Improving the Scalability of Identity Federations through Level of Assurance Management Automation Michael Grabatin, Wolfgang Hommel, Stefan Metzger

Transkript

1 Improving the Scalability of Identity Federations through Level of Assurance Management Automation Michael Grabatin, Wolfgang Hommel, Stefan Metzger und Daniela Pöhn

2 Agenda Motivation State of the Art Automatisierung der Überprüfung Level of Assurance SAML Automatisierung Ausblick 09/06/16 Leibniz-Rechenzentrum 2

3 Motivation Aktuelle Situation im Hochschulumfeld: Lokales Identity & Access Management (I&AM): LDAP oder relationale Datenbank mit Benutzerinformationen (Attribute) Föderiertes Identitätsmanagement (FIM) für Kollaborationen mit SAML: Service Provider (SP), Identity Provider (IDP) und Attribute Authority (AA) Signierte Metadaten: Information über Kommunikationsendpunkte Schema: Semantik und Syntax von Attributen Interföderiertes Identitätsmanagement (IFIM) 21/05/16 Leibniz-Rechenzentrum 3

4 Motivation Technisches Vertrauen: Austausch von aggregierten Metadaten Weiteres Vertrauen: Entitäten schließen Verträge mit Föderationen Manche Föderationen haben Verlässlichkeitsklassen Level of Assurance (LoA) Unterschiedliche Umsetzung von LoA Föderationen schließen Verträge mit Inter-Föderation edugain Kein einheitlicher Standard 09/06/16 Leibniz-Rechenzentrum 4

5 Motivation Föderation 3 Kantara AL Föderation 2 NIST LoA Föderation 1 Kein LoA Universität C Universität B Universität A Föderation TTP Inter-Föderation Wiki SP Foodle SP Moodle SP Kommerzieller SP IdP 09/06/16 Leibniz-Rechenzentrum 5

6 State of the Art - LoAs DFN-AAI: Test, Basic und Advanced InCommon (USA): IAP Bronze und Silver Haka/SURFnet: Self-Assessment NIST: SP mit 4 Levels ISO: ISO/IEC 29115:2013 mit 4 Levels EU: eidas mit 3 Levels Kantara: IAF mit 4 Levels 2-4 Levels IdP wird dem Level zugeordnet, das er zu 100% erfüllt. Ist nur ein Aspekt gering, bekommt IdP das geringe Level. Um LoAs zu vergleichen, müssen alle Aspekte verglichen werden. 09/06/16 Leibniz-Rechenzentrum 6

7 State of the Art LoA Aspekte Identification: Wie wird ein Benutzer durch den IdP identifiziert? Beispiel: manuell durch Ausweis im Gegensatz zur Selbstregistrierung Data Management: Wie aktuell sind die Benutzerinformationen? Beispiel: einmal im Jahr im Gegensatz zu nach 2 Wochen Authentication: Wie wird der Benutzer authentifiziert? Beispiel: Passwort im Gegensatz zu Multi-Faktor Authentifizierung Assertion Representation: Wie werden die Benutzerinformationen vom IdP zum SP gesendet? Beispiel: TLS-verschlüsselte Verbindung und digitale Signatur im Gegensatz zu keinem Schutz Accountability: Welche Sicherheitsmaßnahmen werden durch den IdP verwendet? Beispiel: Monitoring und IDS Organizational Management: Welche organisatorischen Sicherheitsmaßnahmen existieren? Beispiel: Gegenseitiges oder internes Audit im Gegensatz zu nichts 09/06/16 Leibniz-Rechenzentrum 7

8 State of the Art LoA-Kommunikation Metadaten SAML Identity Assurance Profile: URI-Referenzen zur Spezifikation von LoAs. Externe Dokumentation Vectors of Trust (VoT): Einzelne LoA-Aspekte als URN-Text-Strings (Internet-Draft). Keine externe Dokumentation, aber Interpretation von Aspekt und Wert Assertions edupersonassurance Attribut: Nutzer-spezifischer LoA Authentication Context Class statement: Authentifizierung Vectors of Trust als Attribut: keine Implementierung bisher 09/06/16 Leibniz-Rechenzentrum 8

9 Automatisierung der LoA-Überprüfung LoA-Datenmodell SAML Identity Assurance Profile: Vectors of Trust: urn:ietf:param:[tbd]:p1.cc.a3 %2Fassurance%2Floa1&vot=P1.Cc.A3 loa und vot: LoA-Identifier Parameter 09/06/16 Leibniz-Rechenzentrum 9

10 Automatisierung der LoA-Überprüfung LoA-Datenmodell %2Fassurance%2Floa1&vot=P1.Cc.A3 &attributes=telephonenumber,mobile LoA-Identifier loa und vot: Parameter attributes: LoA auf bestimmte Attribute einschränken Entweder SAML2 Attribute FriendlyName oder OID 09/06/16 Leibniz-Rechenzentrum 10

11 Automatisierung der LoA-Überprüfung SAML Metadaten IdPs und SPs können mehrere LoA URIs in SAML Metadaten angeben. Keine Änderungen an SAML Metadaten XML-Schema. Assertions IdPs können LoA URIs über Attribute wie edupersonassurance senden, wenn unterschiedliche Nutzer verschiedene LoAs besitzen. Request SPs benötigen eine standardisierte Art ihre LoA-Anforderungen im SAML Request zu senden. RequestedAuthnContext ist auf Authentifizierung begrenzt. 09/06/16 Leibniz-Rechenzentrum 11

12 Automatisierung der LoA-Überprüfung - Automatisierung 1. Jede IdP LoA URI muss mit jeder SP LoA URI verglichen werden SP Anforderungen sind erfüllt, wenn es mindestens ein LoA-Paar gibt, welches die Anforderungen erfüllt. 2. Wenn eine LoA URI loa und vot enthält, muss erst der effektive LoA spezifiziert werden. loa bestimmt den grundsätzlichen LoA, der durch vot erweitert oder angepasst wird. 3. Wenn IdP und SP unterschiedliche LoAs einsetzen, muss eine Vergleichstabelle verwendet werden. 09/06/16 Leibniz-Rechenzentrum 12

13 Automatisierung der LoA-Überprüfung - Automatisierung comparison_result compare_loa_uris(sp_loa_uris, idp_loa_uris) { } foreach sp_loa_uri in sp_loa_uris do { effective_sp_loa := parse_loa_uri(sp_loa_uri); foreach idp_loa_uri in idp_loa_uris do { } effective_idp_loa := parse_loa_uri(idp_loa_uri); foreach sp_loa_aspect in effective_sp_loa do { if (idp_loa_aspect of same type exists or can be derived via mapping table) { if (idp_loa_aspect.value < sp_loa_aspect.value) { } // IDP guarantee does not fulfill SP requirement continue with next idp_loa_uri; } else { // LoA aspect requested by SP is not known to IDP } continue with next idp_loa_uri; } return FULFILLED; // All relevant LoA aspects had suitable values } return NOT_FULFILLED; // No suitable (SP LoA, IDP LoA)-pair was found} 09/06/16 Leibniz-Rechenzentrum 13

14 Ausblick Ein automatischer LoA-Vergleich ist dann wichtig, wenn IdP und SP noch kein Vertrauen aufgebaut haben. LoA-Anforderungen oder Angaben sich seit dem letzten Vergleich geändert haben. IdPs Nutzergruppen mit unterschiedlichen LoA-Angaben haben. GÉANT TrustBroker ermöglicht dynamischen Metadatenaustausch Einschränkung auf passende IdP-SP-Paare. 09/06/16 Leibniz-Rechenzentrum 14