Accelerate your esales in the Digital Marketplace.

Ähnliche Dokumente
Webalizer HOWTO. Stand:

Lizenzierung von SharePoint Server 2013

Adressen und Kontaktinformationen

Mail-Signierung und Verschlüsselung

Lizenzierung von SharePoint Server 2013

AbaWeb Treuhand. Hüsser Gmür + Partner AG 30. Oktober 2008

teamsync Kurzanleitung

Sichere Anleitung Zertifikate / Schlüssel für Kunden der Sparkasse Germersheim-Kandel. Sichere . der

1. SaxIS-Shibboleth. Shibboleth-Workshop. Chemnitz, 15. Dezember Dipl. Wirt.-Inf. Lars Eberle, Projekt SaxIS und BPS GmbH

Unified Communication Client Installation Guide

Whitepaper. Produkt: combit Relationship Manager 7. combit Relationship Manager -rückläufer Script. combit GmbH Untere Laube Konstanz

Statuten in leichter Sprache

FastViewer v3 bei der TechniData IT-Service GmbH

Installationsanleitung FRITZ!BOX Fon 7270

S Sparkasse Hohenlohekreis. Leitfaden zu Secure

DIRECTINFO 5.7 SICHERHEITSKONZEPTE FÜR BENUTZER, INFORMATIONEN UND FUNKTIONEN

Lokale Installation von DotNetNuke 4 ohne IIS

Vorwort... 1 Voraussetzungen... 1 Teilnahme am Testmeeting... 2 Browser Add-on für WebEx installieren... 3 Einrichtung des Audiokanals...

Anleitung für die Teilnahme an den Platzvergaben "Studio II, Studio IV und Studio VI" im Studiengang Bachelor Architektur SS15

Dokumentenverwaltung im Internet

macs Support Ticket System

Das Roaming Cockpit. Inhalt. 1 Das Roaming Cockpit Aufrufen des Roaming Cockpit über den Browser... 3

SUB-ID- VERWALTUNG MIT GPP SETUP-GUIDE FÜR PUBLISHER

Leitfaden zur Moduleinschreibung

Sichere für Rechtsanwälte & Notare


Umstieg auf Microsoft Exchange in der Fakultät 02

Merkblatt i.s. Authentifizierungsverfahren

Info-Veranstaltung zur Erstellung von Zertifikaten

MSXFORUM - Exchange Server 2003 > SMTP Konfiguration von Exchange 2003

Forefront Threat Management Gateway (TMG) und Forefront Unified Access Gateway (UAG) Die perfekte Lösung

Innovative Kommunikations- und Verwaltungslösung für Unternehmen in der Pflege- und Gesundheitsbranche

Hilfedatei der Oden$-Börse Stand Juni 2014

Matrix42. Use Case - Sicherung und Rücksicherung persönlicher Einstellungen über Personal Backup. Version September

Online-Dateienablage und Datenaustauschdienst Box.net Stand: September 2011

PhoneLine. Innovation for you!

Das Festkomitee hat die Abi-Seite neu konzipiert, die nun auf einem (gemieteten) Share Point Server

GEZIELT MEHR SICHERHEIT MIT 4I ACCESS SERVER & 4I CONNECT CLIENT

Matrix42. Matrix42 Cloud Trial Erste Schritte. Version

Quick Guide Trainer. Fairgate Vereinssoftware. Zürich Oberland Pumas Postfach Pfäffikon ZH

ISA Server 2004 Erstellen einer Webverkettung (Proxy-Chain) - Von Marc Grote

ecaros2 - Accountmanager

Dokumentation des Online-Softwareshops der Universität zu Köln

Integrated Services Realtime Remote Network

Loggen Sie sich in Ihrem teamspace Team ein, wechseln Sie bitte zur Verwaltung und klicken Sie dort auf den Punkt Synchronisation.

Hinweise zum elektronischen Meldeformular

Hinweise zur Nutzung des E-Learning Systems Blackboard (Teil 4): Teil I: Informationen über andere Beteiligte des Kurses

ID VisitControl. Dokumentation Administration Equitania Software GmbH cmc Gruppe Seite 1

Anleitung für die Hausverwaltung

Wir machen neue Politik für Baden-Württemberg

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Die Backup-Voreinstellungen finden Sie in M-System Server unter dem Reiter "Wartung".

Erfahrungen mit Hartz IV- Empfängern

Daten-Synchronisation zwischen dem ZDV-Webmailer und Outlook ( ) Zentrum für Datenverarbeitung der Universität Tübingen

MARCANT - File Delivery System

Konzentration auf das. Wesentliche.

Anwenderleitfaden Citrix. Stand Februar 2008

Tutorium zur Mikroökonomie II WS 02/03 Universität Mannheim Tri Vi Dang. Aufgabenblatt 3 (KW 44) ( )

Übersicht Die Übersicht zeigt die Zusammenfassung der wichtigsten Daten.

Bereich METIS (Texte im Internet) Zählmarkenrecherche

Anleitung auf SEITE 2

Informationen zum Ambulant Betreuten Wohnen in leichter Sprache

Welcome to Trend Micro Leitfaden Deal-Registration

Stand: Adressnummern ändern Modulbeschreibung

Diese Daten fließen dann sowohl der Arbeitszeitverwaltung der Mitarbeiter, dem Tätigkeitsnachweis und der Nachkalkulation von Projekten zu.

Kundenregistrierung am egeodata Austria Portal

Warum Sie jetzt kein Onlinemarketing brauchen! Ab wann ist Onlinemarketing. So finden Sie heraus, wann Ihre Website bereit ist optimiert zu werden

Outlook Web App Kurzanleitung. Zürich, 09. Februar Eine Dienstabteilung des Finanzdepartements

Familie Wiegel. Solarstrom vom eigenen Dach. In Kooperation mit:

Verwendung des IDS Backup Systems unter Windows 2000

Speicher in der Cloud

Einrichtung einer eduroam Verbindung unter dem Betriebssystem Android

Advoware mit VPN Zugriff lokaler Server / PC auf externe Datenbank

e-books aus der EBL-Datenbank

CTI SYSTEMS S.A. CTI SYSTEMS S.A. 12, op der Sang. Fax: +352/ L Lentzweiler. G.D.

Befragt wurden Personen zwischen 14 und 75 Jahren von August bis September Einstellung zur Organ- und Gewebespende (Passive Akzeptanz)

Streamingserver - Aufzeichnung einer Lehrveranstaltung Ablauf

Horen. PRESENTED BY: André Schmidt

Dokumentation. Black- und Whitelists. Absenderadressen auf eine Blacklist oder eine Whitelist setzen. Zugriff per Webbrowser

Abwesenheitsnotiz im Exchange Server 2010

Umzug der abfallwirtschaftlichen Nummern /Kündigung

Dann zahlt die Regierung einen Teil der Kosten oder alle Kosten für den Dolmetscher.

Kapsch Carrier Solutions GmbH Service & Support Helpdesk

Konto erstellen und inskribieren mit PH-Online Anleitung für Studierende (VS, ASO, HS)

Die Statistiken von SiMedia

Ein Vorwort, das Sie lesen müssen!

Informationen als Leistung

E-Rechnung: Einfach, bequem und sicher zahlen

Zertifikate Swiss Government SSL CA 01


Produktvorstellung: CMS System / dynamische Webseiten. 1. Vorwort

Inbetriebnahme einer Fritzbox-Fon an einem DSLmobil Anschluss Konfiguration einer PPPOE-Einwahl (DSLmobil per Funk)

Installation von pocket*strepla und erste Schritte mit dem Programm

So geht s Schritt-für-Schritt-Anleitung

Kundenleitfaden zur Sicheren per WebMail

Bedienungsanleitung: Onlineverifizierung von qualifiziert signierten PDF-Dateien

Technical Note 0606 ewon

StudyDeal Accounts auf

Erfahrungsbericht für BayBIDS-Stipendiaten

Eine eigene Seite auf Facebook-Fanseiten einbinden und mit einem Tab verbinden.

Transkript:

Accelerate your esales in the Digital Marketplace. Shibboleth auf Umwegen Ein Erfahrungsbericht über die Integration eines Service Providers in ein hochverfügbares Multi Softwareportal System 6. Oktober 2009 Jörgen Dahlke Diplom-Informatiker

Gliederung - Was wird vorgestellt? asknet AG Steckbrief Motivation für den Einsatz von Shibboleth Technische Umsetzung Ausblick

asknet AG: Steckbrief 1995 als Spin-Off von der Universität Karlsruhe gegründet Versorgte die Universität bzw. das Rechenzentrum mit Software Spezialisierung auf Software-Vertrieb über das Internet (als erstes Unternehmen Deutschlands) Weitere Universitäten und Rechenzentren kamen als Kunden im Laufe der Jahre hinzu Inzwischen werden unsere Software-Portale von nahezu 80% aller deutschen Universitäten genutzt Page 3

asknet AG: Softwareportale Jede Universität / Rechenzentrum besitzt einen eigenes Software-Portal mit eigenen Produkten und Angeboten Mehr als fünfzig Portale Page 4

Gliederung - Was wird vorgestellt? asknet AG Steckbrief Motivation für den Einsatz von Shibboleth Technische Umsetzung Ausblick

Motivation Portale haben grundsätzlich erstmal keine Single-Sign-On Anbindung Unabhängige Accountverwaltung, völlig losgelöst vom jeweiligen Universitätsaccount Motivation 1: Vereinfachung des Login-Prozess für den Kunden Web 2.0 Single-Sign-On Technologien Shibboleth (SAML) Open ID Microsoft Cardspace Motivation 2: Einstieg in die neuen Single-Sign-On Standards Page 6

Motivation Zugriff auf das Portal sollen nur bestimmten Personen haben (Unversitätsangehörige, Studenten, Mitarbeiter) Nutzer besitzen oft verschiedene Berechtigungen Software zu erwerben z.b. Spezielle Microsoftrabatte für Studenten Wie wird überprüft, für welche Ressourcen jemand berechtigt ist? Per Post, Email oder Fax eine schriftliche Bestätigung der Universität Anschließend wird der Account des Studenten / Mitarbeiters mit entsprechenden Berechtigungen versehen Motivation 3: Prozessoptimierung Wartezeit für den Nutzer auf Null reduzieren Fehler minimieren, Personal entbinden Page 7

Motivation Anfrage der Universität Tübingen, ob man gemeinsam eine Authentifizierung und Authorisierung mit Shibboleth 2 realisieren können Motivation 4: Anfrage und später Projekt mit dem ZDV der Universität Tübingen Danke! Page 8

Gliederung - Was wird vorgestellt? asknet AG Steckbrief Motivation für den Einsatz von Shibboleth Technische Umsetzung Ausblick

Umsetzung - Vorbedingungen Sind ein ServiceProvider; IdP übernimmt die Accountverwaltung der Universität Auf unseren Webservern laufen mehr als einhundert Systeme, welche ständig verfügbar sein müssen (24 / 7) Kein Linuxserver / kein Servercluster / kein IIS noch nicht auf Shibboleth-SP getestet wollten eine Lösung, welche nur die laufenden Systeme gar nicht oder höchstens minimal beeinflußt eigener Linux-Server mit Shibboleth-SP ohne direkte Koppelung an das bestehende System Page 10

Umsetzung - Vorbedingungen Wunsch: Shibboleth Lösung später auf andere Software-Portale erweiterbar Kundenmigrierung bekannte Kunden sollen sich mit ihren IdP Credentials in ihren schon bestehenden Account einloggen können Shibboleth dient so sowohl der Authentifizierung des Nutzers im Software-Portal als auch der Authorisierung für Nutzer mit besonderen Berechtigungen Shibboleth 2 - Service Provider Page 11

Umsetzung - Überblick (1) Nutzer greift auf das Softwareportal zu (2) Applikation wird aufgerufen und initiiert eine lazy Session auf einem anderen Server (3) + (4) SAMLRequest des SP an den IdP und die Response (5) SAMLResponse wird von CGI auf ServiceProvider auswertet und die Attribute an PortalServer geschickt (6) Nutzer erhält Zugriff auf Ressource abhängig von Attributen Page 12

Umsetzung - Detail Wenn der Nutzer vom IdP mit einer Antwort zurückkehrt, werden die Attribute wie üblich vom SP als Serverumgebungsvariablen zur Verfügung gestellt und von einem serverseitigen Script (Return URL) auf dem SP-Server ausgelesen Das Script auf dem Serviceproviderserver schickt den Nutzer zusammen mit den Attributswerten als URL Parameter zurück zum eigentlichen Portal Page 13

Umsetzung Mit Hilfe des signierten Hashs kann die Applikation Manipulationen der Attribute durch den Nutzer erkennen Somit ist die Integrität der Daten gesichert Zwischen Portalserver und Serviceprovider werden die Daten mit SSL-Verschlüsselung übertragen Zusätzlich zu den Daten (Attribut-Wert-Paare) wird jedoch ebenfalls ein signierter Hash der Werte übertragen Auch gegen Replay-Attacks gesichert nur korrekt authentifizierte und authorisierte Nutzer können sich im Portal anmelden beziehungsweise erhalten die Berechtigungen und den Zugriff auf die Ressourcen, die ihnen zustehen Page 14

Umsetzung - Gesamtbild Einzige Änderungen sind in der speziellen Software-Portal-Applikation und auf dem Shibbolethserver Minimal invasiv für andere Software-Portale Shibboleth SP und Proxy können so theoretisch beliebig viele Portale bedienen Page 15

Gliederung - Was wird vorgestellt? asknet AG Steckbrief Motivation für den Einsatz von Shibboleth Technische Umsetzung Ausblick

Ausblick Stand: im Live Betrieb mit der Uni Tübingen Arbeiten noch an automatische Überwachung Shibboleth-Anbindung an weitere Universitäten ist in Planung Auffüllen der Nutzerdaten (z.b. für Lieferadressen) soweit wie möglich über Attribute Natürlich datenschutztechnisch brisant, deshalb konfigurierbar nach IdP Kein Identity Provider in Planung Page 17

Thank you for your attention! Tack Gracias Vielen Dank Merci ありがとうございます Bedankt спасибо Tak 谢 谢 Thank You ευχαριστώ 감사합니다 Kiitos Takk Grazie Dziękujemy Obrigado Jörgen Dahlke Diplom Informatiker joergen.dahlke@asknet.com Phone: +49 (0)721 / 96 458-6462 asknet AG Vincenz-Priessnitz-Str.3 76131 Karlsruhe, Germany www.asknet.com Page 18

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback