Accelerate your esales in the Digital Marketplace. Shibboleth auf Umwegen Ein Erfahrungsbericht über die Integration eines Service Providers in ein hochverfügbares Multi Softwareportal System 6. Oktober 2009 Jörgen Dahlke Diplom-Informatiker
Gliederung - Was wird vorgestellt? asknet AG Steckbrief Motivation für den Einsatz von Shibboleth Technische Umsetzung Ausblick
asknet AG: Steckbrief 1995 als Spin-Off von der Universität Karlsruhe gegründet Versorgte die Universität bzw. das Rechenzentrum mit Software Spezialisierung auf Software-Vertrieb über das Internet (als erstes Unternehmen Deutschlands) Weitere Universitäten und Rechenzentren kamen als Kunden im Laufe der Jahre hinzu Inzwischen werden unsere Software-Portale von nahezu 80% aller deutschen Universitäten genutzt Page 3
asknet AG: Softwareportale Jede Universität / Rechenzentrum besitzt einen eigenes Software-Portal mit eigenen Produkten und Angeboten Mehr als fünfzig Portale Page 4
Gliederung - Was wird vorgestellt? asknet AG Steckbrief Motivation für den Einsatz von Shibboleth Technische Umsetzung Ausblick
Motivation Portale haben grundsätzlich erstmal keine Single-Sign-On Anbindung Unabhängige Accountverwaltung, völlig losgelöst vom jeweiligen Universitätsaccount Motivation 1: Vereinfachung des Login-Prozess für den Kunden Web 2.0 Single-Sign-On Technologien Shibboleth (SAML) Open ID Microsoft Cardspace Motivation 2: Einstieg in die neuen Single-Sign-On Standards Page 6
Motivation Zugriff auf das Portal sollen nur bestimmten Personen haben (Unversitätsangehörige, Studenten, Mitarbeiter) Nutzer besitzen oft verschiedene Berechtigungen Software zu erwerben z.b. Spezielle Microsoftrabatte für Studenten Wie wird überprüft, für welche Ressourcen jemand berechtigt ist? Per Post, Email oder Fax eine schriftliche Bestätigung der Universität Anschließend wird der Account des Studenten / Mitarbeiters mit entsprechenden Berechtigungen versehen Motivation 3: Prozessoptimierung Wartezeit für den Nutzer auf Null reduzieren Fehler minimieren, Personal entbinden Page 7
Motivation Anfrage der Universität Tübingen, ob man gemeinsam eine Authentifizierung und Authorisierung mit Shibboleth 2 realisieren können Motivation 4: Anfrage und später Projekt mit dem ZDV der Universität Tübingen Danke! Page 8
Gliederung - Was wird vorgestellt? asknet AG Steckbrief Motivation für den Einsatz von Shibboleth Technische Umsetzung Ausblick
Umsetzung - Vorbedingungen Sind ein ServiceProvider; IdP übernimmt die Accountverwaltung der Universität Auf unseren Webservern laufen mehr als einhundert Systeme, welche ständig verfügbar sein müssen (24 / 7) Kein Linuxserver / kein Servercluster / kein IIS noch nicht auf Shibboleth-SP getestet wollten eine Lösung, welche nur die laufenden Systeme gar nicht oder höchstens minimal beeinflußt eigener Linux-Server mit Shibboleth-SP ohne direkte Koppelung an das bestehende System Page 10
Umsetzung - Vorbedingungen Wunsch: Shibboleth Lösung später auf andere Software-Portale erweiterbar Kundenmigrierung bekannte Kunden sollen sich mit ihren IdP Credentials in ihren schon bestehenden Account einloggen können Shibboleth dient so sowohl der Authentifizierung des Nutzers im Software-Portal als auch der Authorisierung für Nutzer mit besonderen Berechtigungen Shibboleth 2 - Service Provider Page 11
Umsetzung - Überblick (1) Nutzer greift auf das Softwareportal zu (2) Applikation wird aufgerufen und initiiert eine lazy Session auf einem anderen Server (3) + (4) SAMLRequest des SP an den IdP und die Response (5) SAMLResponse wird von CGI auf ServiceProvider auswertet und die Attribute an PortalServer geschickt (6) Nutzer erhält Zugriff auf Ressource abhängig von Attributen Page 12
Umsetzung - Detail Wenn der Nutzer vom IdP mit einer Antwort zurückkehrt, werden die Attribute wie üblich vom SP als Serverumgebungsvariablen zur Verfügung gestellt und von einem serverseitigen Script (Return URL) auf dem SP-Server ausgelesen Das Script auf dem Serviceproviderserver schickt den Nutzer zusammen mit den Attributswerten als URL Parameter zurück zum eigentlichen Portal Page 13
Umsetzung Mit Hilfe des signierten Hashs kann die Applikation Manipulationen der Attribute durch den Nutzer erkennen Somit ist die Integrität der Daten gesichert Zwischen Portalserver und Serviceprovider werden die Daten mit SSL-Verschlüsselung übertragen Zusätzlich zu den Daten (Attribut-Wert-Paare) wird jedoch ebenfalls ein signierter Hash der Werte übertragen Auch gegen Replay-Attacks gesichert nur korrekt authentifizierte und authorisierte Nutzer können sich im Portal anmelden beziehungsweise erhalten die Berechtigungen und den Zugriff auf die Ressourcen, die ihnen zustehen Page 14
Umsetzung - Gesamtbild Einzige Änderungen sind in der speziellen Software-Portal-Applikation und auf dem Shibbolethserver Minimal invasiv für andere Software-Portale Shibboleth SP und Proxy können so theoretisch beliebig viele Portale bedienen Page 15
Gliederung - Was wird vorgestellt? asknet AG Steckbrief Motivation für den Einsatz von Shibboleth Technische Umsetzung Ausblick
Ausblick Stand: im Live Betrieb mit der Uni Tübingen Arbeiten noch an automatische Überwachung Shibboleth-Anbindung an weitere Universitäten ist in Planung Auffüllen der Nutzerdaten (z.b. für Lieferadressen) soweit wie möglich über Attribute Natürlich datenschutztechnisch brisant, deshalb konfigurierbar nach IdP Kein Identity Provider in Planung Page 17
Thank you for your attention! Tack Gracias Vielen Dank Merci ありがとうございます Bedankt спасибо Tak 谢 谢 Thank You ευχαριστώ 감사합니다 Kiitos Takk Grazie Dziękujemy Obrigado Jörgen Dahlke Diplom Informatiker joergen.dahlke@asknet.com Phone: +49 (0)721 / 96 458-6462 asknet AG Vincenz-Priessnitz-Str.3 76131 Karlsruhe, Germany www.asknet.com Page 18