Die Funktionsweise und Installation von Shibboleth 46. DFN-Betriebstagung Forum AAI, Franck Borel - UB Freiburg

Transkript

1 Die Funktionsweise und Installation von Shibboleth 46. DFN-Betriebstagung Forum AAI,

2 Übersicht Was ist Shibboleth? Wie funktioniert Shibboleth? Installation und Betrieb von Shibboleth: Installationsstrategie Vom Testbetrieb zum Realbetrieb 2

3 Was ist Shibboleth? Shibboleth ist ein einrichtungsübergreifender SSO-Dienst für den Zugriff auf geschützte Web- Ressourcen Wird von Internet2 entwickelt Basiert auf SAML: Security Assertion Markup Language Open Source Lizenz 3

4 Wie funktioniert Shibboleth? Benutzerin (5) Login (3) Lokalisierungsdienst (WAYF, IdP Discovery) (4) (1) (6) Anbieter Benutzerin angemeldet? (2) nein Benutzerin berechtigt? Heimateinrichtung (7) (8) ja nein (9) gestattet verweigert Zugriff 4

5 Wie funktioniert Shibboleth? (1) Anbieter Benutzerin bekannt? (2) ja Benutzerin Benutzerin berechtigt? (7) ja nein (9) gestattet verweigert Zugriff 5

6 Wie funktioniert Shibboleth? (1) Anbieter Benutzerin bekannt? Benutzerin (3) Lokalisierungsdienst (WAYF, IdP Discovery) (4) (6) (2) nein Benutzerin berechtigt? Heimateinrichtung (7) (8) ja nein (9) gestattet verweigert Zugriff 6

7 Wie funktioniert Shibboleth? Bestandteile: IdP (bei der Heimateinrichtung) Authentifizierung (frei wählbar) Identity Management (frei wählbar) Autorisierung (Bestandteil von Shibboleth) Identity Management (frei wählbar) SP (beim Anbieter) Zugriffskontrolle Erwartet: Erfolgreiche Authentifizierung Attribute WAYF (Lokalisierungsdienst) optional Liste mit Einrichtungen und Anbietern Als selbständiger Dienst oder beim Anbieter 7

8 Wie funktioniert Shibboleth? Bestandteile: Technik Heimateinrichtung Webserver mit SSL Authentifizierungsverfahren: (fast) beliebig Identity-Provider Servlet Container AA + ARP SSO- Service Identity-Management: (fast) beliebig Benutzer WAYF Servlet Container Anbieter Service-Provider Webserver Optional: Zugangskontrolle mod_shib (ACS) Shibd +AAP Zugangskontrolle: (fast) beliebig Web-Ressource: Daten, Anwendungen 8

9 Attribute Attribute bilden die Grundlage für die Autorisierung und Zugriffskontrolle in Shibboleth: Identity-Provider stellen mit Attributen die notwendigen Informationen über ihre Benutzer zur Verfügung. Service-Provider werten die Attribute anhand ihrer Regeln aus und gestatten oder verweigern je nach Ergebnis den Zugriff. Hierfür sind Absprachen zwischen Identity- und Service-Providern notwendig, die durch Verwendung eines einheitlichen Schemas vereinfacht werden! Voraussetzung sind verlässliche Benutzerdaten, also ein funktionierendes Identity-Management. 9

10 Metadaten Vertrauen & Sicherheit: Infos über Zertifikate und providerid, damit man weiß, mit wem man Daten austauscht. Metadaten werden signiert, um ihre Authentizität und Integrität zu gewährleisten - Mit gefälschten Metadaten wäre es möglich sämtliche Shibboleth- Sicherheitsmechanismen auszuhebeln! Metadaten müssen aktuell und synchron sein, sonst klappt die Interoperabilität nicht! Werkzeuge für die Verwaltung der Metadaten werden benötigt. 10

11 Installation und Betrieb von Shibboleth Ablauf der Installation 1. Vorbereitungen 2. Grundinstallation 3. Anbindung an eine Testumgebung (z. B. DEMOaar oder DFN-AAI) 4. Realbetrieb a. Ohne Föderation (z. B. interne Anwendungen) b. Mit Föderation 11

12 Vorbereitung: Installation und Betrieb von Shibboleth Anmelden Mailing-Liste: Shibboleth, DFN-AAI Ist-Analyse: Welche Komponenten sind schon vorhanden, welche muss ich installieren? Unterstützt mein Betriebssystem/meine Distribution Shibboleth? Bei manchen Betriebssystemen und Distributionen ist mit Schwierigkeiten zu rechnen: Daher vor der Installation erkundigen, welche Erfahrung andere mit dem vorliegenden Betriebssystem gemacht haben (z. B. über die Mailing-Liste). Kenne ich mich mit den Komponenten ausreichend aus? Shibboleth läßt sich nicht per Mausklick installieren! Shibboleth baut auf andere Komponenten auf! 12

13 Installation und Betrieb von Shibboleth Grundinstallation (SP oder IdP) Erfolgt mit Hilfe von Kochrezepten: AAR SWITCH Internet2 Auf diverse Eigenheiten von Betriebssystemen und Distributionsversionen achten! Die Grundinstallation lässt keinen vollständigen Test zu, ohne dass zumindest der Gegenpart (SP oder IdP) vorhanden ist. 13

14 Installation und Betrieb von Shibboleth Anbinden an eine Testumgebung: Eine Testumgebung beinhaltet in der Regel einen voll funktionsfähigen IdP und SP sowie Kontrollfunktionen. Man braucht beide Parteien, um Shibboleth testen zu können! Aber: Nicht jeder ist daran interessiert, beide Systeme aufzusetzen! Vereinfacht die Konfiguration und die Fehlerbehebung. Betreiber von Testumgebungen geben meist auch Hilfestellungen. 14

15 Realbetrieb Installation und Betrieb von Shibboleth Die Strukturen in den Einrichtungen, insbesondere beim Identity Management, und die Struktur von Anwendungen sind sehr unterschiedlich. Die Einführung von Shibboleth ist ein individueller Prozess, ein allgemein anwendbares Kochrezept gibt es dafür nicht. Die Einführung von Shibboleth wirkt sich sowohl auf die Technik als auch auf die Organisation aus. Neue Aufgaben müssen bewältigt werden: Aktualisierung der Metadaten Aktualisierung der APRs/AAPs Security-Fixes Logging 15

16 Installation und Betrieb von Shibboleth Aufgaben für die Einrichtung und dem Anbieter: Überlegen. welcher Föderation oder welchen Föderationen man beitreten soll: IdP: Welche Dienste sollen genutzt werden? SP: Welches sind die nutzenden Einrichtungen? Aus dem Beitritt zu einer Föderation ergeben sich im allgemeinen Mindestanforderungen an das Identity Management (für IdPs), die Sicherheit, insbesondere was die verwendeten Zertifikate betrifft, die Attribute für den Datenaustausch und den Datenschutz. 16

17 Installation und Betrieb von Shibboleth Aufgaben für die Einrichtung: Anbindung des Identity-Provider an das Identity-Management. Geeignetes Authentifizierungsverfahren wählen. Ermitteln, ob das bestehende IdM die gewünschten Attribute liefern kann. Benutzerschnittstelle Anmeldeseite (Login) "Echte" Zertifikate besorgen: Die Zertifikate sollten idealerweise automatisch von den gängigen Browsern verifiziert werden können. Verfügbarkeit des IdPs gewährleisten. Wenn der IdP ausfällt, kann man sich in keinen SP mehr einloggen. 17

18 Installation und Betrieb von Shibboleth Aufgaben des Anbieters Zertifikat besorgen Klären, ob das vorhandene Sitzungsmanagement weiter verwendet werden kann. Können die notwendigen Informationen über die Nutzer von den IdPs über Attribute bereitgestellt werden? Welche Alternativen gibt es, falls nicht? Welche neuen Dienste können mit Shibboleth angeboten werden? Personalisierung? 18

19 Danke für Ihre Aufmerksamkeit! AAR ist ein Projekt der UB Freiburg und UB Regensburg. Gefördert vom BMBF (PT-NMB+F ) aar.vascoda.de info@aar.vascoda.de borel@ub.uni-freiburg.de 19