und Signaturalgorithmen, Schlüsselarten und -größen, Claims-Anforderungen, Information Card ID, Clientpseudonym, Display-Token. Über Erweiterungspunkte lassen sich auch zukünftige Protokollanforderungen realisieren. Der Benutzer, der die Token-Anfrage initiiert hat, wird über ein Standard-IClaims- Principal modelliert. Diese Identität wird vom STS verwendet, um sicherheitsrelevante Entscheidungen zu treffen und um Claims zu erzeugen. Die Antwort auf eine Token-Anfrage ist in der Klasse RequestSecurityToken94Response abgebildet. Auch hier ist der direkte Zugriff auf die WS-Trust- und WS-Federation-Eigenschaften erlaubt, zum Beispiel: Security-Token, Proof-Token, Display-Token, Token-Referenzen. Die Klasse SecurityTokenService hat die Aufgabe, die Token-Anfrage in eine Token- Antwort umzuwandeln. Dazu existiert eine erweiterbare Verarbeitungspipeline, die es erlaubt, die involvierten Teilschritte für die eigenen Bedürfnisse anzupassen. Diese Klasse wird genauer im Abschnitt über die Token-Erzeugung untersucht. Ein SecurityTokenDescriptor ist eine technologieunabhängige Beschreibung eines Security-Tokens. Der Descriptor wird vom STS erzeugt und an einen SecurityToken- Handler weitergegeben, welcher dann letztendlich einen konkreten Security-Token erzeugt. Security Token Services verwenden SecurityTokenHandler, um Security-Token zu erzeugen. Diese werden vom STS in die Token-Antwort eingebettet. SecurityToken ist die Abbildung eines Security-Tokens im.net Framework. Geneva sowie.net selbst stellen diverse Bibliotheken zur Verfügung, um die Token in diverse Kabelrepräsentierungen zu serialisieren beziehungsweise zu deserialisieren

3 _Security Token Services mit dem Geneva-Framework implementieren [Abb. 2] STS-Integration in ASP.NET. [Abb. 3] STS-Integration in WCF. Der Host Integration Layer besteht aus Modulen und Erweiterungen für ASP.NET und WCF. Hier werden die hostingspezifischen Anfragen in das RST/RSTR-Format umgewandelt. Der Host bedient Clientanfragen und kann eine beliebige.net-anwendung sein. Token-Erzeugung Die benutzerdefinierte Logik in einem STS ist hauptsächlich in der Klasse SecurityTokenService enthalten. Diese Klasse verfügt über vier Einstiegspunkte, die die typischen Token-Anfrage-Operationen abbilden: Issue, Ausstellen eines Tokens, Renew, Verlängern eines bestehenden Tokens, Validate, Überprüfen eines Tokens, Cancel, Invalidieren eines Tokens. Für den häufigsten Fall (Issue) bietet SecurityTokenService eine vorgefertigte Pipeline, die an diversen Stellen durch eigene Logik angepasst werden kann, siehe [4] für eine ausführliche Beschreibung der Pipeline. Zwei Methoden dieser Basisklasse sind abstrakt und müssen implementiert werden. Die Aufgabe der Methode GetScope() ist es, den Request zu analysieren und, darauf basierend, ergänzende Werte wie Adressen und Schlüsselmaterial zu ermitteln. Hierfür verwendet man das RequestSecurity-Token, das in diese Methode reingereicht wird. Typische Aufgaben, die hier erledigt werden müssen, sind: Analysieren der Relying-Party-Identität. DiesenWert finden Sie auf der AppliesTo- Eigenschaft. Sie beinhaltet die Adresse sowie eventuell einen zu verwendenden Schlüssel. Es hängt von den Richtlinien für den STS ab, welche Kombination von Werten hier zulässig ist. Ermitteln von Schlüsselmaterial. Falls das resultierendetoken verschlüsselt werden soll, muss der entsprechende Schlüssel ermittelt werden. Dies geschieht entweder auf Basis einer Konfigurationseinstellung oder mithilfe des vom Client beigelegten Schlüssels. Welche Methode hier zulässig ist, entscheiden die Richtlinien für diesen STS. Protokollspezifische Arbeit. Darunter könnte das Prüfen einer übermittelten Information-Card-ID fallen oder das Setzen derws-federation-replyto-adresse. In der Methode GetOutputClaimsIdentity() wird eine IClaimsIdentity erzeugt, die die Identitätsinformationen im resultierenden Token repräsentiert. Hier muss die Entscheidung getroffen werden, wie die Benutzeridentität modelliert wird und welche Claims erzeugt werden. Dies hängt typischerweise von der Benutzer- und Relying-Party-Identität ab sowie von eventuell vorhandenen Claims-Anforderungen in der Anfrage. Die Aufgabe des Hosts ist es, physikalische Token-Anfragen entgegenzunehmen und diese in das technologieunabhängige RST/RSTR-Format zu konvertieren. Das kann zwar prinzipiell von beliebigen Hosts durchgeführt werden, das Geneva-Framework bietet aber von Haus aus eine direkte Unterstützung für ASP.NET und WCF. Die Details der Integration für die beiden Umgebungen sind sehr unterschiedlich und werden im folgenden Abschnitt genauer untersucht. ASP.NET ASP.NET-basierende Security Token Services bieten sich für passive Token-Anfragen, etwa WS-Federation, an. Hierbei wird der Token-Service in einem normalen ASP.NET- Handler, beispielsweise in einer normalen Webform, gehostet. Als Authentifizierungsmechanismus kommen ASP.NET-Bordmittel zum Einsatz (Windows Integrated, Clientzertifikate, Forms-basiert). Eine Standard- Token-Service-Host-Implementierung findet man im FederatedPassiveTokenService-Webcontrol, das auf einer Seite eingebettet werden kann, siehe Abbildung 2. Das Control benötigt den Namen der Klasse, in der die SecurityTokenServiceConfiguration zu finden ist, um den Token-Service zu aktivieren. Das Standardverhalten des Controls ist wie folgt: Auswerten der WS-Federation-Query- String-Parameter in eine SignInRequest- Message-Klasse. Erzeugen eines IClaimsPrincipals auf Basis des aktuellen von ASP.NET erzeugten IPrincipals. Hierzu wird die statische Methode ClaimsPrincipal.CreateFromPrincipal() verwendet. Diese Methode unterstützt die Konvertierung aller ASP.NET- Standard-Principals. Erzeugen von Serializern, um zwischen denws-federation-spezifischen Klassen SignInRequestMessage / SignInResponse- Message und RequestSecurityToken / RequestSecurityTokenResponsezuübersetzen. Erzeugen des Security Token Service anhand der SecurityToken Service Configuration. Aufrufen der Issue-Methode. Konvertieren des RSTR in eine SignInResponseMessage

4 Rendern der SignInResponseMessage in ein WS-Federation-POST-Formular, um die Token-Antwort zur Relying Party zu übertragen. Auch hier gilt wiederum: Alle diese Vorgänge basieren auf öffentlichen APIs und können nach Belieben angepasst werden. WCF Die Integration des Security Token Service in einen WCF-Dienst wird durch einen speziellen WCF-Service durchgeführt, WSTrustServiceContract. Dieser Service implementiert die WS-Trust-1.3- und -Feb2005-Schnittstellen und serialisiert WS-Trust-Anfragen und -Antworten in RequestSecurityToken / RequestSecurityTokenResponse. Dieser Klasse wird bei der Erzeugung eine Instanz der SecurityToken- ServiceConfiguration übergeben, damit die Token-Anfrage durch die STS-Pipeline geleitet werden kann. Das Hosten dieser Klasse wird von einem speziellen WCF-Service-Host durchgeführt dem WSTrustServiceHost. Dieser Host verlangt eine SecurityTokenServiceConfiguration zur Initialisierung und führt sämtliche Konfigurationsschritte durch, um die STS- Implementierung über SOAP/WS-Trust erreichbar zu machen. Im Vergleich zu einem Standard-WCF-Service-Host werden die folgenden zusätzlichen Schritte durchgeführt: Aktivierung der Metadata-Exchange- Endpunkte für alle verfügbaren Basisadressen. Aktivierung der Geneva-Token-Verarbeitungspipeline via FederatedService- Credentials.ConfigureHost(). Weiterhin existiert eine Service Host Factory (WSTrustServiceHostFactory), die für IIS gehostete Umgebungen den WS- TrustServiceHost erzeugt und initialisiert, siehe Abbildung 3. Ein Beispiel Das Geneva-Framework-SDK enthält diverse einfache Beispiele für Security Token Services. Diese sind zu empfehlen, um den Einstieg in die Klassenbibliothek und die Hostingtechniken zu finden. Die typischen Aufgaben eines richtigen Token-Service werden mit diesen Samples allerdings nicht herausgearbeitet. Der letzte Teil dieses Artikels verwendet den thinktecture Starter STS [5], um die Gesamtarchitektur und Coding-Strategien eines Geneva-basierenden Security Token Service zu verdeutlichen. Listing 1 Sicherheitsrichtlinien spezifizieren. <startersts sitename="thinktecture Security Token Service Starter Sample" issueruri="http://sample.thinktecture.com/trust" claimsbaseuri="http://sample.thinktecture.com/claims" requireencryption="false" requiressl="true" allowknownrealmsonly="false" enablemessagewstrust="false" enablemixedwstrust="true" /> Listing 2 Relevantes Schlüsselmaterial definieren. <certificatereferences> <!-- STS signing certificate --> <add name="signingcertificate" findvalue="58 C2" x509findtype="findbythumbprint" storelocation="localmachine" storename="my" /> <!-- encryption certificates for relying parties --> <!-- starter RP encryption certificate --> <add name="https://roadie/starterrp/" findvalue="23 B4" x509findtype="findbythumbprint" storelocation="localmachine" storename="my" /> </certificatereferences> Listing 3 Den Service konfigurieren. public class StarterTokenServiceConfiguration : SecurityTokenServiceConfiguration { public StarterTokenServiceConfiguration() : base(sts.configuration.issueruri, STS.SigningCredentials) { SecurityTokenService = typeof(startertokenservice); Listing 4 Den Token-Service in einer ASP.NET-Seite hosten. Page Title="Issue Token..." Language="C#" %> <form id="form1" runat="server"> <idfx:federatedpassivetokenservice ID="_starterTokenService" runat="server" ServiceConfiguration="StarterTokenServiceConfiguration, App_Code" /> </form> Der Starter STS ist ein einfacher Token- Service für aktive und passive Clients mit Unterstützung fürws-federation,ws-trust, SAML 1.1/2.0 sowie Information Cards. Weiterhin benutzt der STS das ASP.NET- Providermodell (Membership, Roles, Profile) für die Authentifizierung und Claims- Erzeugung. Im Nachfolgenden werden

5 _Security Token Services mit dem Geneva-Framework implementieren Listing 5 WS-Trust-Endpunkte öffnen. public class StarterTokenServiceHostFactory : WSTrustServiceHostFactory { public override ServiceHostBase CreateServiceHost( string constructorstring, Uri[] baseaddresses) { var config = CreateSecurityTokenServiceConfiguration(constructorString); var host = new WSTrustServiceHost(config, baseaddresses); Listing 6 // add and configure a message security endpoint if (STS.Configuration.EnableMessageWSTrust) { host.addserviceendpoint( typeof(iwstrust13synccontract), CreateBinding(SecurityMode.Message), "message"); var credential = new ServiceCredentials(); credential.servicecertificate.certificate = STS.SigningCertificate; host.description.behaviors.add(credential); // add and configure a mixed mode security endpoint if (STS.Configuration.EnableMixedWSTrust) {... return host; Zulässigkeit der Token-Anfrage überprüfen. protected override Scope GetScope( IClaimsPrincipal principal, RequestSecurityToken request) { // analyze RST var options = ScopeOptions.Create(request); // check if realm is allowed if (STS.Configuration.AllowKnownRealmsOnly && (!options.isknownrealm)) { throw new InvalidRequestException("Unknown realm"); // check if token must be encrypted if (STS.Configuration.RequireEncryption && (!options.usesencryption)) { throw new InvalidRequestException("No encryption key available"); // check if SSL is used (for passive only) if (STS.Configuration.RequireSSL &&!options.usesssl) { if (!options.isactive) { throw new InvalidRequestException("SSL is required"); // create scope var scope = new Scope( request.appliesto.uri.absoluteuri, SecurityTokenServiceConfiguration.SigningCredentials); scope.replytoaddress = options.replytoaddress.absoluteuri; if (options.usesencryption) { scope.encryptingcredentials = new X509EncryptingCredentials(options.EncryptingCertificate); return scope; Konfiguration Der Konfigurationsabschnitt für den Starter STS formuliert die Sicherheitsrichtlinie sowie die freigeschalteten Features, siehe Listing 1. Hier wird spezifiziert, ob Relying Parties über SSL mit dem STS kommunizieren müssen (requiressl), ob Token verschlüsselt werden müssen (requireencryption) und ob Relying Parties zuerst explizit registriert werden müssen (allowknownrealmsonly). Weiterhin können hier die aktiven WS-Trust-Endpunkte für Message und Mixed Mode Security aktiviert werden (enablemessagewstrust und enablemixed- WSTrust). Diese Konfiguration wird an diversen Stellen im STS referenziert. Weiterhin existiert einverzeichnis von relevantem Schlüsselmaterial, das für den Betrieb des STS benötigt wird, siehe Listing 2. Hier werden sowohl das Signaturzertifikat als auch Realm-zu-Public-Key-Mappings für das Verschlüsseln von Token eingetragen. Weiterhin muss eine Klasse existieren, die von SecurityTokenServiceConfiguration ableitet. Diese wird verwendet, um die Token-Erzeugungslogik aus ASP.NET und WCF aufzurufen. Im Minimum werden hier der Issuer-URI, das Signaturzertifikat sowie der Security-Token-Service-Typ spezifiziert, siehe Listing 3. Authentifizierung und Hosting Der Token-Service wird sowohl über ASP.NET (passive) als auch WCF (active) gehostet. Im passiven Fall kommt hier eine ganz normale ASP.NET-Seite mit dem FederatedPassiveTokenService-Control zum Einsatz, siehe Listing 4. Dieses Control liest die angegebene STS-Konfiguration aus, um den Token-Service zu instanzieren. Geschützt wird diese Seite mit ganz normalen ASP.NET-Bordmitteln in diesem konkreten Fall mit Forms Authentication, basierend auf dem konfigurierten Membership- Provider. Für das WCF-basierte Hosting ist es am geschicktesten, eine sogenannte Service Host Factory zu verwenden. Die Factory wird durch den Aufruf einer WCF-svc- Datei gestartet und kann die STS-Konfiguration auslesen. ServiceHost Factory="StarterTokenServiceHostFactory, App_Code" Service="StarterTokenService- Configuration, App_Code" %> einige der STS-Konzepte anhand Implementierungsdetails des Starter STS erläutert. Deswegen wird empfohlen, sich den STS bei Codeplex herunterzuladen und die Screencasts [6] und [7] über das Setup und die Features anzuschauen. Danach werden die entsprechenden WS-Trust-Endpunkte geöffnet, was durch die von Geneva bereitgestellte Klasse

6 WSTrustServiceHost erheblich vereinfacht wird, siehe Listing 5. WCF verwendet die Geneva-Security-Token-Handler-Infrastruktur für die Authentifizierung. Einer der eingebauten Handler basiert wiederum auf einem Membership- Provider, was es komfortabel erlaubt, die gleiche Anmeldelogik für ASP.NET und WCF zu verwenden (und damit auch die gleiche Benutzerdatenbank). Token-Erzeugung Die Claims- und Token-Erzeugung findet in der von SecurityTokenService abgeleiteten Klasse statt. Wie bereits erläutert, unterteilt sich dieser Vorgang in zwei Phasen: Auswerten der Token-Anfrage und Erzeugung der Claims. Das Parsen der Anfrage ist nicht ganz trivial, und es bietet sich an, diesen Vorgang zu abstrahieren. Der Starter STS verwendet eine Klasse mit Namen ScopeOptions, die die gewünschten Werte direkt als Properties zur Verfügung stellt. Weiterhin wertet die statische Methode Create die Token-Anfrage aus und setzt die oben genannten Properties (siehe im Starter STS Source Code für Details). Danach kann ScopeOptions in der Get- Scope()-Methode verwendet werden, um zu entscheiden, ob die Token-Anfrage zulässig ist, siehe Listing 6. In der Methode GetOutputClaimsIdentity werden die Claims für den Benutzer zusammengesucht und als IClaimsIdentity an Geneva zurückgeliefert. Der Starter STS verwendet den Membership-, Roles- und Profile-Provider, um die nötigen Informationen zu ermitteln, siehe Listing 7. Das von dieser Methode zurückgelieferte Claims- Principal wird danach von der Geneva-Infrastruktur in den gewünschten Token-Typ (typischerweise SAML) serialisiert. Das Geneva-Framework verfügt über ein Tool namens FedUtil.exe. Damit können Relying Parties auf einfache Art und Weise an Token-Services angedockt werden (mehr dazu im Geneva-Framework-SDK). Dazu muss der STS ein WS-Federation- Metadatendokument publizieren. Das Geneva-Framework verfügt über alle Klassen, um dieses Metadatendokument zu erstellen, und der Starter STS publiziert ein solches Dokument dynamisch in dem von der Spezifikation beschriebenen Standardverzeichnis (http://server/startersts/ FederationMetadata/ /Federation- MetaData.xml). Dies bewerkstelligt ein Standard-ASP.NET-HTTP-Handler, siehe Listing 8. Listing 7 Claims für den Benutzer zusammensuchen. protected override IClaimsIdentity GetOutputClaimsIdentity( IClaimsPrincipal principal, RequestSecurityToken request, Scope scope) { // user name and authentication information var claims = new List<Claim> { new Claim( WSIdentityConstants.ClaimTypes.Name, principal.identity.name), new Claim( ClaimTypes.AuthenticationMethod, AuthenticationType.PasswordUri), AuthenticationInstantClaim.Now ; // address string = Membership.FindUsersByName(principal.Identity.Name) [principal.identity.name]. ; if (!String.IsNullOrEmpty( )) { claims.add(new Claim(WSIdentityConstants.ClaimTypes. , )); // roles if (Roles.Enabled) { foreach (var role in Roles.GetRolesForUser(principal.Identity.Name)) { claims.add(new Claim(ClaimTypes.Role, role)); // profile data claims.addrange(getprofiledata(principal)); return new ClaimsIdentity(claims); Fazit Das Geneva-Framework verfügt über alle APIs und Einrichtungen, die für die technische Implementierung von Security Token Services benötigt werden. Wie aber in diesem Artikel gezeigt, entstehen die Schwierigkeiten beim Einsatz eines STS nicht bei der technischen Umsetzung, sondern beim Formulieren der Sicherheitsrichtlinien. Dies muss in jedem Fall vom Entwickler entsprechend implementiert werden. Weiter ist zu bedenken, dass ein STS ein wichtiger Sicherheits-Infrastrukturbaustein ist, der sowohl robust als auch verwaltbar sein sollte. Alle diese Features und noch mehr existieren bereits im Geneva-Server jedoch mit der Einschränkung, dass nur Active-Directory-Benutzer unterstützt werden. Wenn das Listing 8 Relying Parties an Token-Services andocken. kein Problem darstellt, sollte dieses Serverprodukt auf jeden Fall vor dem Schreiben eines eigenen STS evaluiert werden. [ml] [1] Milan Spalek: Wer ist das? Was darf der? dotnetpro 5/2009, Seite 84ff. QdnpCodeA0905STS [2] Dominick Baier: Claims abstecken. dotnetpro 7/2009, Seite 76ff. QdnpCodeA0907Geneva [3] [4] Dominick Baier, (SAML) Token Creation in a Geneva STS, QdnpCodeSL0910Geneva1 [5] thinktecture STS Starter Kit, [6] StarterSTS Setup and Overview, QdnpCodeSL0910Geneva2 [7] StarterSTS Advanced, QdnpCodeSL0910Geneva3 <location path="federationmetadata/ "> <system.webserver><handlers> <add name="metadatagenerator" path="federationmetadata.xml" verb="get" type="metadatagenerator, App_Code" /> </handlers></system.webserver> </location>

Di 8.3. Windows CardSpace und das Identity Metasystem Philosophie, Technik und Praxis. Dominick Baier

Di 8.3. Windows CardSpace und das Identity Metasystem Philosophie, Technik und Praxis. Dominick Baier Di 8.3 January 21-25, 2008, Munich, Germany ICM - International Congress Centre Munich Windows CardSpace und das Identity Metasystem Philosophie, Technik und Praxis Dominick Baier In-depth support and

Mehr

Sicherheitsaspekte in Service Orientierten Architekturen. Eike Falkenberg Sommersemester 2006 Anwendungen I

Sicherheitsaspekte in Service Orientierten Architekturen. Eike Falkenberg Sommersemester 2006 Anwendungen I Sicherheitsaspekte in Service Orientierten Architekturen Eike Falkenberg Sommersemester 2006 Anwendungen I Agenda SOA? Web Services? Sicherheitsrisiko Web Services Web Services & Sicherheit Sichere SOAs

Mehr

Security in.net 2.0. Thomas Stanek

Security in.net 2.0. Thomas Stanek Security in.net 2.0 2 Content 1. Verwendung 2. Überblick 3. Features im Detail a. Windows Accounts und SIDs b. Sichere Datenübertragung (SSL) c. X509 -Zertifikate d. Data Protection API (DPAPI) e. SecureStrings

Mehr

Mobile Agenten am Beispiel JADE (Java Agent DEvelopment Framework) Vorstellung in der Übung zu Konzepte Verteilter Systeme

Mobile Agenten am Beispiel JADE (Java Agent DEvelopment Framework) Vorstellung in der Übung zu Konzepte Verteilter Systeme Mobile Agenten am Beispiel JADE (Java Agent DEvelopment Framework) Vorstellung in der Übung zu Konzepte Verteilter Systeme Agenda Mobile Agenten allgemein JADE - Java Agent DEvelopment Framework Anwendungsfall

Mehr

.NET-Networking 2 Windows Communication Foundation

.NET-Networking 2 Windows Communication Foundation .NET-Networking 2 Windows Communication Foundation Proseminar Objektorientiertes Programmieren mit.net und C# Fabian Raab Institut für Informatik Software & Systems Engineering Agenda Grundproblem Bestandteile

Mehr

Digicomp Microsoft Evolution Day 2015 1. ADFS Oliver Ryf. Partner:

Digicomp Microsoft Evolution Day 2015 1. ADFS Oliver Ryf. Partner: 1 ADFS Oliver Ryf Partner: 2 Agenda Begrüssung Vorstellung Referent Active Directory Federation Services (ADFS) F&A Weiterführende Kurse 3 Vorstellung Referent Seit 1991 IT-Trainer 1995 MCSE und MCT Seit

Mehr

Web Service Security

Web Service Security Hochschule für Angewandte Wissenschaften Hamburg Fachbereich Elektrotechnik und Informatik SS 2005 Masterstudiengang Anwendungen I Kai von Luck Web Service Security Thies Rubarth rubart_t@informatik.haw-hamburg.de

Mehr

Einrichtung einer Testumgebung zur Demonstration zertifikatsbasierter Anwendungen

Einrichtung einer Testumgebung zur Demonstration zertifikatsbasierter Anwendungen Einrichtung einer Testumgebung zur Demonstration zertifikatsbasierter Anwendungen Knowlegde Guide Wien, Februar 2004 INHALT Für den Test von zertifikatsbasierten Anwendungen in einer Windowsumgebung benötigt

Mehr

RACFBroker/j. Entfernter Zugriff auf das RACF Sicherheitssystem auf IBM Mainframes über TCP/IP. RACFBroker/j ist ein Produkt der

RACFBroker/j. Entfernter Zugriff auf das RACF Sicherheitssystem auf IBM Mainframes über TCP/IP. RACFBroker/j ist ein Produkt der RACFBroker/j Entfernter Zugriff auf das RACF Sicherheitssystem auf IBM Mainframes über TCP/IP RACFBroker/j ist ein Produkt der XPS Software GmbH Eching RACFBroker/j XPS Software GmbH Untere Hauptstr. 2

Mehr

Programmiertechnik II

Programmiertechnik II X.509: Eine Einführung X.509 ITU-T-Standard: Information Technology Open Systems Interconnection The Directory: Public Key and attribute certificate frameworks Teil des OSI Directory Service (X.500) parallel

Mehr

Spezifikationen und Voraussetzung

Spezifikationen und Voraussetzung Projekt IGH DataExpert Paynet Adapter Spezifikationen Voraussetzungen Datum : 21.07.08 Version : 1.0.0.2 21.07.2008 Seite 1 von 7 Inhaltsverzeichnis 1 Einleitung... 3 2 Architektur... 3 2.1 Grundsätze

Mehr

Spezifikationen und Voraussetzung

Spezifikationen und Voraussetzung Projekt IGH DataExpert Yellowbill Adapter Spezifikationen Voraussetzungen Datum : 22.08.2013 Version : 1.0.0.2 22.08.2013 Seite 1 von 7 Inhaltsverzeichnis 1 Einleitung...3 2 Architektur...3 2.1 Grundsätze

Mehr

Oracle Enterprise Scheduler (ESS) Unleashed Carsten Wiesbaum esentri AG Ettlingen Schlüsselworte Einleitung Oracle Enterprise Scheduler (ESS)

Oracle Enterprise Scheduler (ESS) Unleashed Carsten Wiesbaum esentri AG Ettlingen Schlüsselworte Einleitung Oracle Enterprise Scheduler (ESS) Oracle Enterprise Scheduler (ESS) Unleashed Carsten Wiesbaum esentri AG Ettlingen Schlüsselworte Automatisierung, Betrieb, Middleware Einleitung Der Oracle Fusion Middleware Stack beinhaltet eine leistungsstarke

Mehr

!"#$"%&'()*$+()',!-+.'/',

!#$%&'()*$+()',!-+.'/', Soziotechnische Informationssysteme 7. OAuth, OpenID und SAML Inhalte Motivation OAuth OpenID SAML 4(5,12316,7'.'0,!.80/6,9*$:'0+$.;.,&0$'0, 3, Grundlagen Schützenswerte Objekte Zugreifende Subjekte Authentifizierung!

Mehr

ASP.NET. von Patrick A. Lorenz. 1. Auflage. ASP.NET Lorenz schnell und portofrei erhältlich bei beck-shop.de DIE FACHBUCHHANDLUNG. Hanser München 2002

ASP.NET. von Patrick A. Lorenz. 1. Auflage. ASP.NET Lorenz schnell und portofrei erhältlich bei beck-shop.de DIE FACHBUCHHANDLUNG. Hanser München 2002 ASP.NET von Patrick A. Lorenz 1. Auflage ASP.NET Lorenz schnell und portofrei erhältlich bei beck-shop.de DIE FACHBUCHHANDLUNG Hanser München 2002 Verlag C.H. Beck im Internet: www.beck.de ISBN 978 3 446

Mehr

SharePoint Security Einführung in das SharePoint Sicherheitssystem. Fabian Moritz MVP Office SharePoint Server

SharePoint Security Einführung in das SharePoint Sicherheitssystem. Fabian Moritz MVP Office SharePoint Server SharePoint Security Einführung in das SharePoint Sicherheitssystem Fabian Moritz MVP Office SharePoint Server 1 Agenda SharePoint Identitäten Authentifizierungsverfahren Benutzer, Gruppen und Rollen Heraufstufung

Mehr

(c) 2014, Peter Sturm, Universität Trier

(c) 2014, Peter Sturm, Universität Trier Soziotechnische Informationssysteme 6. OAuth, OpenID und SAML Inhalte Motivation OAuth OpenID SAML 1 Grundlagen Schützenswerte Objekte Zugreifende Subjekte Authentifizierung Nachweis einer behaupteten

Mehr

Internet Information Services v6.0

Internet Information Services v6.0 Internet Information Services v6.0 IIS History Evolution von IIS: V1.0 kostenlos auf der CeBit 1996 verteilt V2.0 Teil von Windows NT 4.0 V3.0 Als Update in SP3 von NT4.0 integriert V4.0 Windows NT 4.0

Mehr

Benutzer- und Datensicherheit. Ralf Abramowitsch Vector Informatik GmbH abramowitsch@lehre.dhbw-stuttgart.de

Benutzer- und Datensicherheit. Ralf Abramowitsch Vector Informatik GmbH abramowitsch@lehre.dhbw-stuttgart.de Benutzer- und Datensicherheit Ralf Abramowitsch Vector Informatik GmbH abramowitsch@lehre.dhbw-stuttgart.de Authentifizierung vs. Autorisierung IIdentity vs. IPrincipal Verschlüsseln und Entschlüsseln

Mehr

RACFBroker/z. Entfernter Zugriff auf das RACF Sicherheitssystem auf IBM Mainframes über TCP/IP. RACFBroker/z ist ein Produkt der

RACFBroker/z. Entfernter Zugriff auf das RACF Sicherheitssystem auf IBM Mainframes über TCP/IP. RACFBroker/z ist ein Produkt der RACFBroker/z Entfernter Zugriff auf das RACF Sicherheitssystem auf IBM Mainframes über TCP/IP RACFBroker/z ist ein Produkt der XPS Software GmbH Eching RACFBroker/z XPS Software GmbH Untere Hauptstr. 2

Mehr

Service-Orientierte Architekturen

Service-Orientierte Architekturen Hochschule Bonn-Rhein-Sieg Service-Orientierte Architekturen Kapitel 7: Web Services IV Exkurs über Sicherheitsanforderungen Vorlesung im Masterstudiengang Informatik Sommersemester 2010 Prof. Dr. Sascha

Mehr

Microsoft Outlook Express 5.x (S/MIME-Standard)

Microsoft Outlook Express 5.x (S/MIME-Standard) Microsoft Outlook Express 5.x (S/MIME-Standard) Das E-Mail-Programm Outlook Express von Microsoft bietet Ihnen durch die Standard- Integration des E-Mail-Verschlüsselungsprotokolls S/MIME (Secure/MIME)

Mehr

JobServer Installationsanleitung 08.05.2013

JobServer Installationsanleitung 08.05.2013 JobServer sanleitung 08.05.2013 Der JobServer ist ein WCF Dienst zum Hosten von Workflow Prozessen auf Basis der Windows Workflow Foundation. Für die wird das Microsoft.NET Framework 3.5 und 4.0 vorausgesetzt.

Mehr

Benutzerverwaltung mit ASP.NET Membership

Benutzerverwaltung mit ASP.NET Membership Benutzerverwaltung mit ASP.NET Membership Dieser Artikel soll zeigen, wie man ASP.NET Membership einsetzt, um Benutzer einer Web Anwendung zu authentifizieren. Es werden sowohl Grundlagen wie die Einrichtung

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: 1. Access Point im Personal Mode (WEP / WPA / WPA2) 1.1 Einleitung Im Folgenden wird die Konfiguration des Access Point Modus gezeigt. Zur Absicherung der Daten werden die verschiedenen Verschlüsselungsalgorithmen

Mehr

Reporting Services Dienstarchitektur

Reporting Services Dienstarchitektur Reporting Services Dienstarchitektur Reporting Services Dienstarchitektur In Reporting Services wird ein Berichtsserver als ein Windows - Dienst implementiert, der aus unterschiedlichen Featurebere i-

Mehr

Veröffentlichung und Absicherung von SharePoint Extranets

Veröffentlichung und Absicherung von SharePoint Extranets Veröffentlichung und Absicherung von SharePoint Extranets Denis Holtkamp, ITaCS GmbH Senior Consultant IT-Infrastruktur Goldsponsor: Partner: Silbersponsoren: Veranstalter: Agenda Intranet Extranet-Szenarien

Mehr

Installation des Zertifikats am Beispiel eines Exchange-Mail-Servers. Voraussetzungen. Zertifikate importieren. Outlook-Webaccess

Installation des Zertifikats am Beispiel eines Exchange-Mail-Servers. Voraussetzungen. Zertifikate importieren. Outlook-Webaccess HS-Anhalt (FH) Fachbereich EMW Seite 1 von 6 Stand 04.02.2008 Installation des Zertifikats am Beispiel eines Exchange-Mail-Servers Bedingt durch die verschiedenen Transportprotokolle und Zugriffsmethoden

Mehr

Handbuch Notruf. Notrufe über Voice over IP: Grundlagen und Praxis. www.handbuch-notruf.at. Karl Heinz Wolf nic.at GmbH. Ausschnitt aus dem

Handbuch Notruf. Notrufe über Voice over IP: Grundlagen und Praxis. www.handbuch-notruf.at. Karl Heinz Wolf nic.at GmbH. Ausschnitt aus dem Karl Heinz Wolf nic.at GmbH Ausschnitt aus dem Handbuch Notruf Notrufe über Voice over IP: Grundlagen und Praxis www.handbuch-notruf.at Handbuch Notruf 3 4 IETF-Notrufarchitektur Bei der IETF wird derzeit

Mehr

MOA-ID Workshop. Anwendungsintegration, Installation und Konfiguration. Klaus Stranacher Graz, 25.06.2013

MOA-ID Workshop. Anwendungsintegration, Installation und Konfiguration. Klaus Stranacher Graz, 25.06.2013 MOA-ID Workshop Anwendungsintegration, Installation und Konfiguration Graz, 25.06.2013 Das E-Government Innovationszentrum ist eine gemeinsame Einrichtung des Bundeskanzleramtes und der TU Graz Überblick»

Mehr

Kerberos Geheimnisse in der Oracle Datenbank Welt

Kerberos Geheimnisse in der Oracle Datenbank Welt Kerberos Geheimnisse in der Oracle Datenbank Welt Helmut Eckstein Pepperl+Fuchs GmbH Mannheim Suvad Sahovic ORACLE Deutschland B.V. & Co. KG Potsdam Schlüsselworte: Oracle Datenbank Server, Kerberos, Oracle

Mehr

INFORMATION MONITOR HSM SOFTWARE GMBH CLIENT-INSTALLATION

INFORMATION MONITOR HSM SOFTWARE GMBH CLIENT-INSTALLATION INFORMATION MONITOR HSM SOFTWARE GMBH CLIENT-INSTALLATION Allgemein Infomon bietet die Architektur für das Informations-Monitoring in einer Windows- Topologie. Die Serverfunktionalität wird in einer IIS-Umgebung

Mehr

Neuerungen bei Shibboleth 2

Neuerungen bei Shibboleth 2 Neuerungen bei Shibboleth 2 Shibboleth-Workshop BW Stuttgart, 7. Februar 2008 Bernd Oberknapp Universitätsbibliothek Freiburg E-Mail: bo@ub.uni-freiburg.de Übersicht Aktueller Status Kommunikation IdP

Mehr

Social Login mit Facebook, Google und Co.

Social Login mit Facebook, Google und Co. IAM EXCELLENCE OAuth 2.0 und OpenID Connect Social Login mit Facebook, Google und Co. Stefan Bohm www.ic-consult.com Geschützte Ressourcen = Userattribute + Steuerung des Logins + Information über Login

Mehr

Sicherheitsaspekte von Web Services. Hauptseminar Rechnernetze

Sicherheitsaspekte von Web Services. Hauptseminar Rechnernetze Sicherheitsaspekte von Web Services Hauptseminar Rechnernetze Stefan Hennig sh790883@inf.tu-dresden.de 21. Januar 2005 Gliederung Einführung Überblick Sicherheit auf Netzwerk- und Transportebene XML-Sicherheit

Mehr

CARM-Server. Users Guide. Version 4.65. APIS Informationstechnologien GmbH

CARM-Server. Users Guide. Version 4.65. APIS Informationstechnologien GmbH CARM-Server Version 4.65 Users Guide APIS Informationstechnologien GmbH Einleitung... 1 Zugriff mit APIS IQ-Software... 1 Zugang konfigurieren... 1 Das CARM-Server-Menü... 1 Administration... 1 Remote-Konfiguration...

Mehr

Erstellen sicherer ASP.NET- Anwendungen

Erstellen sicherer ASP.NET- Anwendungen Erstellen sicherer ASP.NET- Anwendungen Authentifizierung, Autorisierung und sichere Kommunikation Auf der Orientierungsseite finden Sie einen Ausgangspunkt und eine vollständige Übersicht zum Erstellen

Mehr

Autorisierung. Sicherheit und Zugriffskontrolle & Erstellen einer Berechtigungskomponente

Autorisierung. Sicherheit und Zugriffskontrolle & Erstellen einer Berechtigungskomponente Autorisierung Sicherheit und Zugriffskontrolle & Erstellen einer Berechtigungskomponente Dokumentation zum Referat von Matthias Warnicke und Joachim Schröder Modul: Komponenten basierte Softwareentwickelung

Mehr

Roadtrip Plugin. Dokumentation

Roadtrip Plugin. Dokumentation Roadtrip Plugin Dokumentation Inhaltsverzeichnis Beschreibung... 3 Installation... 3 Konfiguration der Dienste... 3 Erläuterung...3 Twitter...3 Instagram... 5 Konfiguration der User...5 Eingabe... 5 Aktivierung...

Mehr

In diesem Kapitel werden wir nun mehrere Anwendungen von XML in der betrieblichen Praxis vorstellen. Sie sollen XML bei der Arbeit zeigen.

In diesem Kapitel werden wir nun mehrere Anwendungen von XML in der betrieblichen Praxis vorstellen. Sie sollen XML bei der Arbeit zeigen. 181 In diesem Kapitel werden wir nun mehrere Anwendungen von XML in der betrieblichen Praxis vorstellen. Sie sollen XML bei der Arbeit zeigen. Wir beginnen mit dem Startup-Unternehmen Seals GmbH aus Frankfurt,

Mehr

Erstellen sicherer ASP.NET- Anwendungen

Erstellen sicherer ASP.NET- Anwendungen Erstellen sicherer ASP.NET- Anwendungen Authentifizierung, Autorisierung und sichere Kommunikation Auf der Orientierungsseite finden Sie einen Ausgangspunkt und eine vollständige Übersicht zum Erstellen

Mehr

Apache HTTP-Server Teil 2

Apache HTTP-Server Teil 2 Apache HTTP-Server Teil 2 Zinching Dang 04. Juli 2014 1 Benutzer-Authentifizierung Benutzer-Authentifizierung ermöglicht es, den Zugriff auf die Webseite zu schützen Authentifizierung mit Benutzer und

Mehr

Windows-Firewall Ausnahmen für Docusnap konfigurieren itelio GmbH

Windows-Firewall Ausnahmen für Docusnap konfigurieren itelio GmbH Windows-Firewall Ausnahmen für Docusnap konfigurieren itelio GmbH www.docusnap.com Inhaltsverzeichnis 1 Windows Firewall Konfiguration - Grundlagen 3 1.1 Übersicht - benötige Firewall Ausnahmen 3 2 Windows

Mehr

Übung 1 mit C# 6.0 MATTHIAS RONCORONI

Übung 1 mit C# 6.0 MATTHIAS RONCORONI Übung 1 mit C# 6.0 MATTHIAS RONCORONI Inhalt 2 1. Überblick über C# 2. Lösung der Übung 1 3. Code 4. Demo C# allgemein 3 aktuell: C# 6.0 mit.net-framework 4.6: Multiparadigmatisch (Strukturiert, Objektorientiert,

Mehr

PageFormant API Version 3

PageFormant API Version 3 PageFormant API Version 3 1 Dokument-Historie Dokumenten-Version API-Version Datum Änderung 1 1.0 02.12.2011 Erstmalige Definition 2 1.0 20.02.2012 Erweiterung 3 1.0 23.06.2012 Benutzerspezifische Nachrichten

Mehr

BeamYourScreen Sicherheit

BeamYourScreen Sicherheit BeamYourScreen Sicherheit Inhalt BeamYourScreen Sicherheit... 1 Das Wichtigste im Überblick... 3 Sicherheit der Inhalte... 3 Sicherheit der Benutzeroberfläche... 3 Sicherheit der Infrastruktur... 3 Im

Mehr

Multicast Security Group Key Management Architecture (MSEC GKMArch)

Multicast Security Group Key Management Architecture (MSEC GKMArch) Multicast Security Group Key Management Architecture (MSEC GKMArch) draft-ietf-msec-gkmarch-07.txt Internet Security Tobias Engelbrecht Einführung Bei diversen Internetanwendungen, wie zum Beispiel Telefonkonferenzen

Mehr

Rechneranmeldung mit Smartcard oder USB-Token

Rechneranmeldung mit Smartcard oder USB-Token Rechneranmeldung mit Smartcard oder USB-Token Verfahren zur Authentifizierung am Rechnersystem und angebotenen Diensten, SS2005 1 Inhalt: 1. Systemanmeldung 2. Grundlagen 3. Technik (letzte Woche) 4. Standards

Mehr

Securing SOAP e-services

Securing SOAP e-services Securing SOAP e-services Nilson Reyes Sommersemester 2004 aus: E. Damiani, S. De Capitani di Vermercati, S. Paraboschi, P. Samarati, Securing SOAP e-sservices, IJIS, Ausgabe 1 (2002), S.110-115. Gliederung

Mehr

Enterprise Web-SSO mit CAS und OpenSSO

Enterprise Web-SSO mit CAS und OpenSSO Enterprise Web-SSO mit CAS und OpenSSO Agenda Gründe für SSO Web-SSO selbst gemacht Enterprise Web-SSO mit CAS Enterprise Web-SSO mit SUN OpenSSO Federation-Management Zusammenfassung Gründe für SSO Logins

Mehr

Netzwerksicherheit mit Hilfe von IPSec

Netzwerksicherheit mit Hilfe von IPSec Unterrichtseinheit 6: Netzwerksicherheit mit Hilfe von IPSec Bei IPSec (Internet Protocol Security) handelt es sich um ein Gerüst offener Standards, um eine sichere, private Kommunikation über IP-Netzwerke

Mehr

Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur.

Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur. MIKOGO SICHERHEIT Inhaltsverzeichnis Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur Seite 2. Im Einzelnen 4 Komponenten der Applikation

Mehr

www.informatik-aktuell.de

www.informatik-aktuell.de www.informatik-aktuell.de SQL Server 2014 Frankfurter Datenbanktage 2015 Maic Beher BASEL BERN BRUGG DÜSSELDORF FRANKFURT A.M. FREIBURG I.BR. GENF HAMBURG KOPENHAGEN LAUSANNE MÜNCHEN STUTTGART WIEN ZÜRICH

Mehr

Technische Universität München. SAML/Shibboleth. Ein Vortrag von Florian Mutter

Technische Universität München. SAML/Shibboleth. Ein Vortrag von Florian Mutter SAML/Shibboleth Ein Vortrag von Florian Mutter Security Assertion Markup Language XML-basierter Standard für den Austausch von Authentifizierungs-, Attributs- Berechtigungsinformationen Seit 2001 von OASIS

Mehr

Konfiguration des Novell GroupWise Connectors

Konfiguration des Novell GroupWise Connectors Konfiguration des Novell GroupWise Connectors Installation und Konfiguration Version 2013 Spring Release Status: 09. März 2013 Copyright Mindbreeze Software GmbH, A-4020 Linz, 2013. Alle Rechte vorbehalten.

Mehr

Eclipse Equinox als Basis für Smart Client Anwendungen. Christian Campo, compeople AG, 5.7.2007 Java Forum Stuttgart 2007

Eclipse Equinox als Basis für Smart Client Anwendungen. Christian Campo, compeople AG, 5.7.2007 Java Forum Stuttgart 2007 Eclipse Equinox als Basis für Smart Client Anwendungen Christian Campo, compeople AG, 5.7.2007 Java Forum Stuttgart 2007 Übersicht Definition / Architektur Smart Client Smart Client mit RCP / Equinox Gesamtfazit

Mehr

Tutorial: Eigene Module und Extensions entwickeln. Version: 0.1 Autor: Anja Beuth

Tutorial: Eigene Module und Extensions entwickeln. Version: 0.1 Autor: Anja Beuth Tutorial: Eigene Module und Extensions entwickeln Version: 0.1 Autor: Anja Beuth Inhaltsverzeichnis 1 2 2.1 2.2 2.3 2.4 3 4 4.1 4.2 4.3 5 5.1 6 6.1 6.2 Notwendigkeit prüfen... Ein Projekt in Visual Studio

Mehr

Installationsanleitung MS SQL Server 2005. für Sage 50 Ablage & Auftragsbearbeitung. Sage Schweiz AG D4 Platz 10 CH-6039 Root Längenbold

Installationsanleitung MS SQL Server 2005. für Sage 50 Ablage & Auftragsbearbeitung. Sage Schweiz AG D4 Platz 10 CH-6039 Root Längenbold Installationsanleitung MS SQL Server 2005 für Sage 50 Ablage & Auftragsbearbeitung Sage Schweiz AG D4 Platz 10 CH-6039 Root Längenbold Inhaltsverzeichnis 1. GRUNDSÄTZLICHES... 3 2. SQLExpress Installationsanleitung

Mehr

KompaSbilität zu Standards (WS- I) Contracts. Interfaces und Generics Umfangreiche AXribuSerung. Mehr Spielraum auf Transportebene

KompaSbilität zu Standards (WS- I) Contracts. Interfaces und Generics Umfangreiche AXribuSerung. Mehr Spielraum auf Transportebene Komponenten WCF (.NET Framework) WCF Verfeinerung und Reifung der ursprünglichen Version Geringere Unterschiede zu ASMX 2.0 (.NET 2.0) + WSE 3.0 Schwerpunkte KompaSbilität zu Standards (WS- I) Contracts

Mehr

Merkblatt: HSM. Version 1.01. Systemvoraussetzungen, Setup und Trouble Shooting. pdfsupport@pdf-tools.com

Merkblatt: HSM. Version 1.01. Systemvoraussetzungen, Setup und Trouble Shooting. pdfsupport@pdf-tools.com Merkblatt: HSM Version 1.01 Systemvoraussetzungen, Setup und Trouble Shooting Kontakt: pdfsupport@pdf-tools.com Besitzer: PDF Tools AG Kasernenstrasse 1 8184 Bachenbülach Schweiz www.pdf-tools.com Copyright

Mehr

Windows-Firewall Ausnahmen

Windows-Firewall Ausnahmen Windows-Firewall Ausnahmen Windows-Firewall Ausnahmen für Docusnap konfigurieren Datum 29.04.2010 Ersteller Seitenanzahl 24 Inhaltverzeichnis 1 Windows Firewall Konfiguration - Grundlagen... 3 1.1

Mehr

SSL/TLS und SSL-Zertifikate

SSL/TLS und SSL-Zertifikate SSL/TLS und SSL-Zertifikate Konzepte von Betriebssystem-Komponenten Informatik Lehrstuhl 4 16.06.10 KvBK Wolfgang Hüttenhofer sethur_blackcoat@web.de Motivation Sichere, verschlüsselte End-to-End Verbindung

Mehr

Mozilla Persona. Hauptseminar Web Engineering. Vortrag. an identity system for the web. 10.12.2012 Nico Enderlein

Mozilla Persona. Hauptseminar Web Engineering. Vortrag. an identity system for the web. 10.12.2012 Nico Enderlein Mozilla Persona an identity system for the web Hauptseminar Web Engineering Vortrag 10.12.2012 Nico Enderlein 1 PASSWORT??? BENUTZERNAME??? 2 Idee IDEE Protokoll & Implementierung Voost ( Kalender für

Mehr

Sicherheit in Web Services. Seminar Service-orientierte Software Architekturen Melanie Storm

Sicherheit in Web Services. Seminar Service-orientierte Software Architekturen Melanie Storm Sicherheit in Web Services Seminar Service-orientierte Software Architekturen Melanie Storm Agenda Motivation Fallbeispiel WS-Security XML Encryption XML Signature WS-Policy WS-SecurityPolicy WS-Trust

Mehr

Netzsicherheit I, WS 2008/2009 Übung 12. Prof. Dr. Jörg Schwenk 20.01.2009

Netzsicherheit I, WS 2008/2009 Übung 12. Prof. Dr. Jörg Schwenk 20.01.2009 Netzsicherheit I, WS 2008/2009 Übung 12 Prof. Dr. Jörg Schwenk 20.01.2009 Aufgabe 1 1 Zertifikate im Allgemeinen a) Was versteht man unter folgenden Begriffen? i. X.509 X.509 ist ein Standard (Zertifikatsstandard)

Mehr

Konfigurieren der Netzwerksicherheit mit Hilfe von PKI (Public Key Infrastructure)

Konfigurieren der Netzwerksicherheit mit Hilfe von PKI (Public Key Infrastructure) Unterrichtseinheit 5: Konfigurieren der Netzwerksicherheit mit Hilfe von PKI (Public Key Infrastructure) Verschlüsselung mit öffentlichen Schlüsseln ist eine bedeutende Technologie für E- Commerce, Intranets,

Mehr

Switching. Übung 9 EAP 802.1x. 9.1 Szenario

Switching. Übung 9 EAP 802.1x. 9.1 Szenario Übung 9 EAP 802.1x 9.1 Szenario In der folgenden Übung konfigurieren Sie eine portbasierte Zugangskontrolle mit 802.1x. Den Host 1 haben Sie an Port 2 angeschlossen, der eine Authentifizierung vor der

Mehr

Vorwort E-Mail ist heute für Unternehmen ein häufig eingesetztes Kommunikationsmittel, das zum Austausch von Informationen verwendet wird.

Vorwort E-Mail ist heute für Unternehmen ein häufig eingesetztes Kommunikationsmittel, das zum Austausch von Informationen verwendet wird. Vorwort E-Mail ist heute für Unternehmen ein häufig eingesetztes Kommunikationsmittel, das zum Austausch von Informationen verwendet wird. Auch die Unternehmensgruppe ALDI Nord steht mit einer Vielzahl

Mehr

Wireless & Management

Wireless & Management 4. Access Point (WPA2 - Enterprise 802.1x) 4.1 Einleitung Im Folgenden wird die Konfiguration des Access Point Mode gezeigt. Zur Absicherung der Daten, Generierung der Schlüssel für die Verschlüsselung

Mehr

Technische Dokumentation Scalera Mailplattform MS Entourage Konfigruation unter Mac OS X für EveryWare Kunden

Technische Dokumentation Scalera Mailplattform MS Entourage Konfigruation unter Mac OS X für EveryWare Kunden Technische Dokumentation Scalera Mailplattform MS Entourage Konfigruation unter Mac OS X für EveryWare Kunden Vertraulichkeit Das vorliegende Dokument beinhaltet vertrauliche Informationen und darf nicht

Mehr

E-Mail-Verschlüsselung

E-Mail-Verschlüsselung E-Mail-Verschlüsselung In der Böllhoff Gruppe Informationen für unsere Geschäftspartner Inhaltsverzeichnis 1 E-Mail-Verschlüsselung generell... 1 1.1 S/MIME... 1 1.2 PGP... 1 2 Korrespondenz mit Böllhoff...

Mehr

quickterm 5.6.0 Systemvoraussetzungen Version: 1.0

quickterm 5.6.0 Systemvoraussetzungen Version: 1.0 quickterm 5.6.0 Systemvoraussetzungen Version: 1.0 06.07.2015 Inhaltsverzeichnis Inhaltsverzeichnis 1 Server 3 2 Client 5 3 Web 6 4 Studio Plug-In 7 2 quickterm 5.6.0 - Systemvoraussetzungen Server 1 1

Mehr

Sichere Kommunikation mit Outlook 98 ohne Zusatzsoftware

Sichere Kommunikation mit Outlook 98 ohne Zusatzsoftware Sichere Kommunikation mit Outlook 98 ohne Zusatzsoftware Das E-Mail-Programm Outlook 98 von Microsoft bietet Ihnen durch die Standard- Integration des E-Mail-Protokolls S/MIME (Secure/MIME) die Möglichkeit,

Mehr

INFORMATION MONITOR HSM SOFTWARE GMBH SERVER-INSTALLATION

INFORMATION MONITOR HSM SOFTWARE GMBH SERVER-INSTALLATION INFORMATION MONITOR HSM SOFTWARE GMBH SERVER-INSTALLATION Lizenzvereinbarung Infomon Server-Installation Lesen Sie vorab die Lizenzvereinbarung, die in der Datei Lizenzvereinbarung.doc beschrieben ist.

Mehr

Mainframe Internet Integration. Prof. Dr. Martin Bogdan Prof. Dr.-Ing. Wilhelm G. Spruth SS2013. WebSphere Application Server Teil 4

Mainframe Internet Integration. Prof. Dr. Martin Bogdan Prof. Dr.-Ing. Wilhelm G. Spruth SS2013. WebSphere Application Server Teil 4 UNIVERSITÄT LEIPZIG Mainframe Internet Integration Prof. Dr. Martin Bogdan Prof. Dr.-Ing. Wilhelm G. Spruth SS2013 WebSphere Application Server Teil 4 Leistungsverhalten el0100 copyright W. G. Spruth,

Mehr

Application Layer Gateway

Application Layer Gateway Gesicherte Videokonferenzen mit einem Application Layer Gateway Karl-Hermann Fischer Sales Consultant fischer@gsmue.pandacom.de 1 Das Unternehmen Systemintegrator und Dienstleister im Bereich der Netzwerke

Mehr

Handbuch. Smart Card Login (SuisseID) Version 2.0. 14. Juni 2012. QuoVadis Trustlink Schweiz AG Seite [0]

Handbuch. Smart Card Login (SuisseID) Version 2.0. 14. Juni 2012. QuoVadis Trustlink Schweiz AG Seite [0] Handbuch Smart Card Login (SuisseID) Version 2.0 14. Juni 2012 QuoVadis Trustlink Schweiz AG Seite [0] Inhalt 1.0 Ziel und Zweck dieses Dokuments... 2 2.0 Vorraussetzungen... 2 3.0 Zertifikate bereitstellen...

Mehr

Bernd Blümel. Verschlüsselung. Prof. Dr. Blümel

Bernd Blümel. Verschlüsselung. Prof. Dr. Blümel Bernd Blümel 2001 Verschlüsselung Gliederung 1. Symetrische Verschlüsselung 2. Asymetrische Verschlüsselung 3. Hybride Verfahren 4. SSL 5. pgp Verschlüsselung 111101111100001110000111000011 1100110 111101111100001110000111000011

Mehr

Handbuch für die Erweiterbarkeit

Handbuch für die Erweiterbarkeit Handbuch für die Erweiterbarkeit Inhalt Pakete für die Erweiterbarkeit... 2 Actions... 2 Items... 2 Itemset... 2 Die UseCaseNewAction... 3 Eigene Shapes... 4 Der Shape Container... 5 User Objects... 6

Mehr

Howto. Konfiguration eines Adobe Document Services

Howto. Konfiguration eines Adobe Document Services Howto Konfiguration eines Adobe Document Services (ADS) Inhaltsverzeichnis: 1 SYSTEMUMGEBUNG... 3 2 TECHNISCHE VERBINDUNGEN ZWISCHEN DEN SYSTEMEN... 3 2.1 PDF BASIERENDE FORMULARE IN DER ABAP UMGEBUNG...

Mehr

Apache HTTP-Server Teil 1

Apache HTTP-Server Teil 1 Apache HTTP-Server Teil 1 Zinching Dang 24. November 2014 1 Apache HTTP-Server Apache HTTP-Server allgemein offizielle Namensherkunft: Apachen-Stamm in Nordamerika wurde 1994 auf Basis des NCSA HTTPd-Webservers

Mehr

ÖSTERREICH RECHNET MIT UNS. Standard e-rechnungs-webservice (SERWS) - Ideen DI Philip Helger, BRZ 17.02.2015

ÖSTERREICH RECHNET MIT UNS. Standard e-rechnungs-webservice (SERWS) - Ideen DI Philip Helger, BRZ 17.02.2015 ÖSTERREICH RECHNET MIT UNS Standard e-rechnungs-webservice (SERWS) - Ideen DI Philip Helger, BRZ 17.02.2015 www.brz.gv.at BRZ GmbH 2015 AGENDA Ausgangsbasis Webservice bei E-RECHNUNG.GV.AT SERWS Ziele

Mehr

Collax VPN. Howto. Vorraussetzungen Collax Security Gateway Collax Business Server Collax Platform Server inkl. Collax Modul Gatekeeper

Collax VPN. Howto. Vorraussetzungen Collax Security Gateway Collax Business Server Collax Platform Server inkl. Collax Modul Gatekeeper Collax VPN Howto Dieses Howto beschreibt exemplarisch die Einrichtung einer VPN Verbindung zwischen zwei Standorten anhand eines Collax Business Servers (CBS) und eines Collax Security Gateways (CSG).

Mehr

Ausblick auf Shibboleth 2.0

Ausblick auf Shibboleth 2.0 Ausblick auf Shibboleth 2.0 4. Shibboleth-Workshop Berlin, 28. Februar 2007 Bernd Oberknapp Universitätsbibliothek Freiburg E-Mail: bo@ub.uni-freiburg.de Übersicht OpenSAML 2.0 Stand der Entwicklung Shibboleth

Mehr

ISA Server 2004 Site to Site VPN mit L2TP/IPSEC - Von Marc Grote

ISA Server 2004 Site to Site VPN mit L2TP/IPSEC - Von Marc Grote ISA Server 2004 Site to Site VPN mit L2TP/IPSEC - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf:? Microsoft ISA Server 2004 Einleitung Dieser Artikel beschreibt die Einrichtung eines

Mehr

HowTo: Einrichtung einer IPSec Verbindung mit einem IPSEC VPN Client zum DWC-1000 am Beispiel der Shrewsoft VPN Clientsoftware

HowTo: Einrichtung einer IPSec Verbindung mit einem IPSEC VPN Client zum DWC-1000 am Beispiel der Shrewsoft VPN Clientsoftware HowTo: Einrichtung einer IPSec Verbindung mit einem IPSEC VPN Client zum DWC-1000 am Beispiel der Shrewsoft VPN Clientsoftware [Voraussetzungen] 1. DWC-1000 mit Firmware Version: 4.2.0.3_B502 und höher

Mehr

E-Mail-Verschlüsselung mit Geschäftspartnern

E-Mail-Verschlüsselung mit Geschäftspartnern E-Mail-Verschlüsselung mit (Anleitung für Geschäftspartner) Datum: 13.07.2011 Dokumentenart: Anwenderbeschreibung Version: 3.0 : Redaktionsteam PKI cio.siemens.com Inhaltsverzeichnis 1. Zweck des Dokumentes:...3

Mehr

Anleitung zur Installation von Thunderbird

Anleitung zur Installation von Thunderbird Anleitung zur Installation von Thunderbird Download und Installation 1. Dieses Dokument behandelt die Installation von PGP mit Thunderbird unter Windows 7. Im Allgemeinen ist diese Dokumentation überall

Mehr

Web APIs auf dem Prüfstand Volle Kontrolle oder fertig mit den Azure Mobile Services?

Web APIs auf dem Prüfstand Volle Kontrolle oder fertig mit den Azure Mobile Services? Web APIs auf dem Prüfstand Volle Kontrolle oder fertig mit den Azure Mobile Services? Web APIs Wo kommen wir her? Remote Procedure Calls (RPC) Verben/Aktionen im Endpunkt enthalten GetCustomer InsertInvoice

Mehr

OLXConvert. aus der Reihe Praxisorientierte Tools für MS-Outlook. und. MS-ExchangeServer. OLXConvert Kurzeinführung / Installation.

OLXConvert. aus der Reihe Praxisorientierte Tools für MS-Outlook. und. MS-ExchangeServer. OLXConvert Kurzeinführung / Installation. OLXConvert aus der Reihe Praxisorientierte Tools für MS-Outlook und MS-ExchangeServer Copyright by Nelkenstrasse 16 73540 Heubach-Lautern Tel: +49 (7173) 92 90 53 E-Mail: info@gangl.de Internet: http://www.gangl.de

Mehr

Inhalt. TEIL I Grundlagen 1.1 1.2 1.3 1.4 1.5. TEIL II Single-Sign-on für Benutzerschnittstellen. Vorwort 13 Einleitung 15

Inhalt. TEIL I Grundlagen 1.1 1.2 1.3 1.4 1.5. TEIL II Single-Sign-on für Benutzerschnittstellen. Vorwort 13 Einleitung 15 Vorwort 13 Einleitung 15 TEIL I Grundlagen 1.1 1.2 1.3 1.4 1.5 SSO und verwandte Konzepte Chancen und Risiken Terminologie 1.3.1 Security Assertion 1.3.2 Identity Provider 1.3.3 Security Token Service

Mehr

WS-Security. Thies Rubarth. Sicherheitskonzepte in global verteilten Anwendungen. 21. Sep 2007 ACM/GI Localgroup #216

WS-Security. Thies Rubarth. Sicherheitskonzepte in global verteilten Anwendungen. 21. Sep 2007 ACM/GI Localgroup #216 WS-Security Sicherheitskonzepte in global verteilten Anwendungen Thies Rubarth 21. Sep 2007 ACM/GI Localgroup #216 Thies Rubarth, M.Sc. (Informatik) IT Berater Jahrgang 1979 Anwendungsentwicklung seit

Mehr

Erstellen sicherer ASP.NET- Anwendungen

Erstellen sicherer ASP.NET- Anwendungen Erstellen sicherer ASP.NET- Anwendungen Authentifizierung, Autorisierung und sichere Kommunikation Auf der Orientierungsseite finden Sie einen Ausgangspunkt und eine vollständige Übersicht zum Erstellen

Mehr

Übungen zu Softwaretechnik

Übungen zu Softwaretechnik Prof. Dr. Dr. h.c. M. Broy Lösungsblatt 11 Dr. H. Ehler, S. Wagner 23. Januar 2004 Übungen zu Softwaretechnik Aufgabe 16 Qualitätseigenschaften Broker-Pattern Beurteilen Sie das in Aufgabe 15 benutzte

Mehr

Shibboleth IdP-Erweiterungen an der Freien Universität Berlin

Shibboleth IdP-Erweiterungen an der Freien Universität Berlin Steffen Hofmann (Dipl.-Inf.) ZEDAT, Identity and Customer Management (ICM) Shibboleth IdP-Erweiterungen an der Freien Universität Berlin Informative Login-Webseiten, JAAS-Login- Module, Login-Handler,

Mehr

Asynchrone Webservices mit Axis 1.x in Java

Asynchrone Webservices mit Axis 1.x in Java Asynchrone Webservices mit Axis 1.x in Java 1. Übersicht Architektur Da Webservices nach relativ kurzen Timeouts Anfragen abgearbeitet haben müsse, sind komplexe Anfragen wie sie in der Bioinformatik üblich

Mehr

Version 2.0.1 Deutsch 15.05.2014

Version 2.0.1 Deutsch 15.05.2014 Version 2.0.1 Deutsch 15.05.2014 In diesem HOWTO wird beschrieben wie Sie Ihren Gästen erlauben sich mit Ihrem Google-Account an der IAC-BOX anzumelden. Inhaltsverzeichnis... 1 1. Hinweise... 2 2. Google

Mehr

Konfigurationsbeispiel USG & ZyWALL

Konfigurationsbeispiel USG & ZyWALL ZyXEL OTP (One Time Password) mit IPSec-VPN Konfigurationsbeispiel USG & ZyWALL Die Anleitung beschreibt, wie man den ZyXEL OTP Authentication Radius Server zusammen mit einer ZyWALL oder einer USG-Firewall

Mehr

Technische Beschreibung: EPOD Server

Technische Beschreibung: EPOD Server EPOD Encrypted Private Online Disc Technische Beschreibung: EPOD Server Fördergeber Förderprogramm Fördernehmer Projektleitung Projekt Metadaten Internet Foundation Austria netidee JKU Linz Institut für

Mehr