Fakultät für Informatik Professur Verteilte und Selbstorganisierende Rechnersysteme Prof. Dr.-Ing. Martin Gaedke Dipl.-Inf.

Transkript

1 Fakultät für Informatik Professur Verteilte und Selbstorganisierende Rechnersysteme Prof. Dr.-Ing. Martin Gaedke Dipl.-Inf. Stefan Wild Identity Bridging Michel Rienäcker Forschungsseminar Data & Webengineering (WS 2013/14) Chemnitz, 17. Dezember 2013

2 Authentifizierungsarten Besitzbasiert Wissensbasiert Eigenschaftsbasiert 2

3 Identitätskonzepte Single Sign-On Federated Identity 3

4 OpenID Identifikation über URI Name Geburtsdatum Geschlecht Sprache Kontaktdaten begrenzt 4

5 mozilla Persona Adresse Passwort 5

6 Federated Identity Federated Identity Verschiedenste Attribute Vereinbarung mit Service Provider 6

7 WebID Verschiedenste Attribute durch FOAF Vokabular Erweiterbar Maschinenlesbar Serialisierung von RDF- Graph 7

8 Identity Bridging 8

9 OpenID mozilla Persona Daten Protokolle Proxy benötigt Gültigkeit der Persona- Identität Nicht verwandte Daten 9

10 mozilla Persona OpenID Daten Protokolle Proxy benötigt Neues Passwort? Gültigkeit der OpenID- Identität OpenID Provider muss Persona vertrauen Mehr Daten benötigt (Name?) 10

11 OpenID WebID Daten Protokolle Proxy benötigt Wo wird Profil gespeichert? Gültigkeit der WebID- Identität Daten konsistent? Wer erstellt Zertifikat? 11

12 WebID OpenID Daten Protokolle Proxy benötigt OpenID Provider muss WebID trauen Daten konsistent? Was ist mit Informationen? Passwort? Gültigkeit der OpenID 12

13 Probleme allgemein Immer ein Proxy zwischengeschaltet Protokolle müssen ineinander überführt werden Temporäre Identitäten Claims müssen zusätzlich erfragt bzw. verworfen werden Synchronisation bei Änderung Fehlende Vertrauensbeziehungen 13

14 mozilla BigTent (1) Mozilla BigTent 14

15 mozilla BigTent (2) Phase 1: Persona Dialog Flow Phase 2: Persona proxyidp Provision Flow Phase 3: Google Accounts OpenID Authentication Phase 4: Persona Authentication Flow Phase 5: Persona Provisioning Flow Phase 6: Persona Dialog Flow Phase 7: Website s Assertion Verification DEMO 15

16 PingFederate 16

17 Fazit Viele Identitätskonzepte Sehr unterschiedlich Erleichterung für Nutzer Möglichkeit der Überführung nur sehr schwer und mit Einschränkungen Existierende Ansätze 17

18 Literatur (1) King, Austin. BigTent - A ProxyIdP service for bridging major IdPs who lack support for the BrowserID protocol sequence diagram, Available online at: (visited on 07.November 2013) Google Developers. Federated Login for Google Account Users, Available online at: (visited on 20. November 2013) Ping Identity. Ping Federate SSO and Identity Management for Customers, Partners and Employees, Available online at: (visited on 12.November 2013) Ping Identity. PingFederate7, Available online at: (visited on ) Hardt, D., and B. Ferg. "Attribute Properties for OpenID Attribute Exchange." (2006): Mozilla. Identity at Mozilla, Available online at: (visited on ) 18

19 Literatur (2) Mozilla. Identity at Mozilla, Available online at: (visited on ) Hatakeyama, Makoto. "Federation proxy for cross domain identity federation."proceedings of the 5th ACM workshop on Digital identity management. ACM, Gaedke, Martin. Social Media and Web Science, Available online at: (visited on ) Gaedke, Martin. Social Media and Web Science, Available online at: (visited on ) 19

20 Backup Mozilla BigTent 20

21 DEMO 21