Dezentrales Identity Management für Web- und Desktop-Anwendungen

Transkript

1 Dezentrales Identity Management für Web- und Desktop-Anwendungen Sebastian Rieger, Thorsten Hindermann Gesellschaft für wissenschaftliche Datenverarbeitung mbh Göttingen, Germany 1. DFN - Forum Kommunikationstechnologien Verteilte Systeme im Wissenschaftsbereich, , Kaiserslautern

2 Agenda Bedarf für Identity Management (IDM) Klassifizierung unterschiedlicher IDM Lösungen Dezentrales IDM für Web-Anwendungen (Föderationen, benutzerzentriert) Integration von Desktop-Anwendungen in Föderationen Herausforderungen und Grenzen für Single- bzw. Reduced Sign-On Fazit und Ausblick DFN-Forum 2008 Dezentrales Identity Management für Web- und Desktop-Anwendungen 2

3 Evolution des Identity Managements Ziel: Verminderung des Aufwands bei Authentifizierung, Autorisierung, Accounting einheitliche Authentifizierung, single password / username, Single Sign-On (SSO) Früher zentrale Lösungen (NIS, Verzeichnisdienste, ) Silos, Inseln eingeschränkte Skalierbarkeit (für Externe, Kooperationen,...), Problem Datenschutz zunehmend dezentral (Kerberos, PKI, federated identity, ) Fokus liegt derzeit auf Web-Anwendungen (SAML, z.b. Shibboleth) Aktuelle Entwicklung: Föderationen (vgl. DFN-AAI, NDS-AAI, MPG-AAI,...) Verbindung des IDM verschiedener Standorte (standortübergreifendes IDM) Vertrauensstellung technisch: Zertifikate, juristisch: Policy Herausforderungen: Accounting, Integration mehrerer Föderationen und Datenschutz (Pseudonymisierung) DFN-Forum 2008 Dezentrales Identity Management für Web- und Desktop-Anwendungen 3

4 Dezentralisierung des Identity Managements zentrale Verzeichnisse z.b.: NIS, LDAP, Passport, Synchronisation: Skript-basiert, Meta-Directory; Proxy: RADIUS, Virtual Directory, CAS Föderationen: (Kerberos - Trusts), SAML, Shibboleth, ADFS, benutzerzentriert: OpenID, CardSpace, sxip, higgins, DFN-Forum 2008 Dezentrales Identity Management für Web- und Desktop-Anwendungen 4

5 Föderative Authentifizierung federated identity Trennung in Service Provider (SP) und Identity Provider (IdP) Single Sign-On über SPs (innerhalb der Föderation) Vertrauen über Token / Assertion der Heimatorganisation (bzw. IdP) Für Autorisierung: Attribute föderationsweit standardisiert z.b. eduperson, edupersonentitlement (z.b. Common-lib-terms) mittels URN / URI Vertrauen innerhalb der Föderation durch Zertifikate, Policy (metadata) Beispiel: DFN-AAI Basis: Security Assertion Markup Language (SAML) SAML 2.0, Organization for the Advancement of Structured Information Standards (OASIS) Implementierungen: Shibboleth, ADFS, Liberty, DFN-Forum 2008 Dezentrales Identity Management für Web- und Desktop-Anwendungen 5

6 Probleme bei föderativer Authentifizierung Integration in mehreren Föderationen Lösungsansatz: IdP in mehreren Föderationen edugain (Konföderation) Datenschutz (Attribute verlassen Heimatorganisation ) Lösungsansatz: Attribute Release Policy (ARP), Zustimmung des Benutzers (ShARPE, ArpViewer, ) Pseudonymisierung (edupersontargetid), Herausforderung für Accounting derzeit liegt der Fokus auf Web-Anwendungen Ansätze für Grid-Anwendungen existieren (GridShib) Desktop-Anwendungen / Netzwerk-Authentifizierung teilweise geplant DFN-Forum 2008 Dezentrales Identity Management für Web- und Desktop-Anwendungen 6

7 Benutzerzentriertes IDM Nächste Evolutionsstufe des IDM ( user-centric, Identity 2.0, ) Treiber: Datenschutz, ubiquitäre Nutzung, Vereinfachung Selbstbestimmung, -verwaltung der Identitäten durch Benutzer Identity Selector ideale Lösung für Integration mehrerer Föderationen (Auswahl: Benutzer) Verwendung von Karten - sog. I-Cards (Information Cards) Managed (IdP), Personal (Self-Signed), Relationship (Social Networking) Implementierungen: OpenID, CardSpace, sxip, higgins, Bandit, Ping...der Fokus liegt allerdings auch hier auf Web-Anwendungen... DFN-Forum 2008 Dezentrales Identity Management für Web- und Desktop-Anwendungen 7

8 Dezentrales IDM für Desktop-Anwendungen Anforderungen durch externe Nutzer (Forschungsgruppen, Fluktuation,...) - Zugang zu Rechnern (z.b. CIP-Pools für Studierende), Funk-LAN - Virtuellen Arbeitsplätzen (Terminaldienste), Storage Probleme bei der Verwendung zentraler Lösungen - Synchronisation ist schwierig, Proxy erfordert einheitliche Schnittstelle - Fehlender persönlicher Kontakt (erschwert De-Provisioning) - Häufig separate Accounts (Eingrenzung der Autorisierung schwierig)...föderationen lösen genannte Probleme... für Web-Anwendungen...benutzerzentrierte Verfahren teilweise noch unsicher, geringe Verbreitung... Verwendung Föderations-basierter Verfahren für Desktop-Anwendungen DFN-Forum 2008 Dezentrales Identity Management für Web- und Desktop-Anwendungen 8

9 Authentifizierung am Windows Desktop Prototypische Implementierung: Shibboleth-basierte Authentifizierung am Desktop (zunächst für Windows) Shibboelth-basierte Authentifizierung am Funk-LAN (web-basiert) Windows Login verwendet Graphical Identification and Authentication (kurz: GINA) Proprietäres, komplexes C++ API, hoher Implementierungsaufwand Verfügbare Open Source Erweiterung: pluggable GINA pgina z.b. Module für Windows Authentifizierung gegen RADIUS, LDAP, SSH, Zusätzlich Integration / Authentifizierung gegen Active Directory C++ API /.NET Wrapper SDK DFN-Forum 2008 Dezentrales Identity Management für Web- und Desktop-Anwendungen 9

10 Realisierung pgina Shibboleth Plug-In Implementierung eines Shibboleth (1.3 und 2.0) Plug-Ins Verzicht auf Lokalisierung mittels WAYF stattdessen Realm-basiert (DNS) Beispiel: SRV Record aus DNS für _shibboleth._tcp.gwdg.de ggf. zukünftig Verwendung von Shibboleth 2.0 Discovery Service (passive) Plug-In übernimmt Funktionen eines Shibboleth SPs derzeit separater SP Plug-In führt HTTP Redirects / Authentifizierung durch Zertifikat-Prüfung (anhand Föderation bzw. metadata.xml) DFN-Forum 2008 Dezentrales Identity Management für Web- und Desktop-Anwendungen 10

11 Dezentrales IDM für Desktop-Anwendungen SP: Service Provider, IdP: Identity Provider, ADS: Active Directory Services, TGT: Ticket Granting Ticket DFN-Forum 2008 Dezentrales Identity Management für Web- und Desktop-Anwendungen 11

12 Realisierung pgina Shibboleth Plug-In Nach erfolgreicher Authentifizierung am IdP: pgina erzeugt Benutzer-Profil wird vom Plug-In durch _ ersetzt) samaccountname wird auf 20 Zeichen gekürzt User Principle Name (UPN) enthält Benutzernamen in voller Länge (mit _ ) Beispiel: mmuster_gwdg.de@externes.institut.domain Integration in Active Directory Domäne pgina legt nach der Authentifizierung Benutzerkonto im AD an Anmeldung erfolgt durch pgina zusätzlich gegen das Active Directory Kerberos-Ticket ermöglicht Single Sign-On im Windows-Umfeld...ideal wäre Integration föderations-basierter Verfahren im AD (ggf. ADFS?) DFN-Forum 2008 Dezentrales Identity Management für Web- und Desktop-Anwendungen 12

13 Grenzen des realisierten Reduced Sign-On SSO für AD Services, Web-SSO über Kerberos (Windows) möglich Alternative: Speicherung des vom IdP übermittelten Cookies - Durch Realisierung als Session Cookie nicht ohne Plug-In / separate Konfiguration - Problematisch in Bezug auf die Sicherheit des Cookies im Benutzerprofil auch bei Authentifizierung im Web-Browser kein SSO - z.b. kein Kerberos-Ticket für Zugriff auf File-Services etc. Grenzen sind für genannte Problemstellung akzeptabel - nicht SSO sondern Zugriff für externe bzw. verteilte Benutzergruppen im Fokus (CIP-Pools, Terminaldienste,...) Lösung für Unix, Linux analog mittels PAM möglich (pam_shib) - erforderlich: Lösung für Name Service Switch (NSS), uid für Externe DFN-Forum 2008 Dezentrales Identity Management für Web- und Desktop-Anwendungen 13

14 Fazit und Ausblick Föderations- bzw. SAML-basierte Verfahren neben Web- auch für Desktop-Anwendungen verwendbar SAML-basierte Lösungen adressieren Probleme bei Integration externer Nutzer durch Verzicht auf WAYF (Lokalisierung mittels Realm) bessere Skalierbarkeit Realm-basierte Lösung auch für Web-Authentifizierung verwendet (IdP Proxy) Lösung kann um benutzerzentrierte Verfahren erweitert werden Web(2.0)-Anwendungen könnten Anforderungen zunehmend relativieren Umfassendes Single Sign-On?: Integration dezentraler / SAML-basierter Authentifizierungsverfahren in zukünftige Betriebssysteme? Vielen Dank für die Aufmerksamkeit! DFN-Forum 2008 Dezentrales Identity Management für Web- und Desktop-Anwendungen 14