Norm 410 Security Token Service



Ähnliche Dokumente
Norm 410 Security Token Service

Norm 225 Service Definition mit WSDL

Verteilte Systeme: Übung 4

Norm 440 Externe Navigation in VU-Portale

Norm 240 Versionierung

Übersicht. Angewandte Informatik 2 - Tutorium 6. Teile einer WSDL-Datei. Was ist WSDL. Besprechung: Übungsblatt 5

Bedienungsanleitung. Matthias Haasler. Version 0.4. für die Arbeit mit der Gemeinde-Homepage der Paulus-Kirchengemeinde Tempelhof

Das vorliegende Dokument beinhaltet vertrauliche Informationen und darf nicht an Dritte weitergereicht werden.

Version Deutsch In diesem HOWTO wird beschrieben wie Sie Ihren Gästen die Anmeldung über eine SMS ermöglichen.

robotron*e count robotron*e sales robotron*e collect Anmeldung Webkomponente Anwenderdokumentation Version: 2.0 Stand:

Skript Pilotphase für Arbeitsgelegenheiten

Web Services stellen eine Integrationsarchitektur dar, die die Kommunikation zwischen verschiedenen Anwendungen

Handbuch. timecard Connector Version: REINER SCT Kartengeräte GmbH & Co. KG Goethestr Furtwangen

Agentur für Werbung & Internet. Schritt für Schritt: -Konfiguration mit Apple Mail

Technisches Datenblatt

Man liest sich: POP3/IMAP

INHALTSVERZEICHNIS Allgemeine Beschreibung... 3 Verwendung der Webseite... 4 Abbildungsverzeichnis... 12

Mobile-Szenario in der Integrationskomponente einrichten

Um über FTP Dateien auf Ihren Public Space Server - Zugang laden zu können benötigen Sie folgende Angaben:

a.sign Client Lotus Notes Konfiguration

Die Beschreibung bezieht sich auf die Version Dreamweaver 4.0. In der Version MX ist die Sitedefinition leicht geändert worden.

Einstiegshilfe für das Übersenden elektronischer Teilnahmebestätigungen an ÄrztInnen

oder ein Account einer teilnehmenden Einrichtung also

UserManual. Konfiguration SWYX PBX zur SIP Trunk Anbindung. Version: 1.0, November 2013

SharePoint-Migration.docx

Dokumentation: Selbstregistrierung

Verschlüsselung

1. Einleitung Abfrage des COON-Benutzernamens Ändern des Initial-Passwortes Anmelden an der COON-Plattform...

Anleitung BFV-Widget-Generator

Anforderungen an die HIS

INFORMATION MONITOR HSM SOFTWARE GMBH CLIENT-INSTALLATION

Online-Prüfungs-ABC. ABC Vertriebsberatung GmbH Bahnhofstraße Neckargemünd

-Konten für Studierende und Zugriffswege auf die Mail-Systeme der Hochschule Rhein-Waal

Anleitung. Schritt für Schritt: iphone und ipad. Richten Sie Ihr -Konto mit Ihrem iphone oder ipad Schritt für Schritt ein.

Datenempfang von crossinx

Support-Ticket-System. - Anleitung zur Benutzung -

Sichere Anleitung Zertifikate / Schlüssel für Kunden der Sparkasse Germersheim-Kandel. Sichere . der

1 Kurzanleitung IMAP-Verfahren

Anleitung OpenCms 8 Inhaltstyp Kommentare

Neuerungen in ReviPS Version 12g

Optimierung des Versicherungsvertriebes

Anleitung mtan (SMS-Authentisierung) mit SSLVPN.TG.CH

Elektronische Zustellung WKO / AustriaPro. Status Arbeitspakete PL.O.T

IMAP Backup. Das Programm zum Sichern, Synchronisieren, Rücksichern und ansehen von gesicherten Mails. Hersteller: malu-soft

Firewalls für Lexware Info Service konfigurieren

Autorisierung. Sicherheit und Zugriffskontrolle & Erstellen einer Berechtigungskomponente

Shellfire PPTP Setup Windows 7

Task: Nmap Skripte ausführen

AlwinPro Care Modul Schnittstelle TV-Steuerung

Fachbericht zum Thema: Anforderungen an ein Datenbanksystem

Apple Mail, ical und Adressbuch

Erste Schritte mit TeamSpeak 3

Titel. SCSM ITIL - CMDB - neue CI Klasse erstellen und benutzen. Eine beispielhafte Installationsanleitung zur Verwendung im Testlab

openk platform Dokumentation Setup Liferay Version 0.9.1

Betr.: Neuerungen eps Online-Überweisung

Richtlinie zur Vergabe von Domains im öffentlichen Interesse

Diese Kurzanleitung beschreibt die nötigen Einstellungen, um mit pixafe Transfer Bilder auf einem Facebook Konto veröffentlichen zu können.

BüroWARE Exchange Synchronisation Grundlagen und Voraussetzungen

Synchronisations- Assistent

Citrix-Freigabe Sage Office Line Evolution 2012

Kurzanleitung SEPPmail

Proxyeinstellungen für Agenda-Anwendungen

Installation des COM Port Redirectors

SIP Konfiguration in ALERT

Erstellen einer in OWA (Outlook Web App)

Das Handbuch zu KAppTemplate. Anne-Marie Mahfouf Übersetzung: Burkhard Lück

Einrichten eines Postfachs mit Outlook Express / Outlook bis Version 2000

Installation Microsoft Lync 2010 auf Linux

Beispiel Zugangsdaten -Konto

Vorgaben und Erläuterungen zu den XML-Schemata im Bahnstromnetz

Firewalls für Lexware Info Service konfigurieren

Version White Paper ZS-TimeCalculation und die Zusammenarbeit mit dem iphone, ipad bzw. ipod Touch

Übung - Datenmigration in Windows 7

Anbindung von Thunderbird an (mit Kalender und Kontakten) Besuchen Sie uns im Internet unter

SSH Authentifizierung über Public Key

Schnittstellenbeschreibung zur Importschnittstelle der Vollmachtsdatenbank

Systemanschluss Makler

.htaccess HOWTO. zum Schutz von Dateien und Verzeichnissen mittels Passwortabfrage

Maileinstellungen Outlook

Anlegen eines Nebennutzers an der e Vergabe 5.0

COMPUTER MULTIMEDIA SERVICE

Dokumentenmanagement mit hyscore

Webseitenintegration. Dokumentation. v1.0

Revit Modelle in der Cloud: Autodesk 360 Mobile

INHALT 1. INSTALLATION DES V-MODELL XT UNTER WINDOWS 7 2. INSTALLATION DES V-MODELL XT UNTER WINDOWS VISTA

How- to. E- Mail- Marketing How- to. Subdomain anlegen. Ihr Kontakt zur Inxmail Academy

SEPA Lastschriften. Ergänzung zur Dokumentation vom Workshop Software GmbH Siemensstr Kleve / /

SharePoint Demonstration

ERSTELLEN VON INCENTIVES IM ZANOX NETZWERK

Einrichtung Konto Microsoft Outlook 2010

Sonstige Marktregeln Gas

Installation und Bedienung von vappx unter ios

Whitepaper. Produkt: address manager David XL Tobit InfoCenter AddIn für den address manager Zuordnung

Benutzeranleitung Service Desk Tool Erizone

Hilfe zur Urlaubsplanung und Zeiterfassung

NTR-Support Die neue Fernwartung

Java Enterprise Architekturen Willkommen in der Realität

Transkript:

1 Norm 410 Security Token Service 2 3 4 Release und Version Release 2 Version 2.5.0 (2.4.0) vom 25.04.2013, NAUS-Beschluss vom 14.06.2012 5 6 7 8 9 10 Status Arbeitsentwurf vom 12.08.2008 Potenzielle Norm vom 28.08.2008 Vorgeschlagene Norm 08.10.2010 RFC Fristende am 12.01.2011 Offizielle Norm unveröffentlicht vom 27.01.2011 11 12 Editor Geschäftsstelle BiPRO e.v. 13 14 15 16 17 18 19 20 21 Autoren Dr. Dieter Ackermann, VOLKSWOHL BUND (dieter.ackermann@volkswohl-bund.de) Dr. Günther vom Hofe, Continentale (guenter.vomhofe@continentale.de) Dr. Thomas Kippenberg, NÜRNBERGER (thomas.kippenberg@nuernberger.de) Dr. Torsten Schmale, inubit AG (ts@inubit.com) Sören Chittka, VOLKSWOHL BUND (soeren.chittka@volkswohl-bund.de) Carsten Baehr, VOLKSWOHL BUND (carsten.baehr@volkswohl-bund.de) Markus Heussen, Unternehmensberatung (heussen@standardisierung.net) Fabian Stolz, VOLKSWOHL BUND (fabian.stolz@volkswohl-bund.de) 22 23 24 Gegenstand der Norm Die vorliegende Norm 410 definiert die Schnittstelle zur Implementierung eines Security- Token-Services (STS). 25 26 27 28 29 30 Voraussetzung Norm 225 Release 2 Norm 260 Release 2 Norm 270 Release 2 Norm 280 Release 2 - Seite 1 von 10 -

31 32 33 34 Hinweise zum Urheberrecht Dieses Norm-Dokument, wie auch alle anderen damit im Zusammenhang stehenden Dokumente (z.b. technische Dateien, Datenmodell etc.) von BiPRO unterliegen dem Urheberrecht. 35 36 37 38 BiPRO-Normen und andere Dokumente stehen während ihrer Entwicklungs- und Qualitätssicherungsphase nur den Mitgliedern des BiPRO e.v. zur Nutzung und Anwendung zur Verfügung. Die Überlassung an diesen geschlossenen Empfängerkreis stellt keine Erstveröffentlichung, zu deren der BiPRO e.v. allein berechtigt ist, dar. 39 40 41 42 43 44 Die BiPRO-Normen werden nach erbrachtem Nachweis der Praxistauglichkeit und mit der Feststellung des Status "Offizielle Norm" (ON) für die allgemeine Veröffentlichung freigegeben (vgl. BiPRO Norm 100: Allgemeine Grundlagen der Normierung) und sodann von BiPRO der Öffentlichkeit als BiPRO-Norm einschließlich der dazugehörigen Dokumente über das vereinsöffentliche Normenportal von BiPRO zur Verfügung gestellt; es gelten die dort veröffentlichten jeweils aktuellen Nutzungsbedingungen www.bipro.net/nutzungsbedingungen. 45 - Seite 2 von 10 -

46 Inhaltsverzeichnis 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 Norm 410 Security Token Service... 1 Inhaltsverzeichnis... 3 Einführung... 4 Verwendete Standards... 4 Abgrenzung... 4 Spezifikation... 5 Template Definition... 5 WSDL-Template für einen Security-Token-Service (STS)... 5 wsdl:definitions... 5 wsp:policy... 6 wsdl:types... 6 wsdl:message... 6 wsdl:porttype... 6 wsdl:binding... 8 wsdl:service... 8 wsdl:port... 9 63 - Seite 3 von 10 -

64 Einführung 65 66 67 Verwendete Standards Grundlage des in dieser Norm spezifizierten Security-Token-Services (STS) sind die folgenden OASIS Spezifikationen. 68 69 70 71 WS-Security (Version 1.1) Sicherheitsframework für Web Services WS-Trust (Februar 2005) Definition von Security-Token-Services WS-SecureConversation (Februar 2005) Abwicklung sicherer Sessions WS-SecurityPolicies (Juli 2005) Definition der Sicherheitsanforderungen 72 73 74 WS-Trust definiert einen Security-Token-Service und WS-SecureConversation das Verfahren, wie ein Sicherheitskontext-Token (Security Context Token) generiert und genutzt wird. Beide Spezifikationen sind sehr umfassend und wurden explizit als Baustein-System entworfen. 75 76 77 78 Abgrenzung Diese Norm enthält lediglich die detaillierte technische Spezifikation der Schnittstelle eines STS im Sinne von BiPRO. Die Verfahren zur Einbindung des STS sind in Norm 260 beschrieben, die Erstellung von Sicherheitspolicies ist ebenfalls Teil der Norm 260. 79 - Seite 4 von 10 -

80 Spezifikation 81 82 Template Definition Im weiteren Verlauf werden folgende Variablen für Templates verwendet: Variable Wert ${X1} Namespace WS-Trust: http://schemas.xmlsoap.org/ws/2005/02/trust ${X2} Namespace WS-Policy : http://schemas.xmlsoap.org/ws/2004/09/policy 83 84 85 86 87 88 89 90 91 WSDL-Template für einen Security-Token-Service (STS) Die verschiedenen Web Service-Funktionen, mit denen die von einem Provider im BiPRO- Umfeld angebotenen Authentifizierungsverfahren realisiert werden, DÜRFEN sich nur auf der untersten Ebene der Schnittstellenbeschreibung unterscheiden, nämlich hinsichtlich der Service-Endpoints. Sie lassen sich darum als Kommunikationsschnittstellen ( WSDL-Ports) eines einzigen STS realisieren, dessen WSDL-Beschreibung über drei message-elemente, ein porttype-element, ein binding-element und ein service-element mit mehreren port- Elementen verfügt. Im Folgenden wird ein Template für eine solche WSDL-Beschreibung vorgestellt. 92 93 94 Alternativ DARF jedes Authentifizierungsverfahren in einem eigenen STS realisiert werden. Die WSDL-Beschreibungen dieser Services sind dann weitgehend identisch, da sie sich nur in den jeweils einzigen Port-Elementen unterschieden. 95 96 Um eine BiPRO-Konformität sicher zu stellen, MUSS die Beschreibung der STS-Schnittstelle unter Verwendung der allgemeinen Muster für WSDL Templates (siehe Norm 225) erfolgen. 97 98 99 wsdl:definitions Dieses Template definiert den grundlegenden Aufbau der Schnittstellendatei und die rele- vanten Namensräume (siehe Norm 225). - Seite 5 von 10 -

100 101 wsp:policy Das Template zu diesem Abschnitt ist in Norm 260 definiert. 102 103 104 wsdl:types Dieses Template definiert die Objekte und Datentypen, die vom Consumer an den STS oder vom STS an den Consumer übertragen werden können. 105 106 107 108 109 110 111 112 113 114 115 116 117 118 Das Template zu diesem Abschnitt wird analog zur Norm 225 gebildet. Entsprechend der verwendeten Spezifikationen werden mehrere externe Schemata importiert. <wsdl:types> <xsd:schema version="1.0" xmlns="http://www.w3.org/2001/xmlschema" xmlns:xsd="http://www.w3.org/2001/xmlschema"> <xsd:import namespace="${1}" schemalocation="${1}/ws-trust.xsd" /> </xsd:schema> <xsd:schema version="1.0" xmlns="http://www.w3.org/2001/xmlschema" xmlns:xsd="http://www.w3.org/2001/xmlschema"> <xsd:import namespace="${2}" schemalocation="${2}/ws-policy.xsd" /> </xsd:schema> </wsdl:types> 119 120 121 122 123 124 125 126 127 128 129 130 wsdl:message Dieses Template definiert die zwischen Consumer und STS zu übertragenden Daten. Hier erfolgt die Verknüpfung der Schnittstellen-Funktionen mit den in den XML-Schemata des Providers und der WS-Trust-Spezifikation definierten Nachrichten bzw. Objekten. <wsdl:message name="requestsecuritytokenrequest"> <wsdl:part name="parameters" element="wst:requestsecuritytoken"/> </wsdl:message> <wsdl:message name="requestsecuritytokenresponse"> <wsdl:part name="parameters" element="wst:requestsecuritytokenresponse"/> </wsdl:message> Eine Exception Message wird nicht definiert, da das Fehlerhandling entsprechend Norm 260 über SOAPFaults realisiert ist. 131 132 133 wsdl:porttype Dieses Template definiert die Eingangs-, Ausgangs- und Fehlernachrichten, die im Rahmen der STS-Funktion verwendet werden. - Seite 6 von 10 -

134 135 136 137 138 139 140 141 142 143 <wsdl:porttype name="securitytokenserviceporttype"> <wsdl:operation name="requestsecuritytoken" parameterorder="parameters"> <wsdl:documentation>${3}</wsdl:documentation> <wsdl:input message="bipro:requestsecuritytokenrequest" name="requestsecuritytokenrequest"/> <wsdl:output message="bipro:requestsecuritytokenresponse" name="requestsecuritytokenresponse"/> </wsdl:operation> </wsdl:porttype> Variable Wert ${3} Dokumentation der STS-Funktion. ACHTUNG: Diese fachliche Erläuterung wird möglicherweise innerhalb eines generischen Clients innerhalb der Benutzeroberfläche visualisiert. 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 Beispiel <wsdl:porttype name="securitytokenserviceporttype"> <wsdl:operation name="requestsecuritytoken" parameterorder="parameters"> <wsdl:documentation> Dieser Service gibt nach erfolgreicher Authentifizierung ein Security Token (Security Context Token) zurueck. Die Authentifizierung kann dabei entweder mit Benutzername und Passwort oder mit einem VDG-Ticket erfolgen. </wsdl:documentation> <wsdl:input message="bipro:requestsecuritytokenrequest" name="requestsecuritytokenrequest"/> <wsdl:output message="bipro:requestsecuritytokenresponse" name="requestsecuritytokenresponse"/> </wsdl:operation> </wsdl:porttype> 159 - Seite 7 von 10 -

160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 wsdl:binding Dieses Template bestimmt das konkrete Protokoll und die Art der Nachrichtenübertragung innerhalb der einzelnen Funktionen. <wsdl:binding name="securitytokenservicebinding" type="bipro:securitytokenserviceporttype"> <soapbind:binding style="document" transport="http://schemas.xmlsoap.org/soap/http"/> <wsp:policyreference URI="#${4}" /> <wsdl:operation name="requestsecuritytoken"> <soapbind:operation soapaction="urn:requestsecuritytoken" style="document"/> <wsdl:input name="requestsecuritytokenrequest"> <soapbind:body use="literal"/> </wsdl:input> <wsdl:output name="requestsecuritytokenresponse"> <soapbind:body use="literal"/> </wsdl:output> </wsdl:operation> </wsdl:binding> Variable Wert ${X4} Id der zugehörigen SecurityPolicy 180 181 182 183 184 185 186 187 188 189 190 191 wsdl:service Dieses Template fasst eine Reihe unterschiedlicher Kommunikationsschnittstellen (Service- Endpoints) in einem Service zusammen. Die Ports sind gewissermaßen Instanzen des PortTypes. <wsdl:service name="securitytokenservice"> <wsdl:documentation>${x5}</wsdl:documentation> <wsdl:port>${x6}</wsdl:port> <wsdl:port>${x6}</wsdl:port> <wsdl:port>...</wsdl:port> </wsdl:service> - Seite 8 von 10 -

192 Variable Wert ${X5} Erläuterung der Aufgaben des STS; Fachliche Dokumentation. ACHTUNG: Diese Erläuterung wird möglicherweise von generischen Clients in einer Benutzeroberfläche visualisiert. ${X6} Template gemäß folgendem Abschnitt wsdl:port 193 194 195 196 197 198 199 200 201 wsdl:port Dieses Template beschreibt eine einzelne Kommunikationsschnittstelle (Service-Endpoint), die zum STS gehört. Jede solche Schnittstelle entspricht einem Authentifizierungsverfahren, das der Provider anbietet. <wsdl:port name="${6}" binding="bipro:securitytokenservicebinding"> <wsdl:documentation>${x7}</wsdl:documentation> <soapbind:address location="${x8}"/> </wsdl:port> Variable Wert ${6} Eindeutige Kennzeichnung des Ports, z. B. UserPasswordLogin ${7} Erläuterung der Aufgabe der Kommunikationsschnittstelle; Fachliche Dokumentation. ACHTUNG: Diese Erläuterung wird möglicherweise von generischen Clients in einer Benutzeroberfläche visualisiert. ${X8} Internet-Adresse des Web Services, z. B. https://host/path/services/userpasswordlogin_2.1.0.1.0 202 203 204 205 206 207 208 209 210 Beispiel für ein vollständiges wsdl:service-element <wsdl:service name="securitytokenservice_2.1.0.1.0"> <wsdl:documentation> Dieser Service stellt Funktionen fuer die Authentifizierung mit Benutzername und Passwort oder mit einem VDG-Ticket zur Verfuegung. </wsdl:documentation> <wsdl:port name="userpasswordlogin" binding="bipro:securitytokenservicebinding"> <wsdl:documentation> - Seite 9 von 10 -

211 212 213 214 215 216 217 218 219 220 221 222 223 224 225 226 227 Diese Funktion erledigt die Authentifizierung mit Benutzername und Passwort. </wsdl:documentation> <soapbind:address location="https://host/path/services/userpasswordlogin_2.1.0.1.0"/> </wsdl:port> <wsdl:port name="vdgticketlogin" binding="bipro:securitytokenservicebinding"> <wsdl:documentation> Diese Funktion erledigt die Authentifizierung mit einem VDG-Ticket. </wsdl:documentation> <wsp:policyreference URI="#VDGAuthPolicy"/> <soapbind:address location="https://host/path/services/vdgticketlogin_2.1.0.1.0"/> </wsdl:port> </wsdl:service> - Seite 10 von 10 -

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback