Kobil Roundtable 2013 Identity Federation Konzepte und Einsatz
Basel, 23. Oktober 2013 3
AD domain controller AD domain controller csi-domäne File server Exchange server Basel, 23. Oktober 2013 4 cnlab-domäne
Basel, 23. Oktober 2013 5
Basel, 23. Oktober 2013 6
Alle diese Beispiele zeigen «Federations» Was ist Federation? Wie funktioniert Federation? Basel, 23. Oktober 2013 7
Identity Federation Basel, 23. Oktober 2013 8
Authentisierung mittels Pass Reisender Türkische Passbehörde Schweizer Zoll «Ich traue dir» «so sieht unser Pass aus» «gib mir einen Pass» Prüft Identität des Reisenden Pass vorzeigen Zöllner prüft Pass Identität des Reisenden wird anerkannt Basel, 23. Oktober 2013 9
Authentisierung mittels SAML User Identity Provider Service Provider Identity Federation Schlüssel «logge mich ein», Benutzername, Passwort «Benutzername» ist eingeloggt, Token Prüft Benutzername und Password «Benutzername» ist eingeloggt, Token Prüft Token User ist eingeloggt Basel, 23. Oktober 2013 10
Auch verwendet für Bibliotheken Zugang zu Journals Wohnungsvermittlungen e-learning Plattformen Stellen- /Praktikavermittlung etc. der Hochschulen. Basel, 23. Oktober 2013 11
Basel, 23. Oktober 2013 12
Authentisierung mittels OAuth User Identity Provider Service Provider Schlüssel Akzeptiert FB als IP «lass mich rein» «gib mir beschränkten Zugriff auf dein Konto beim Facebook» «gib Skype beschränkten Zugang» Benutzername, Passwort Token Facebook prüft Benutzername und Password «lass mich rein», Token «gib mir beschränkten Zugang» Prüft Token «Zugang ok», Benutzerdaten Prüft «ok» User ist eingeloggt Basel, 23. Oktober 2013 13
Basel, 23. Oktober 2013 14
Kerberos: eine Art Federation innerhalb der Domäne AD domain controller File server Exchange server Basel, 23. Oktober 2013 15 cnlab-domäne
Kerberos User Domänen-Kontroller Authentication Server Ticket Granting Server Schlüssel Application Server «logge mich ein» Benutzername, Passwort Ticket Granting Ticket Prüft Benutzername und Passwort «gib mir ein Service Granting Ticket» Ticket Granting Ticket Service Granting Ticket Prüft Ticket Granting Ticket «Gib Service», Service Granting Ticket Prüft Service Granting Ticket Erbringt Service Basel, 23. Oktober 2013 16
Begriffe zu Identity Federation Identity Provider Asserting Party SAML Authority Google Facebook Twitter Xing MySpace PayPal VeriSign Microsoft Active Directory SuisseID Yahoo LinkedIn Skype Service Provider Relying Party Wikitravel Behörden (e-goverment) The Guardian The Economist Stackoverflow buch.ch etc. OpenID OAuth SAML Protokolle Kerberos Shibboleth Radius Basel, 23. Oktober 2013 17
Service Provider Apple Microsoft The Economist Stackoverflow The Guardian PC Advisor Wer bietet was im Internet? Identity Provider Apple ID Microsoft Account ( ) 18
SuisseID als Identity Provider E-Portal verschiedener Gemeinden (Aesch, Altstätten, Amden, Amriswil, Andwil, Arbon, Au, B...) Behörden Brack Electronics buch.ch Post KPT SECO Die SuisseID-CA: auch eine Art Federation Post SuisseID Mobile Services: ein «klassischer» Identity Provider Basel, 23. Oktober 2013 19
Chancen und Risiken von Identity Federation Vereinfachtes ID-Management für den User Vereinfachtes Authentiserungsverfahren für den Service Provider Komfort durch Single Sign-on Sicherheitsmängel beim Identity Provider geben Zugang zum Service Provider Missbrauch von verwaisten Zugängen Fehlende Sperrung Fehlender Passwortwechsel Unerwünschtes Verhalten des Identity Provider: muss mich korrekt authentisieren darf nicht auf meine Service Provider zugreifen darf Dritten keinen Zugang auf meine Service Provider geben Problem der Verkettung mit einem erfolgreichen Angriff erlangt der Angreifer Zugang zu diversen Diensten Basel, 23. Oktober 2013 20
Danke Esther Hänggi esther.haenggi@cnlab.ch +41 55 214 33 36