Di 8.3 January 21-25, 2008, Munich, Germany ICM - International Congress Centre Munich Windows CardSpace und das Identity Metasystem Philosophie, Technik und Praxis Dominick Baier
In-depth support and consulting for { software architects and developers } Windows CardSpace und das Identity Metasystem Philosophie, Technik und Praxis Dominick Baier thinktecture dominick.baier@thinktecture.com Agenda Warum? Identity Metasystem Windows CardSpace Beispiele 2
Offline Authentifizierung???! Authority Web Service Browser Web Server 3 Online Authentifizierung Meist mit Benutzername/Passwort Gemeinsame Geheimnisse Missbrauch sehr einfach Identity Silos 4
Identity silos!
15 Anwendungs-zentrisch 16
Benutzer-zentrisch 17 Identity Systeme Zentralisierter (single) Sign-On und Datenspeicherung Microsoft Live ID Yahoo ID Google Account Liberty 18
Identity Metasystem Kein Identity-System funktioniert für jeden Viel mehr wird ein übergeordnetes System benötigt Kompatibilität vorausgesetzt WS-* Protokolle Standard Token Formate (z.b. SAML) Basiert auf den 7 Laws of Identity 19 7 Laws of Identity User control and consent Minimal disclosure Justifiable parties Directional identity Multiple operators and technologies Human integration Consistent experience across contexts 20
Identity Ecosystem 21 Authentifizierung mit WS-Sec Token E S Contract & Policies X509 SAML Kerberos XrML Custom 22 X509 Certificate Private Key
Tokens und Claims Claims sind Zusatzinformationen über einen Benutzer Name, Email Adresse, Alter Claims werden in Tokens transportiert = 23 Identity Metasystem Spieler Benutzer Relying Party Identity Provider 24
Beispiel: Login Benutzer trigg e r Login Relying Party Identity Provider Auswählen einer Identität Benutzer Identity Provider Relying Party
Token anfordern Benutzer Auth : X509, Kerb, SIC, U/PWD Relying Party Identity Provider Token übermitteln Benutzer Identity Provider Relying Party
Windows CardSpace sog. Identity Selector imitiert den Geldbeutel Bestandteil von.net 3.0 (XP, Vista, Server 2003/8) Information Cards Self-Issued Managed Bob s Card Bank/Government/CC Benutzt einen lokalen STS Daten sind lokal gespeichert Vergleichbar mit Visitenkarte Drittanbieter STS Kreditkarte, Regierung Lokal nur Metadaten vorhanden
Information Card Aus Sicht des Benutzers Daten über mich Name, Adresse, Telefon Daten über eine (Geschäfts) Beziehung Frequent Flyer / Fluggesellschaft Kreditkarte / Bank Einwohner / Regierung Evtl. zusätzliche Authentifierung erforderlich SmartCard Windows Domänen Logon Information Card Aus Sicht des Computers Token Format SAML, Kerberos STS Informationen Adresse Metadaten Policy Authentifizierungs Informationen Zertifikate ID Windows Account
Information Cards und Phishing Public Key signiert von Private Key PPID Surname Givenname Seite die Ebay phischt dynamisch erzeugt Benutzer Eingaben Anwendungs-Integration APIs befinden sich im.net Framework seit Version 3.0 System.IdentityModel WCF Integration ASP.NET Unterstützung Java, PHP, Ruby Frameworks Browser Plugins IE, Firefox, Safari 34
Beispiele Microsoft Live Logon z.b. Hotmail Otto Versand SignOn.com Experian.co.uk 35 Zusammenfassung Das Identity Metasystem kann einige Probleme lösen Identity Silos Phishing Interoperabilität CardSpace ist die Microsoft/Windows Implementierung eines Identity Selectors Aber auch noch ein paar Probleme Mobilität von Karten Verfügbarkeit von (kommerziellen) Identity Providern
Ressourcen Email Dominick Baier dominick.baier@thinktecture.com Weblog Dominick Baier http://www.leastprivilege.com thinktecture http://www.thinktecture.com 37 Ressourcen Mein Blog http://www.leastprivilege.com/searchview.aspx?q=cardspace ASP.NET Identity Selector Control http://tinyurl.com/2mwa5j ASP.NET Toolkit http://go.microsoft.com/fwlink/?linkid=89183 Identity Selector Interop Profile Specification http://tinyurl.com/2t96mm Implementers Guide to Identitiy Selector Interop http://tinyurl.com/2mhno2 Guide to integrate CardSpace in Web Applications http://tinyurl.com/2vcghc Web Application Design Patterns for CardSpace http://tinyurl.com/2ddjpm
Ressourcen Ruby on Rails support (RP) http://rubyforge.org/projects/informationcard/ http://www.codeplex.com/informationcardruby Java support (RP) http://sourceforge.net/projects/informationcard/ http://www.codeplex.com/informationcardjava http://xmldap.org/ Firefox plugin http://www.perpetual-motion.com/ Safari plugin http://www.hccp.org/safari-plug-in.html Dominick Baier und thinktecture Wir unterstützen Software-Entwickler und Architekten bei der Realisierung von.net- und Web Services-Projekten Wir versuchen, am Puls der Zeit zu bleiben und gleichzeitig die heutigen Probleme mit heutiger Technologie zu lösen Meine Spezialgebiete sind Sicherheit in verteilten Anwendungen, Identitäts-Management sowie die Windows/.NET Sicherheits-APIs und Technologien http://www.thinktecture.com/ dominick.baier@thinktecture.com 40
In-depth support and consulting for { software architects and developers } http://www.thinktecture.com/ christian.weyer@thinktecture.com http://blogs.thinktecture.com/cweyer/ 41