Technische Universität München. SAML/Shibboleth. Ein Vortrag von Florian Mutter

Transkript

1 SAML/Shibboleth Ein Vortrag von Florian Mutter

2 Security Assertion Markup Language XML-basierter Standard für den Austausch von Authentifizierungs-, Attributs- Berechtigungsinformationen Seit 2001 von OASIS (Organization for the Advancement of Structured Information Standards) entwickelt 2002: Version 1.0 wird veröffentlicht 2003: Version 1.1 wird veröffentlicht 2005: Version 2.0 wird veröffentlicht Erweiterungen ID-FF (Liberty Identity Federation Framework) Metadata Profile (SAML 1.x) Metadata Extension (SAML 2.0)

3 SAML wird in vier Teilbereichen definiert Profiles Kombinationen von Assertions, Protocols und Bindging für bestimmte Anwendungsfälle Bindings SAML Protocols in Standard Nachrichtenprotokollen verpacken Protocols Spezifikation, wie bestimmte Assertions angefragt und gesendet werden Assertions Authentifizierungs-, Attributs- und Berechtigungsinformationen

4 SAML Assertions Authentication Assertions Werden ausgestellt von einem Teilnehmer an einen anderen. Enthalten Informationen, ob sich ein Subjekt (z.b. Benutzer) korrekt identifiziert hat. Attribute Assertions Enthalten Informationen zu einem Subjekt (z.b. Name des Benutzers). Authorization Decision Assertions Legen fest ob ein Subjekt auf eine Ressource zugreifen darf.

5 SAML Protocols Assertion Query and Request Protocol Anfragen zu bestehenden Assertions oder neuen Assertions Authentication Request Protocol Anfragen zur Authentisierung von Subjekten Artifact Protocol Anfragen zu Assertions über Referenzen aus anderen SAML Nachrichten Name Identifier Management Protocol Änderungen des Name Identifier (z.b. Benutzername) weitergeben Single Logout Protocol Simultane Abmeldung von mehreren Diensten Name Identifier Mapping Protocol Verschiedene Name Identifier zuordnen

6 SAML Bindings SAML Anfragen in bestehende Protokolle einbinden SAML SOAP SOAP: Protokoll zur Übertragung von XML-basierten Nachrichten HTTP Redirect Nachrichten werden über HTTP Redirect transportiert HTTP POST SAML Nachrichten werden über den Browser des Benutzers transportiert HTTP Artifact Es wird nur die Referenz auf SAML Nachtichten übertragen SAML URI Es wird nur eine URI auf eine SAML-Assertion übertragen

7 SAML Profiles Definition von Einschränkung um die Kompatibilität zwischen den Anwendungen, die auf SAML basieren zu erhöhen. Definition von Abbildungen, von anderen System in SAML Insgesamt gibt es 13 Profile, die in 5 Kategorien eingeteilt sind

8 SAML Profiles Assertion Query/ Request Profile Basic Attribute Profile DCE PAC Attribute Profile Web Browser SSO Profile Name Identifier Management Profile Enhanced Client or Proxy (ECP) Profile SSO Profiles Single Logout Profile Identity Provider Discovery Profile XACML Attribute Profile Artifact Resolution Profile SAML Attribute Profiles UUID Attribute Profile X.500/ LDAP Attribute Profile Name Identifier Mapping Profile

9 SAML Beispiel Assertion <saml:assertion xmlns:saml="urn:oasis:names:tc:saml:2.0:assertion" xmlns:xs=" xmlns:xsi=" ID="b07b804c-7c29-ea f3d6f7928ac" Version="2.0" IssueInstant=" T09:22:05Z"> <saml:issuer> </saml:issuer> <ds:signature xmlns:ds=" </ds:signature>

10 SAML Beispiel Assertion <saml:subject> <saml:nameid Format="urn:oasis:names:tc:SAML:2.0:nameidformat:transient"> 3f7b3dcf ecd-92c8-1544f346baf8 </saml:nameid> <saml:subjectconfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> <saml:subjectconfirmationdata InResponseTo="aaf a-fe114412ab72" Recipient=" NotOnOrAfter=" T09:27:05Z"/> </saml:subjectconfirmation> </saml:subject>

11 SAML Beispiel Assertion <saml:conditions NotBefore=" T09:17:05Z" NotOnOrAfter=" T09:27:05Z"> <saml:audiencerestriction> <saml:audience> </saml:audience> </saml:audiencerestriction> </saml:conditions>

12 SAML Beispiel Assertion <saml:authnstatement AuthnInstant=" T09:22:00Z" SessionIndex="b07b804c-7c29-ea f3d6f7928ac"> <saml:authncontext> <saml:authncontextclassref> urn:oasis:names:tc:saml: 2.0:ac:classes:PasswordProtectedTransport </saml:authncontextclassref> </saml:authncontext> </saml:authnstatement>

13 SAML Beispiel Assertion <saml:attributestatement> <saml:attribute xmlns:x500="urn:oasis:names:tc:saml: 2.0:profiles:attribute:X500" x500:encoding="ldap" NameFormat="urn:oasis:names:tc:SAML:2.0:attrnameformat:uri" Name="urn:oid: " FriendlyName="eduPersonAffiliation"> <saml:attributevalue xsi:type="xs:string">member</saml:attributevalue> <saml:attributevalue xsi:type="xs:string">staff</saml:attributevalue> </saml:attribute> </saml:attributestatement> </saml:assertion>

14 Open Soucre Software Paket zur verteilten Authentifizierung und Autorisierung für Webanwendungen Basiert auf SAML 2000 von Internet2/MACE (Middleware Architecture Committee for Education) gestartet 2003: Version 1.0 fertiggestellt 2005: Version : Version 2.0 Einsatzbereich: Wissenschaft und Lehre In Deutschland: DFN-AAI

15 Überblick Single Sign On: nur ein Benutzername/Passwort nötig um sich bei verschiedenen Diensten anzumelden Einfachere Benutzerverwaltung, da man nicht für jeden Dienst extra eine anlegen und warten muss Nur die Informationen werden weitergegeben, die benötigt werden Über Institutsgrenzen hinweg einsetzbar Authentifizierungsmethode ist nicht festgelegt (z.b. Benutzername/Passwort, Zertifikat)

16 Aufbau Service Provider Stellt eine Resource zur Verfügung, die man nur mit entsprechender Berechtigung nutzen darf Session Initiator aufrufen, der eine Liste mit IdPs zurückgibt, bei denen sich der Benutzer anmelden kann Identity Provider Authentifiziert den Benutzer und stellt dem SP Informationen über den Benutzer zur Verfügung

17 IdP Discovery Service Provider wählt zu Benutzer passenden IdP mit dem Session Initiator Protocol Handler SAML2 SessionInitiator SHIB1 SessionInitiator ADFS SessionInitiator Discovery Handler SAMLDS SessionInitiator WAYF SessionInitiator Cookie SessionInitiator Form SessionInitiator Chaining SessionInitiator Mehrere SessionInitiator Handler nach einander aufrufen, bis einer erfolgreich abschießt

18 Identity Provider Benutzt LoginHandler um eine oder mehrere Arten von Authetifizierungsprozessen auszuführen Überprüfung von Benutzername/Passwort Validierung eins X.509 Zertifikats Einmalpasswörter überprüfen Timeout, wie lange sich ein Benutzer mit einer Authetifizierungsmethode anmelden kann, ohne sich erneut Authentifizieren zu müssen Eine User Session enthält Informationen zu einem Benutzer An welchen Diensten der Benutzer angemeldet ist Von welchen Diensten der Benutzer an-/abgemeldet werden muss Inaktivitäts Timeout

19 Benutzer Aufruf von geschützter Resource Identity Provider Service Provider

20 Benutzer Liste der möglichen IdPs zur Authentifizierung Identity Provider Service Provider

21 Benutzer Identity Provider Authentifizierung Service Provider

22 Benutzer Weiterleitung zurück zum SP mit Verweis auf Anfrage Identity Provider Service Provider

23 Benutzer Verweis auf Anfrage übergeben Identity Provider Service Provider

24 Benutzer Anfrage zu Informationen über den Benutzer mit Hilfe des Verweis Identity Provider Service Provider

25 Benutzer Ausgewählte Informationen über den Benutzer zurückgeben Identity Provider Service Provider

26 Benutzer Bei Berechtigung Resource freigeben Identity Provider Service Provider

27 Protokolle Identity Provider SAML Protokolle Single Sign On Attribution Query Artifact Resolution In Entwicklung SAML Protokolle» Enhanced Client or Proxy (ECP) Profile» Single Logout Microsoft Cardspace» Identitätsverwaltung für Webservices WS-Trust 1.3» Kommunikationsprotokoll für Webservices von OASIS

28 Protokolle Native Service Provider SAML Protokolle Single Sign On Attribution Query Artifact Resolution Enhanced Client or Proxy (ECP) Profile Single Logout Name ID management WS-Federation Passive (ADFS) Identity Federation Spezifikation für Webservices US eauth v1 Authetifizierungssystem der US Regierung für E-Government In Entwicklung Microsoft Cardspace

29 Beispiel Technische Universität München