bwidm: Föderieren auch nicht-webbasierter

Transkript

1 : Föderieren auch nicht-webbasierter Dienste auf Basis von SAML 5. DFN Forum Michael Simon, Sven Schober, Saher Semaan, c ae S o, S e Sc obe, Sa e Se aa, Marcel Waldvogel, Martin Nussbaumer

2 Vision Motivation: Beobachtbarer Trend zu verteilten Diensten zunehmende Spezialisierung von IT-Diensten: inspiriert durch Ansätze wie Utility Computing, Cloud Konzepte, Gridansätze, usw. Anwendungsfall Baden-Württemberg: Hochleistungsrechnen auf Compute Cluster, bwgrid, Large Scale Data Facility (LSDF), landesweites integriertes Bibliothekssystem Ziel: bequemer Zugriff zu verteilten Diensten wie im lokalen Umfeld Vergabe von Autorisierungskriterien bleiben lokale Angelegenheit Koordinierte Richtlinien für die Autorisierung bei Diensten (Föderationsregeln) Client Zugriff: verteilter Zugriff auf BW-Dienste über lokalen Zugang Vision: : Föderieren auch nicht webbasierter Dienste auf Basis von SAML M. Nussbaumer 2

3 Agenda Fakten, Aufgaben und Ziele zum -Projekt Kriterienkatalog und Anforderungsanalyse Föderative Verfahren Moonshot-Projekt -Ansatz über PAM/ECP mit notwendigen Erweiterungen Ausblick und Zusammenfassung : Föderieren auch nicht webbasierter Dienste auf Basis von SAML M. Nussbaumer 3

4 - Projekt Beteiligte Einrichtungen Die Universitäten ität des Landes Baden-Württemberg Kern-Team Universität Freiburg Karlsruher Institut für Technologie (PL) Universität Konstanz Universität Ulm Unterstützt durch das Ministerium für Wissenschaft, Forschung und Kunst Baden-Württemberg (MWK) Laufzeit: : Föderieren auch nicht webbasierter Dienste auf Basis von SAML M. Nussbaumer 4

5 - Alleinstellungsmerkmale verwendet SAML und die Shibboleth Implementierung Hoher Verbreitungsgrad an Universitäten und Bibliotheken gut erprobt, stark wachsender Einsatz für webbasierte Dienste beobachtbar Föderieren nicht-webbasierter Zugänge Shibboleth für webbasierte Dienste SAML sieht auch nicht-webbasierte Dienste vor : Shibboleth-basiertes h b i Zugangsverfahren für nicht-webbasierte i Dienste Provisonierungsunterstützung, Identitätsmanagementunterstützung Dienst-lokale Nutzerkonten: Verfahren für stark gekoppelte Dienste Datenschutzkonforme Provisionierung Dienst-lokaler Konten* Datenschutzkonforme Deprovisionierung Dienst-lokaler Konten* *Dienst-lokale Konten: Systemspezifische Informationen über Nutzer, die für den Betrieb des Dienstes unabhängig vom Authentifizierungsvorgang bereitgestellt werden müssen (bspw. UID, GID) : Föderieren auch nicht webbasierter Dienste auf Basis von SAML M. Nussbaumer 5

6 - Kernaufgaben kümmert sich um Zugriff Dienstnutzung im technischen Sinn Zusammenarbeit mit anzu- Web Lokales IDM Dienst schließenden Diensten Identitätsmanagement Lebenszyklus von Personen, Attributen, Autorisierungsmerkmalen Gewährleistung von Verlässlichkeit einen Zusammenschluss zu einem übergreifenden Ganzen Eigenständigkeit lokaler IDMs SSH File Weitere? Zusamme enschluss Lo okales IDM Lokal es IDM Lokales IDM Dienst Dienst Dienst Dienst Dienst Dienst : Föderieren auch nicht webbasierter Dienste auf Basis von SAML M. Nussbaumer 6

7 Anforderungsanalyse Kriterienkatalog zur Bewertung föderativer Verfahren (FV) Personenmerkmale Übermittlung personenbezogener Attribute Datensparsame Übermittlung Einverständnis durch Nutzer bei Übertragung an Dritte Datenbereitstellung Übermittlung von Autorisierungsmerkmalen Dienst lokale Aktualität von Autorisierungsmerkmalen Betriebsfähigkeit Aufwand (initial, dauerhaft) Zukunftssicherheit des Föderativen Verfahrens (FV) Integrationsfähigkeit in bestehende Föderationen (DFN AAI) : Föderieren auch nicht webbasierter Dienste auf Basis von SAML M. Nussbaumer 7

8 Agenda Fakten, Aufgaben und Ziele zum -Projekt Anforderungsanalyse Föderative Verfahren Moonshot-Projekt -Ansatz über PAM/ECP mit notwendigen Erweiterungen Ausblick und Zusammenfassung : Föderieren auch nicht webbasierter Dienste auf Basis von SAML M. Nussbaumer 8

9 Das Moonshot -Projekt Moonshot Ansatz: Federating Everything Föderativer Authentifizierungs- tifi i und Autorisierungsmechanismus i i für jegliche Anwendung oder Dienste (web/non-web) Eine Infrastruktur als Brücke zwischen Organisationen und deren Anwendungen/Dienste Vision: Aufbau eines Common Global Access Management System : Föderieren auch nicht webbasierter Dienste auf Basis von SAML M. Nussbaumer 9

10 Der -Ansatz: PAM/ECP mit Erweiterungen Teil A Registrierung auf einer Webseite Der Benutzer registriert sich auf einer Webseite Diese Webseite ist per SAML WebSSO geschützt und Teil des Zusammenschlusses Provisionierung nötiger persistenter Daten Übermittlung dienstspezifischer Daten Speicherung der Daten vor Ort Allgemeiner Teil Dienstspezifischer ifi Teil Teil B Nutzung des Dienstes Der Benutzer tritt an den Dienst heran Authentifizierung tifi i wird idvom Hi Heimat tidp : Föderieren auch nicht webbasierter Dienste auf Basis von SAML M. Nussbaumer 10

11 PAM/ECP - Nutzung des Dienstes (Teil B) NSS ECP 2 Service Provider SSH Client 1 3,5 SSH Server PAM 4 1. SSH Client verbindet sich mit SSH Server 2. SSH Server fragt bei NSS (Name Service Switch) die Daten des Benutzers ab (liefert z.b. Uid, Homeverzeichnis, usw.) 3. SSH Server ruft PAM auf 4. PAM authentifiziert den Benutzer via ECP mit einem Service Provider und dem Identity Provider der Heimatorganisation des Benutzers. Dabei bekommt der SP Autorisierungsdaten in der Assertion mitgeliefert und stellt diese Daten dem PAM Modul zur Verfügung. 5. PAM entscheidet dann, ob die Authentifizierung erfolgreich war. Identity Provider : Föderieren auch nicht webbasierter Dienste auf Basis von SAML M. Nussbaumer 11

12 Vergleich der Ansätze Kriterien Moonshot PAM/ECP Personenmerkmale Übermittlung personenbezogener Attribute Unklar Ja Datensparsame Übermittlung Nein Ja Einverständnis durch Nutzer bei Übertragung an Dritte Nein Ja Datenbereitstellung Übermittlung von Autorisierungsmerkmalen Nein Ja Dienst lokale Aktualität von Autorisierungsmerkmalen Nein Ja Btibfähikit Betriebsfähigkeit Aufwand hoch gering Zukunftssicherheit des Föderativen Verfahrens (FV) Zukünftiger Standard? Exist. Standards Integrationsfähigkeit in bestehende Föderationen (DFN AAI) k.a. Ja : Föderieren auch nicht webbasierter Dienste auf Basis von SAML M. Nussbaumer 12

13 Vergleich Invasivität der Ansätze: Moonshot Abhängigkeitsgraph involvierter Bibliotheken/Pakete Eigenentwicklung nicht in Standarddistribution verfügbar maint.alioth.debian.org/debtree/ : Föderieren auch nicht webbasierter Dienste auf Basis von SAML M. Nussbaumer 13

14 Vergleich Invasivität der Ansätze: -PAM/ECP Abhängigkeitsgraph involvierter Bibliotheken/Pakete Eigenentwicklung nicht in Standarddistribution verfügbar maint.alioth.debian.org/debtree/ : Föderieren auch nicht webbasierter Dienste auf Basis von SAML M. Nussbaumer 14

15 Agenda Fakten, Aufgaben und Ziele zum -Projekt Anforderungsanalyse Föderative Verfahren Moonshot-Projekt -Ansatz über PAM/ECP mit notwendigen Erweiterungen Ausblick und Zusammenfassung : Föderieren auch nicht webbasierter Dienste auf Basis von SAML M. Nussbaumer 15

16 Ausblick Verallgemeinerung des Konzepts FACIUS (Federated Access Control Integration for Universal Services) Nutzer Service Provider Identity Provider Login & Registrierungskomponente Provisioning Browser Registr. SAML SP Login Node Dienstzugangspunkt Service- Client Login Zugriffskontrollmodul Bestehende Komponenten Dienst-unspez. Komponenten In Teilen dienst-spez. Komponenten : Föderieren auch nicht webbasierter Dienste auf Basis von SAML M. Nussbaumer 16

17 Ausblick Verallgemeinerung des Konzepts FACIUS (Federated Access Control Integration for Universal Services) Dienstzugangspunkt siehe auch: SAML SP J. Köhler, S. Labitzke, M. Simon, M. Nussbaumer, H. Hartenstein, FACIUS: An Easy to Deploy SAML based Approach to Federate Non Web Based Services, Erscheint in: 11th IEEE International Conference Login Node on Trust, Security and Privacy in Computing and Communications (TrustCom 2012), Liverpool, UK, Juni 2012 Service- Login Client Nutzer Service Provider Identity Provider Login & Registrierungskomponente Provisioning Browser Registr. Zugriffskontrollmodul Bestehende Komponenten Dienst-unspez. Komponenten In Teilen dienst-spez. Komponenten : Föderieren auch nicht webbasierter Dienste auf Basis von SAML M. Nussbaumer 17

18 Ausblick Übertragbarkeit auf weitere Dienste Reg. Komponente Reg.-Komponente und PA-Modul als Schnittstelle t zum föderierten Dienst SSH PA Modul FTP CUPS CIFS SMTP Föderieren von Diensten ohne PAM- Unterstützung Verkapselung der Logik des PA- Moduls basierend auf weiteren Schnittstellen? Föderieren von Diensten mit PAM Unterstützung PAM Modul kann unverändert übernommen werden Ggf. Anpassung der Reg. Komponente nötig RDP Credential Provider : Föderieren auch nicht webbasierter Dienste auf Basis von SAML M. Nussbaumer 18

19 Zusammenfassung & Roadmap Zusammenfassung Aufstellen eines Kriterienkatalogs für das Projekt Evaluation der föderativen Verfahren (FV) Moonshot und PAM/ECP+Erweiterungen entlang der Kriterien Entwicklung und erfolgreiches Testen eines Proof-of-Concepts Roadmap Finalisieren des FV und Einholen Datenschutz Gutachten (Zendas) Zusammenschluss der BW-Landesuniversitäten mit ECP- fähigen Shibboleth IdP Gespräche mit DFN über Zusammenarbeit in AAI Bereitstellen erster ComputeCluster Dienste über PAM/ECP : Föderieren auch nicht webbasierter Dienste auf Basis von SAML M. Nussbaumer 19

20 Fragen und Diskussion Compute Cluster BW GRID BW IDM BW IDM LSDF Herzlicher Dank an die weiteren Autoren: T. Dussa und S. Labitzke (KIT), H. Däubler und V. Nikolov (Univ. Ulm) M. Klein (Univ. Freiburg) J. Becker, M. Grandpre, M. Längle und D. Scharon (Univ. IBS BW Konstanz), H. Hartenstein (Projektverantwortung) BW GRID BW GRID weitere Dienste Technis sche Standardis sierung Fachkon nzept BW IDM Techn. Anbindung Richtlinien Dienst Richtlin nien BW IDM Föderationsschicht ht Lokales Lokales Lokales Lokales Lokales IDM IDM IDM IDM IDM : Föderieren auch nicht webbasierter Dienste auf Basis von SAML M. Nussbaumer 20