Single Sign-On mit SAML und datengetriebene Autorisierung. DB Systel GmbH Rudolf Noé D.IPB 25 Berlin

Transkript

1 Single Sign-On mit SAML und datengetriebene Autorisierung DB Systel GmbH Rudolf Noé D.IPB 25 Berlin

2 Inhalt 1. DB Systel 2. Einführung in SAML 2 3. Umsetzung von Single-Sign-On mit SAML bei der DB Systel 4. Datengetriebene Autorisierung 2

3 Foto: Max Lautenschläger DB Systel Wir über uns Digitalpartner der Bahn Für alle Gesellschaften der DB AG ist DB Systel, als hundertprozentige Tochter des Konzerns, Partner der Digitalisierung. DB Systel bedient den Konzern integrativ und wertschaffend mit einem ganzheitlichen, kundenspezifischen Lösungs- und Beratungs-angebot, was höchsten IT-Standards entspricht und innovative Trends aufgreift. Dazu bringt DB Systel ihre fundierte Bahn- und IT-Kompetenz ein und agiert als langfristiger Partner anbieterneutral für die gemeinsame Zielsetzung. 3

4 Foto: Max Lautenschläger DB Systel Daten und Fakten Wussten Sie schon, dass unter anderem... die DB Systel derzeit 600 IT-Verfahren betreibt, von denen mittelfristig etwa 80 Prozent in die bahneigene Cloud migrieren?... die DB Systel schon mehr als 50 Geschäftsideen in ihren Innovations-Hubs geboren hat?... die DB Systel jeden Tag 26 Millionen s auf Spam und Viren überprüft?... die DB Systel täglich moderne digitale Arbeitsplätze betreut und VoIP-Anlagen bereitstellt?... dafür insgesamt Mitarbeiterinnen und Mitarbeiter an den Hauptstandorten Frankfurt, Berlin und Erfurt und anderen kleineren Standorten in Deutschland und UK verantwortlich sind? 4

5 Foto: Max Lautenschläger DB Systel Small Solutions Ein Erfolgsmodell mit Oracle Apex Abteilung nur für die Entwicklung von kleinen bis mittelgroßen Anwendungen auf Basis von APEX Mehr als 6 Jahre Erfahrung in der Entwicklung von APEX-Anwendungen Bis dato Entwicklung von über 200 Anwendungen Small Solutions its best! 18 interne und 5 externe Mitarbeiter Hoch agiler Ansatz 5

6 Inhalt 1. DB Systel 2. Einführung in SAML 2 3. Umsetzung von Single-Sign-On mit SAML bei der DB Systel 4. Datengetriebene Autorisierung 6

7 Einführung in SAML Was ist SAML? Security Assertion Markup Language 2.0 (SAML 2.0) is a standard for exchanging authentication and authorization data between security domains. SAML 2.0 is an XML-based protocol that uses security tokens containing assertions to pass information about a principal (usually an end user) between a SAML authority, named an Identity Provider, and a SAML consumer, named a Service Provider. SAML 2.0 enables web-based authentication and authorization scenarios including cross-domain single sign-on (SSO), which helps reduce the administrative overhead of distributing multiple authentication tokens to the user. 7

8 Einführung in SAML Aufbau SAML Spezifikation Conformance Requirements Assertions and Protocols Bindings Profiles Metadata Authentication Context Protocols schema Protocols schema Attribute profile schemas Metadata schema Authentication context schemas Executive Overview Technical Overview Glossary Errata Security and Privacy Considerations Gutes Einstiegsdokument 8

9 Einführung in SAML SAML Rollen Principal / Subject (Benutzer) Identitiy Provider (IdP) (Asserting Party) Service Provider (SP) (Relying Party) 9

10 Einführung in SAML SAML Konzepte Profiles Combinations of assertions, protocols and bindings to support a defined use case Bindings Mappings of SAML Protocols onto standard messaging and communication protocols Protocols Requests and responses for obtaining assertions and doing identity management Assertions Authentication and attribute information Kombinieren Assertions, Protocols und Bindings für einen Anwendungsfall z.b. Single Sign On Mappen Anfragen/Antworten auf Kommunikationsprotokolle z.b. HTTP Get/Post, SOAP Definieren Anfrage/Antwort-Protokolle z.b. Authentication Request Protocol, Artifact Resolution Protocol Aussagen über einen Benutzer (Principal) z.b.: Das ist Peter Müller 10

11 Einführung in SAML SAML Web Browser SSO Profil SP POST Request; IdP POST Authentication-Response Browser (User) Service Provider (APEX Anwendung) Identity Provider ( SSO Server ) 1 2 Benutzer ruft Anwendung neu auf HTTP Post Redirect mit <AuthRequest> an Identity Provider 34. Authentifizierung des Benutzers 4 HTTP Post Redirect mit <AuthResponse> an Service Provider 5 Nachricht verifizieren Prüfung XML-Signatur 6 Neue APEX Session Zugriff auf Anwendung 11

12 Einführung in SAML SAML Web Browser SSO Profil SP POST Request; IdP Redirect Artifact Browser (User) Service Provider (APEX Anwendung) Identity Provider ( SSO Server ) 1 2 Benutzer ruft Anwendung neu auf HTTP Post Redirect mit <AuthRequest> an Identity Provider 34. Authentifizierung des Benutzers 4 HTTP Get Redirect mit SAML-Artifact an Service Provider 7 Neue APEX Session Zugriff auf Anwendung 54. Artifact-Resolution über SOAP 64. Authentication-Response 12

13 Einführung in SAML 2 SAML Authentication Request Service Provider (APEX-Anwendung) liefert ein sich selbst abschickendes Formular: <form method="post" action=" <input type="hidden" name="samlrequest" value="<base64 encoded AuthRequest>" /> <input type="hidden" name="relaystate" value="<transparent-information>" /> <input type="submit" value="submit" /> </form> SAML Authentication Request: <saml2p:authnrequest xmlns:saml2p="urn:oasis:names:tc:saml:2.0:protocol" AssertionConsumerServiceURL=" Destination=" ForceAuthn="false" ID="4C563893E6D13974E053A993B30AB2F2" IsPassive="false" IssueInstant=" T11:03:53.949Z" ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Artifact" Version="2.0"> <saml2:issuer xmlns:saml2="urn:oasis:names:tc:saml:2.0:assertion"> </saml2:issuer> </saml2p:authnrequest> 13

14 Einführung in SAML 4 SAML Artifact Redirect Der IdP liefert nach Authentifizierung des Benutzers das SAML-Artifact mittels HTTP Redirect HTTP/?.? 302 Moved Temporarily Content-Length: 0 Location: Parameters SAMLart:AAQAAFzRUGx1EuT0t6mbGbhMq8m0IMeRuCLp6k9or7Enj8OchPw2oOA0qFE%3d RelayState:host=...rz.db.de&context_path=/cdb8asmasodevi&app_id=158&page_alias=SSO_SAML_AUTHENTICATION&session_id= &debug_mode=NO &item_name=saml_artifact 14

15 Einführung in SAML 5 SAML Artifact Resolve-Request Service Provider (APEX-Anwendung) schickt SOAP-Request an IdP, um Artifact in Authentication Response umzuwandeln: <se:envelope xmlns:se=" <se:header/> <se:body> <sp:artifactresolve xmlns:sp="urn:oasis:names:tc:saml:2.0:protocol" ID="4C57FA38A1D1B6E4E053A993B30A4FF1 IssueInstant=" T13:14:16.366Z" Version="2.0"> <sa:issuer xmlns:sa="..."> </sa:issuer> <sp:artifact> AAQAAFzRUGx1EuT0t6mbGbhMq8m0IMeRl9VbsaWSrNaZoinOJ2dK2k0Swo0= </sp:artifact> </sp:artifactresolve> </se:body> </se:envelope> 15

16 Einführung in SAML 6 SAML Artifact Resolve-Response (Authentication Response) <?xml version="1.0" encoding="utf-8"?> <soap11:envelope xmlns:soap11="..."> <soap11:body> <saml2p:artifactresponse... InResponseTo="4C57FA38A1D1B6E4E053A993B30A4FF1"...> <saml2p:response ID="_9576d0f98947ad985b0f18b046cc42eec233a1 InResponseTo="4C563893E6D13974E053A993B30AB2F2" IssueInstant=" T13:14:16Z" > <saml2:issuer...> </saml2:issuer> <saml2p:status> <saml2p:statuscode Value="urn:oasis:names:tc:SAML:2.0:status:Success"/> </saml2p:status> <saml2:assertion ID="..." IssueInstant=" T13:14:16Z"...> <saml2:issuer>...</saml2:issuer> <ds:signature >...</ds:signature> <saml2:subject> <saml2:nameid Format="..."> rudolfrnoe </saml2:nameid>... 16

17 Inhalt 1. DB Systel 2. Einführung in SAML 2 3. Umsetzung von Single-Sign-On mit SAML bei der DB Systel 4. Datengetriebene Autorisierung 17

18 Umsetzung von Single-Sign-On mit SAML bei der DB Systel Rahmenbedingungen für Umsetzung SAML-SSO Laufzeitarchitektur cmp APEX-Laufzeitarchitektur Server Tomcat 1 CDB ORDS JDBC <<use>> PDB 1 AJP Apache <<use>> AJP <<use>> Tomcat 2 ORDS JDBC <<use>> PDB 2 AJP <<use>> Tomcat... ORDS JDBC <<use>> PDB... 18

19 Umsetzung von Single-Sign-On mit SAML bei der DB Systel Rahmenbedingungen für Umsetzung SAML-SSO Umstellung von ca. 50 bestehenden Anwendungen von CAS auf SAML Hochstandardisierte Umgebungen, die skriptgesteuert erzeugt werden Keine manuellen Eingriffe möglich Keine Abhängigkeiten zwischen Entwicklung und Betrieb Unterstützung von Public -Pages 19

20 Umsetzung von Single-Sign-On mit SAML bei der DB Systel Standardlösungen für SAML 2 Tomcat PicketLink ( Öffentliche Seiten innerhalb einer Anwendung nicht umsetzbar, da die Konfiguration des Security-Contextes keine regulären Ausdrücke unterstützt Apache mod_mellon ( Shibboleth ( Im Falle von öffentlichen Seiten innerhalb einer Anwendung müsste der Security-Context mit Hilfe von regulären Ausdrücken definiert und bei neuen Seiten immer wieder angepasst werden. 20

21 Umsetzung von Single-Sign-On mit SAML bei der DB Systel Umsetzung SAML SSO mit APEX und PL/SQL Authentication Schema Auth-Function prüft nur, ob Benutzer vorhanden und nicht gesperrt ist. Umleitung zu öffentlicher Seite zur Generierung des Auth-Request 21

22 Umsetzung von Single-Sign-On mit SAML bei der DB Systel Umsetzung SAML SSO mit APEX und PL/SQL Öffentliche Seite zur Generierung des Auth-Requests 22

23 Einführung in SAML 2 Zur Erinnerung SAML Authentication Request Service Provider (APEX-Anwendung) liefert ein sich selbst abschickendes Formular: <form method="post" action=" <input type="hidden" name="samlrequest" value="<base64 encoded AuthRequest>" /> <input type="hidden" name="relaystate" value="<transparent-information>" /> <input type="submit" value="submit" /> </form> SAML Authentication Request: <saml2p:authnrequest xmlns:saml2p="urn:oasis:names:tc:saml:2.0:protocol" AssertionConsumerServiceURL=" Destination=" ForceAuthn="false" ID="4C563893E6D13974E053A993B30AB2F2" IsPassive="false" IssueInstant=" T11:03:53.949Z" ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Artifact" Version="2.0"> <saml2:issuer xmlns:saml2="urn:oasis:names:tc:saml:2.0:assertion"> </saml2:issuer> </saml2p:authnrequest> 23

24 Umsetzung von Single-Sign-On mit SAML bei der DB Systel Umsetzung SAML SSO mit APEX und PL/SQL Generierung des Authentication-Requests Generierung eindeutige Request-Id Befüllung Template für Auth-Request Base64 Codierung Auth-Request Generierung Relay-State Befüllung Template für HTML-Form 24

25 Umsetzung von Single-Sign-On mit SAML bei der DB Systel Umsetzung SAML SSO mit APEX und PL/SQL Mod-Rewrite der Artifact-Response auf Basis des Relay-State Nach erfolgreicher Authentifizierung durch Identity Provider HTTP/?.? 302 Moved Temporarily Content-Length: 0 Location: Parameters SAMLart:AAQAAFzRUGx1EuT0t6mbGbhMq8m0IMeRuCLp6k9or7Enj8OchPw2oOA0qFE%3d RelayState:host=...rz.db.de&context_path=/cdb8asmasodevi&app_id=158&page_alias=SSO_SAML_AUTHENTICATION&session_id= &debug_mode=NO &item_name=saml_artifact RewriteEngine on RewriteCond %{QUERY_STRING} ^SAMLart=(.*)&RelayState=host%3d(.*)%26context_path%3d%2f(.*)%26app_id%3d(\d+)%26page_alias%3d( [A-Z_]+)%26session_id%3d(\d+)%26debug_mode%3d (YES NO)%26item_name%3d([A-Z_]+)$ [NC] RewriteRule "/sso" " [R=302,NE,L,QSD] 25

26 Umsetzung von Single-Sign-On mit SAML bei der DB Systel Umsetzung SAML SSO mit APEX und PL/SQL Öffentliche Seite als Rücksprungadresse für SSO-Server 26

27 Umsetzung von Single-Sign-On mit SAML bei der DB Systel Umsetzung SMAL SSO mit APEX und PL/SQL Aufruf Artifact-Resolve und Validierung Auth-Response Not here 27

28 Inhalt 1. DB Systel 2. Einführung in SAML 2 3. Umsetzung von Single-Sign-On mit SAML bei der DB Systel 4. Datengetriebene Autorisierung 28

29 Umsetzung von Single-Sign-On mit SAML bei der DB Systel Motivation für datengetriebene Autorisierung Autorisierung Zugriffssteuerung auf Seiten und Funktionen APEX Autorisierungsschema Wiederverwendbare Bedingung zur Steuerung des Zugriffs auf ein Set von Seiten / Funktionen, deren Ergebnis gecached wird. Problem Bei einer größeren Anzahl von Rollen werden die Überschneidungen der Funktionsberechtigungen der Rollen geringer Starker Anstieg der Anzahl der Autorisierungsschema Beispiel Rolle Zugriff auf Seiten A 1, 2 B 2, 3 C 1, 3 3 Autorisierungsschema 29

30 Datengetriebene Autorisierung Datenmodell class Datengetriebe Authorisierung <<domain>> Benutzer <<domain>> Rolle 1 * 1 * <<enumerat... Zugriff Action <<domain>> Seitenberechtigung WRITE READ 1 * page_id 30

31 Datengetriebene Autorisierung Application Items für Speicherung autorisierter Seiten Doppelpunkt getrennte Liste mit autorisierten Navigationseinträgen Doppelpunkt getrennte Liste mit Seiten mit Lese- oder Schreibberechtigung Doppelpunkt getrennte Liste mit Seiten mit Schreibberechtigung 31

32 Datengetriebene Autorisierung Befüllung App-Items in Post-Login-Procedure select ':' listagg(page_id,':') within group (order by page_id) ':' into v_allowed_pages from ( select distinct a.page_id page_id from dbs_user_role uur join dbs_role ur on uur.role_id = ur.id join dbs_user_authorization a on ur.id = a.role_id where uur.user_id = nv('g_user_id') ); apex_util.set_session_state('g_dbs_allowed_pages', v_allowed_pages);... 32

33 Datengetriebene Autorisierung Generische Autorisierungsschema und -funktionen function authorize_access return boolean as begin return instr(v('g_dbs_allowed_pages'), ':' v('app_page_id') ':') > 0; end; function authorize_write return boolean as begin return instr(v('g_dbs_allowed_pages_write'), ':' v('app_page_id') ':') > 0; end; 33

34 Datengetriebene Autorisierung Berechtigungsprüfung bei Navigationseinträgen Wird genutzt um Application-Item für berechtigte Navigationseinträge zu befüllen 34

35 Datengetriebene Autorisierung Konfiguration über APEX-Seite 35

36 Vielen Dank für Ihre Aufmerksamkeit! Rudolf Noé Business Solution Development Solutions 4 Smart Business Small Solutions (D.IPB 25) Tel.: Mobil: rudolf.r.noe@deutschebahn.com DB Systel GmbH Jürgen-Ponto-Platz Frankfurt am Main