Single Sign-On / Identity Management

Transkript

1 Single Sign-On / Identity Management Ein Überblick Michael Jäger 9. Januar / 54

2 Inhalt 1 Begriffe Web Single Sign-On Identität und Web-SSO SSO Szenarien SSO und SOA Ziele 2 Identitätsverwaltungssysteme Überblick 3 SAML Architektur Bindings Implementierung 4 Fazit 2 / 54

3 Begriffe Sicherheitsdomäne Bereich mit zentralisiertem Identitätsmanagement flach oder hierarchisch Föderation Gruppe von Systembetreibern, i.d.r. mehrere Unternehmen kooperatives, domänenübergreifendes Identitätsmanagement Webbrowser Single Sign-On (Web SSO) SSO beim Surfen Kontext: Internet, Unternehmen, Föderation Enterprise SSO (ESSO) Dezentrale Sicherheitsdomänen SSO auch für nicht-interaktive Anwendungs-Szenarien (z.b. Webservices) 3 / 54

4 Web Single Sign-On Die gute alte Zeit: Surfen ohne Zugangsbeschränkungen 4 / 54

5 Web Single Sign-On Zunehmende Verknüpfung der Angebote 5 / 54

6 Web Single Sign-On Login-Barrieren 6 / 54

7 Web Single Sign-On Login-Barrieren 7 / 54

8 Web Single Sign-On Login-Barrieren 8 / 54

9 Web Single Sign-On Login-Barrieren: Sicherheitsrisiko für Unternehmen 9 / 54

10 Identität und Web-SSO Identität 10 / 54

11 Identität und Web-SSO Im Internet ist Max Meier manchmal nicht er selbst 11 / 54

12 Identität und Web-SSO Was ist Digitale Identität? Digitales Subjekt Eine Entität (Mensch, Organisation) hat digitale Repräsentanten Digitales Subjekt: Digitaler Repräsentant einer Entität mit Identitätsattributen hat eindeutigen Bezeichner Digitale Identität Assoziation eines digitalen Subjekts mit einer Entität Kontroverse: Objektiv oder subjektiv? Digitale Identität ist eine objektive und beweisbare Eigenschaft Digitale Identität ist relativ zum Beobachter 12 / 54

13 Identität und Web-SSO Single Sign-On und Digitale Identität Single Sign-On assoziiert unterschiedliche digitale Subjekte mit derselben Entität The entity may wish to be seen as a single customer of a group of financial institutions and may or may not want a new identity with which to unite them. [Identipädia] 13 / 54

14 Identität und Web-SSO Identität und Benutzerkonten 14 / 54

15 SSO Szenarien Szenario: Single Sign-On im Portal 15 / 54

16 SSO Szenarien Rollen: Identity Provider und Service Provider 16 / 54

17 SSO Szenarien Was sind Identitäts-bezogene Informationen? 17 / 54

18 SSO Szenarien Was sind Identitäts-bezogene Informationen? 18 / 54

19 SSO Szenarien Was sind Identitäts-bezogene Informationen? 19 / 54

20 SSO Szenarien Was sind Identitäts-bezogene Informationen? 20 / 54

21 SSO Szenarien Was sind Identitäts-bezogene Informationen? 21 / 54

22 SSO Szenarien Szenario IdP initiiert SSO 22 / 54

23 SSO Szenarien Szenario SP initiiert SSO 23 / 54

24 SSO Szenarien Szenario SP initiiert SSO mit IdP-Lokalisierung 24 / 54

25 SSO Szenarien SSO und Sicherheitsdomänen 25 / 54

26 SSO Szenarien Domänen-übergreifende Verarbeitung von Identitäts-Information: Verteilte Speicherung und Verwaltung Dynamischer Austausch Delegation der Verarbeitung Mehr als ESSO Verbund mit kooperierenden Partnern, Verträge Dynamische IdP-Entdeckung Hosting-Problematik: Id-Management-Provider? 26 / 54

27 SSO und SOA SSO in einer SOA ( Prozessfähige SOA nach Josuttis) 27 / 54

28 SSO und SOA SSO in einer SOA ( Prozessfähige SOA nach Josuttis) 28 / 54

29 Ziele Wozu Identitätsmanagement? Nutzer mehr Sicherheit mehr Komfort Service Provider Aufwandsreduktion durch Delegation der Benutzerverwaltung Bessere Servicequalität mehr Sicherheit Föderation Vollintegriertes föderatives Serviceangebot (Portal, SOA,... ) 29 / 54

30 Ziele Vision einer virtuellen Hochschule Quelle: Anonymisierter Forschungsbericht TU München 30 / 54

31 Identitätsverwaltungssysteme Überblick Identitätsverwaltungssysteme Quelle: Maler, Drummond: The Venn of Identity, IEEE SECURITY & PRIVACY 2008, S. 16ff 31 / 54

32 SAML Architektur SAML - Security Assertion Markup Language Rahmenwerk für Austausch von Sicherheits-Informationen Verantwortlich: OASIS Security Services TC seit 2000, aktuelle Version: 2.0, Web: Ideengeber zu SAML 2.0: Liberty Alliance Project (heute Kantara) eingebettet in WS-Security, unabhängig davon nutzbar breite Unterstützung durch Industrie Info: 32 / 54

33 SAML Architektur SAML-Begriffe Rollen SAML Authority, Asserting Party (AP): Identity Provider Relying Party (RP): Service Provider SAML-Requestor/Responder: Rollen in einer SAML-Konversation SAML-Assertion Paket mit Aussagen des Systems (SAML Authority) über ein Subjekt Authentication Assertion: Subjekt hat sich authentisiert Attribute Assertion: Subjekt hat (beliebige) Attribute (z.b. Rollen) Authorization Decision: Entscheidung über Zugriffserlaubnis Digital signiert, bei Bedarf verschlüsselt 33 / 54

34 SAML Architektur SAML-Begriffe Name Identifier eindeutiger Bezeichner für Subjekt oder AP Namensräume für Föderationen / Qualifizierte Bezeichner Authentisierungskontext Zusatzinformationen über verwendete Authentisierungstechniken Viele vodefinierte Kontextklassen, z.b. Internetzugriff mit Passwort, X.509, Kerberos, Mobilfunkzugriff mit PIN, / 54

35 SAML Architektur SAML-Bausteine 35 / 54

36 SAML Architektur SAML-Architektur Quelle: Maler, Drummond: The Venn of Identity, IEEE SECURITY & PRIVACY 2008, S. 16ff 36 / 54

37 SAML Architektur SAML-Profile 37 / 54

38 SAML Bindings SAML Bindings für alle Anwendungsfälle Ein Binding standardisiert die Abwicklung einer SAML-Konversation auf der Transportebene Problem SAML-Requestor und SAML-Responder müssen in bestimmten Anwendungsfällen über Vermittler kommunizieren Beispiel: Client kommuniziert mit SP und IdP SAML-Dialog zwischen SP und IdP muss vom Client vermittelt werden Primitiver Client (Webbrowser) hat nur beschränkte Vermittlungsfähigkeiten! 38 / 54

39 SAML Bindings Client als Vermittler im SAML-Dialog 39 / 54

40 SAML Bindings SAML-Konversation zwischen SOAP Webservices SAML Binding: SOAP über HTTP SAML-Nachrichten als Rumpf von SOAP-Nachrichten SAML-Konversation mit einfachem Webbrowser als Vermittler Problem: Webbrowser als SAML-Vermittler? Lösungen: SAML HTTP-Redirect Binding HTTP-Proxy übernimmt SAML-Anteil SAML-Konversation mit aufgemotztem Client Enhanced Client : leichtgewichtige SAML-Unterstützung (Browser-Plugin) PAOS Binding anstelle von HTTP-Redirect verwendbar 40 / 54

41 SAML Bindings PAOS Binding (Reverse SOAP) Quelle: OASIS SAML 2.0 Spezifikation 41 / 54

42 SAML Bindings HTTP Redirect Binding Vermittlung des SAML-Dialogs durch Webbrowser SAML-Nachrichten werden im URL codiert Client wird über HTTP-Redirects zum SAML Dialogpartner weitergeleitet Ende-zu-Ende-Sicherheit nötig! 42 / 54

43 SAML Bindings HTTP Redirect Binding Quelle: OASIS SAML 2.0 Spezifikation 43 / 54

44 SAML Bindings HTTP POST Binding Vermittlung des SAML-Dialogs durch Webbrowser SAML-Nachricht ist in verstecktem Formularfeld codiert Formularübermittlung via HTTP-POST SAML-Dialogschritte können vor dem Client versteckt werden: Javascript onload -Aktion submit Verwendungsszenarien ähnlich HTTP Redirect 44 / 54

45 SAML Bindings HTTP POST Binding Quelle: OASIS SAML 2.0 Spezifikation 45 / 54

46 SAML Bindings Artifact Binding Probleme HTTP Redirect: Längenbeschränkung für URLs HTTP Redirect/POST: Client soll ggf. SAML-Nachricht nicht sehen Lösung: Kombination mehrerer Bindings Client vermittelt Referenz auf Nachricht (per Redirect/POST) Artifact: Die Referenz auf die Nachricht Nachricht selbst wird ohne Client-Vermittlung kommuniziert: Artifact Resolution Protocol / SOAP-Binding 46 / 54

47 SAML Bindings Enhanced Client/Proxy Profile Quelle: OASIS SAML 2.0 Spezifikation 47 / 54

48 SAML Implementierung Implementierung von SAML SAML 2.0 ist das weltweit am häufigsten eingesetzte Föderierungsprotokoll Kommerzielle Systeme Entrust IdentityGuard IBM Tivoli Federated Identity Manager (TFIM) Oracle/Sun Java System Federated Access Manager Microsoft Active Directory Federation Services Novell Access Manager 3.1 PingFederate SAP NetWeaver Identity Management Siemens DirX Access 48 / 54

49 SAML Implementierung SAML Open Source Implementierungen Auswahl OpenSSO (Sun Microsystems) Lasso - Liberty Alliance Single Sign-On (Java, Perl, Python and PHP) OpenSAML (Internet2, für C++ and Java) Shibboleth (Internet2) Ping SourceID ZXID Open Source IdM for the Masses (C, Perl, PHP, Java) simplesamlphp (für PHP, Shibboleth-kompatibel) 49 / 54

50 SAML Implementierung Shibboleth Shibboleth ist ein SAML-Projekt der Internet2-Initiative für Forschung und Lehre Basis: OpenSAML Bausteine: Identity Provider Service Provider (Apache Modul) IdP-Lokalisierungsdienst SAML 2.0 vollständig implementiert 50 / 54

51 SAML Implementierung DFN-AAI - Authentifikations- und Autorisierungs-Infrastruktur Zitat aus der Homepage: Die DFN-AAI-Föderation ist ein Dienst des DFN-Vereins für wissenschaftliche Einrichtungen (Universitäten, Institute) und Anbieter (kommerziell und nicht kommerziell). Sie schafft das notwendige Vertrauensverhältnis sowie einen organisatorischen und technischen Rahmen für den Austausch von Benutzerinformationen zwischen Einrichtungen und Anbietern. Anwendungen, welche die DFN-AAI nutzen sind z.b. Recherche-Datenbanken, Grid-Computing (z.b. D-Grid), Portale (z.b. ReDI), DFG-Nationallizenzen, Verwaltungssysteme, e-science und e-learning-systeme. 51 / 54

52 Fazit Fazit ist Stand der Technik Domänen-übergreifende Sicherheit ist eine must have -Anforderung Delegation von Identitätsmanagement vereinfacht SP-Anwendungen skalierbares Identitätsmanagement möglich Welche Technologie? Für ESSO und föderierte Identität ist SAML 2.0 derzeit das einzige skalierbare Rahmenwerk Wie SAML benutzen? Einsatz von SAML an der FH auf unterschiedlichen Ebenen möglich: Eigenimplementierung: mittels JAXB-Tools kein Hexenwerk Verwendung offener SAML-Bibliotheken wie OpenSAML Einsatz von kompletten SAML-Systemen wie Shibboleth Verwendung der DFN-AAI Infrastruktur 52 / 54

53 Fazit Wo stehen wir? Ansatzweise SSO innerhalb einer Sicherheitsdomäne Technische Realisierung: CAS (SAML 1.x-kompatibel) Ziele: SSO innerhalb einer Sicherheitsdomäne ESSO? Föderation? 53 / 54

54 Fazit Weiterführende Literatur Engl. Wikipedia: Artikel zu digital identity Kleines Lexikon Identipädia : Maler, Drummond: The Venn of Identity, IEEE SECURITY & PRIVACY 2008, S. 16ff SAML 2: Shibboleth 2: 54 / 54