Federated Identity Management

Transkript

1 Federated Identity Management Verwendung von SAML, Liberty und XACML in einem Inter Campus Szenario 1 Fachbereich Informatik

2 Inhalt Grundlagen Analyse Design Implementierung Demo Zusammenfassung 2 Fachbereich Informatik

3 Grundlagen Single Sign On (SSO) Zugriffskontrolle 3 Fachbereich Informatik

4 Grundlagen SSO Ursachen: Verbreitung der Web Anwendungen und der Web Dienste Erstellung der Web Anwendungen als eine Aggregation mehrer Dienste Wachsender Bedarf an Benutzer Freundlichkeit Wachsender Bedarf an Sicherheit 4 Fachbereich Informatik

5 Grundlagen SSO 5 Fachbereich Informatik

6 Grundlagen SSO Definition Die Fähigkeit eines Benutzers sich einmal anzumelden und damit bei mehreren Anwendungen gleichzeitig angemeldet zu sein, die normalerweise ihre eigenen getrennte Anmeldung erfordern würden. 6 Fachbereich Informatik

7 Grundlagen SSO Muster Lösungen: Portal Security token Beispiel: cookie Cross Domain SSO (CDSSO) Zentrales Verzeichnis (Beispiel: Passport) Federated SSO (Beispiel: SAML and Liberty ) [email protected] 7 Fachbereich Informatik

8 Grundlagen Federated SSO Anwendung: B2B Kontext Verknüpfen und austauschen von Informationen zu digitale Identität zwischen Entitäten Entitäten: Service Providers (SP) Identity Providers (IdP) 8 Fachbereich Informatik

9 Grundlagen Federated SSO SP Hub model Quelle: Ping Identity 9 Fachbereich Informatik

10 Grundlagen Federated SSO IDP Hub model Quelle: Ping Identity 10 Fachbereich Informatik

11 Grundlagen Federated SSO Cross Domain Quelle: Ping Identity 11 Fachbereich Informatik

12 Grundlagen Zugriffskontrolle Definition Einschränkungszugriff auf Ressourcen auf Basis der Identität eines Verbrauchers AccessControl Subjects Permissions 12 Fachbereich Informatik

13 Grundlagen Zugriffskontrole Arten der Zugriffskontrolle: Discretionary Access Control (DAC) Mandatory Access Control (MAC) Role Based Access Control (RBAC) 13 Fachbereich Informatik

14 Grundlagen Zugriffskontrole XACML extensible Access Control Markup Language OASIS Standard Policy Sprache Sprache für Beschreibung von Zugriffskontroll Abfragen und Antworten Definiert einen Weg, Authorisierungsentscheidungen unter Berücksichtigung von Policies zu treffen 14 Fachbereich Informatik

15 Grundlagen Zugriffskontrole XACML Architektur Quelle: IBM 15 Fachbereich Informatik

16 Analyse Identity Wachsende Anzahl von Internet Transaktionen Vertraulichkeit wird benötigt Identity > Kern 16 Fachbereich Informatik

17 Analyse Identity Management Market Höhere Bedeutung Wachsende Wirtschaftszweig (10 Milliarden $ in 2 3 Jahren) M&A > VC investieren in Identity Management [email protected] 17 Fachbereich Informatik

18 Analyse Compliance Datenschutzgesetze um ein höheres Schutzniveau zu sichern EU Directive on Data Protection Sarbanes Oxley Act (SOX) Alle Unternehmen müssen diese Anforderungen erfüllen Automatisierte Compliance durch Identity Management Produkte 18 Fachbereich Informatik

19 Analyse Identity Management Produkte Geeignet für große Unternehmen Federated Identity Management teilweise möglich Teuer 19 Fachbereich Informatik

20 Analyse Motivation Ziel Kleine Unternehmen müssen Datenschutzgesetze erfüllen Existierende Identity Management Produkte sind zu teuer SSO durch federated identity wird benötigt ein federated identity management Model basiert auf open source Produkten 20 Fachbereich Informatik

21 Design Use Case Diagram 21 Fachbereich Informatik

22 Design Architektur 22 Fachbereich Informatik

23 Design Werkzeuge: JBoss SourceID ID FF 1.2 Java Toolkit 2.0 Open source Liberty implememntierung Angewendet als SP und IDP OpenLDAP Tomcat Axis 1.3 Sun's XACML 1.2 engine [email protected] 23 Fachbereich Informatik

24 Implementierung Ein SP Ein Attribute Authority (AA) Ein IDP Ein Web Service: Grades Web Service Ein PEP integriert in der Web Service Ein PDP 24 Fachbereich Informatik

25 Implementierung SP Authentifizierung gegen ein AA (LDAP Server) Username Password Rolle Eine Funktionalität Anrufen des Grade Web Service Der Web Service Client ist als Servlet implementiert 25 Fachbereich Informatik

26 Implementierung Web Service PEP Abfangen der Abfrage Transformieren in ein XACML Abfrage Authentifizierungs Entscheidung empfangen und durchsetzen Business logic 2 Methoden: Eine für Studenten eigene Note lesen Eine nur für Professoren alle Noten lesen [email protected] 26 Fachbereich Informatik

27 Implementierung PDP Kommunikation über SSL Empfängt und evaluiert eine XACML Abfrage Evaluation anhand von 2 XACML Policies Antwortet der PEP mit einer Authentifizierungs Entscheidung Baut auf der Demo PDP verfügbar in der XACML Implementierung von Sun ( open source) [email protected] 27 Fachbereich Informatik

28 Demo zur Wiederholung Fachbereich Informatik

29 Demo Ablauf Identity federation SSO Zugriffskontrolle Beispiele: Student Professor 29 Fachbereich Informatik

30 Zusammenfassung Federated Indentity Management hohe Bedeutung Muster für Federated Idenity Management in ein intercampus Szenarium Open source Werkzeuge wurden verwendet Mögliche Erweiterungen: SAML 2.0 WS Security XACML Fachbereich Informatik

31 Fragen? Feedback bitte! 31 Fachbereich Informatik

32 Vielen Dank für Ihre Aufmerksamkeit! 32 Fachbereich Informatik