Der lange Weg vom SSO-Server zu SAML und Identity Federation



Ähnliche Dokumente
3 Installation von Exchange

Internationales Altkatholisches Laienforum

Ihr Benutzerhandbuch AVIRA ANTIVIR EXCHANGE

Identity Propagation in Fusion Middleware

STRATO Mail Einrichtung Microsoft Outlook

Prodanet ProductManager WinEdition

Konfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung

So geht s Schritt-für-Schritt-Anleitung

MSXFORUM - Exchange Server 2003 > SMTP Konfiguration von Exchange 2003

Telefon-Anbindung. Einrichtung Telefonanlagen. TOPIX Informationssysteme AG. Stand:

Anleitung. Verschieben des alten -Postfachs (z.b. unter Thunderbird) in den neuen Open Xchange-Account

Downloadfehler in DEHSt-VPSMail. Workaround zum Umgang mit einem Downloadfehler

Electronic Systems GmbH & Co. KG

FuxMedia Programm im Netzwerk einrichten am Beispiel von Windows 7

1. Melden Sie sich als Administrator an und wechseln Sie zum Desktop

Bereitschafts Status System Konfigurations- und Bedienungsanleitung

Medea3 Print-Client (m3_print)

Umzug der abfallwirtschaftlichen Nummern /Kündigung

Arbeiten mit Workflows Installationsleitfaden Zur Installation des d3 Workflows

B E N U T Z E R D O K U M E N TA T I O N ( A L E P H I N O

Anleitung für die Einrichtung weiterer Endgeräte in 4SELLERS SalesControl

Anleitung zur Verwendung der VVW-Word-Vorlagen

Bevor Sie mit dem Wechsel Ihres Sicherheitsmediums beginnen können, sollten Sie die folgenden Punkte beachten oder überprüfen:

Sie können diesen Service verwenden, um fast beliebig große Dateien auch über 2 GB zu versenden.

a.sign Client Lotus Notes Konfiguration

inviu routes Installation und Erstellung einer ENAiKOON id

Installation OMNIKEY 3121 USB

Benachrichtigungsmöglichkeiten in SMC 2.6

Stammdatenanlage über den Einrichtungsassistenten

Anleitung zur Einrichtung von -accounts in Marktplatz06.de und Outlook

Rechenzentrum der Ruhr-Universität Bochum. Integration von egroupware an der RUB in Outlook 2010 mit Funambol

Clientkonfiguration für Hosted Exchange 2010

OP-LOG

3. Wählen Sie "Internet- " aus und klicken Sie wiederum auf "Weiter".

Anleitung zum Herunterladen von DIN-Vorschriften außerhalb des internen Hochschulnetzes

Enigmail Konfiguration

Installationsanleitung

Installation von Druckern auf dem ZOVAS-Notebook. 1. Der Drucker ist direkt mit dem Notebook verbunden

Konfiguration IKMZ / Universitätsrechenzentrum des Cisco VPN-Clients v3.6 Netze und Datenkommunikation

Joomla! 2.5. Grundlagen. Martin Wiedemann. 1. Ausgabe, Dezember 2012 JMLA25

Anleitung. Lesezugriff auf die App CHARLY Termine unter Android Stand:

GITS Steckbriefe Tutorial

Step by Step Softwareverteilung unter Novell. von Christian Bartl

2. Einrichtung der Verbindung zum Novell-NetStorage-Server

Mac OS X G4 Prozessor 450 MHz (G5- oder Intelprozessor empfohlen) 512 MB RAM. zusätzliche Anforderungen Online-Version

BüroWARE Exchange Synchronisation Grundlagen und Voraussetzungen

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Whitepaper. Produkt: combit Relationship Manager. combit Relationship Manager und Terminalserver. combit GmbH Untere Laube Konstanz

Nutzung von GiS BasePac 8 im Netzwerk

Dieses UPGRADE konvertiert Ihr HOBA-Finanzmanagement 6.2 in die neue Version 6.3. Ein UPGRADE einer DEMO-Version ist nicht möglich.

Einrichten eines POP-Mailkontos unter Thunderbird Mail DE:

BusinessMail X.400 Webinterface Gruppenadministrator V2.6

Synchronisations- Assistent

Einrichten einer DFÜ-Verbindung per USB

Warenwirtschaft Handbuch - Administration

Erfolgsmeldungen im Praxisbetrieb

Advoware mit VPN Zugriff lokaler Server / PC auf externe Datenbank

ecall Anleitung Outlook Mobile Service (OMS)

Konfiguration der tiptel Yeastar MyPBX IP-Telefonanlagen mit Peoplefone Business SIP Trunk

D a s P r i n z i p V o r s p r u n g. Anleitung. - & SMS-Versand mit SSL (ab CHARLY 8.11 Windows)

Windows 98 / Windows NT mit NCP WAN Miniport-Treiber 23. Oktober 1998

UMSTELLUNG DER RÖNTGEN-SCHNITTSTELLE DÜRR-DBSWIN AUF DÜRR-VDDS

Melde- und Veröffentlichungsplattform Portal (MVP Portal) Hochladen einer XML-Datei

Sichere Anleitung Zertifikate / Schlüssel für Kunden der Sparkasse Germersheim-Kandel. Sichere . der

ecaros2 - Accountmanager

Einrichtung einer eduroam Verbindung unter dem Betriebssystem Android

Visendo Serienfax Add-In für Microsoft. Word

ewon über GPRS und Fixed.IP aus dem Internet erreichen

Achtung Konvertierung und Update von BDE nach SQL

HOSTED EXCHANGE EINRICHTUNG AUF SMARTPHONES & TABLETS

Stand: Adressnummern ändern Modulbeschreibung

Barcodedatei importieren

Installation, Konfiguration und Nutzung des WLAN auf PDA FujitsuSiemens Pocket Loox 720

Outlook 2013

Die Backup-Voreinstellungen finden Sie in M-System Server unter dem Reiter "Wartung".

Frankfurt,

Installation, Einrichtung, Nutzung von PHOCA DOWNLOAD. Download-Links... 2

Anleitung zur Einrichtung Ihres PPPoE-Zugangs mit einer AVM FritzBox 7270 Inhalt

Windows-Sicherheit in 5 Schritten. Version 1.1 Weitere Texte finden Sie unter

2. Die eigenen Benutzerdaten aus orgamax müssen bekannt sein

Dieses Dokument soll dem Administrator helfen, die ENiQ-Software als Client auf dem Zielrechner zu installieren und zu konfigurieren.

Windows 2000 mit Arktur als primärem Domänencontroller (PDC)

Hilfedatei der Oden$-Börse Stand Juni 2014

teamsync Kurzanleitung

- Tau-Office UNA - Setup Einzelplatzinstallation. * Der griechische Buchstabe T (sprich Tau ) steht für Perfektion. Idee und Copyright: rocom GmbH

ABUS-SERVER.com Secvest. ABUS Security Center. Anleitung zum DynDNS-Dienst. Technical Information. By Technischer Support / Technical Support

MindPlan 4. Installations- u. Update-Hinweise. MindPlan 4. Stand: 24. März 2014 Seite: 1/12

Anleitung zur Daten zur Datensicherung und Datenrücksicherung. Datensicherung

iphone- und ipad-praxis: Kalender optimal synchronisieren

L10N-Manager 3. Netzwerktreffen der Hochschulübersetzer/i nnen Mannheim 10. Mai 2016

StudyDeal Accounts auf

1 Einleitung. Lernziele. automatische Antworten bei Abwesenheit senden. Einstellungen für automatische Antworten Lerndauer. 4 Minuten.

Auto-Provisionierung tiptel 31x0 mit Yeastar MyPBX

Anleitung für -Client Thunderbird mit SSL Verschlüsselung

Windows Server 2012 RC2 konfigurieren

Anleitung SEPA-Lastschriften mit VR-NetWorld Software 5

Leitfaden: geoport in FlowFact

Wie kann ich meine Daten importieren? Wie kann ich meine Profile verwalten?

Benutzerhandbuch - Elterliche Kontrolle

Transkript:

Der lange Weg vom SSO-Server zu SAML und Identity Federation Marc Brenkmann SüdLeasing GmbH Mannheim Dr. Joachim Reising PROMATIS software GmbH Ettlingen Schlüsselworte: Oracle Fusion Middleware 11g, Identity Management, Oracle Identity Federation, Oracle Access Manager, SAML, Single Sign-On Einleitung Single Sign-On ermöglicht Anwendern nicht nur ein einfacheres Arbeiten, sondern bietet auch ein erhöhtes Maß an Sicherheit, da die Anzahl der notwendigen Kennwörter erheblich reduziert wird. Aus Anwendersicht ist in den heutigen Portal-Landschaften diese Möglichkeit der einmaligen Authentifizierung nahezu unabdingbare Voraussetzung. Beim Upgrade von Oracle Application Server 10g nach Fusion Middleware 11g gibt es für den Oracle Single Sign-On Server keinen direkten Nachfolger. Stattdessen erfolgt hierbei ein Wechsel auf den Oracle Access Manager. Allerdings werden bei diesem verschiedene Features, wie die sogenannten external Applications, nicht mehr angeboten. Diese boten unter 10g die Möglichkeit, externe Web-Anwendungen mit eigener Benutzerverwaltung durch Speicherung der Benutzer-Informationen in die Single Sign-On Umgebung zu integrieren. Um auch nach dem Upgrade weiterhin die automatische Anmeldung zu ermöglichen, sollte am Beispiel einer Dokuwiki-Anwendung ein adäquater Ersatz gefunden und evaluiert werden. Das Problem Bei den Vorbereitungen zum Upgrade der diversen Application Server 10g-Umgebungen, wurde beim Studium des Upgrade Guides für Oracle Identity Management 11g der Hinweis gefunden, dass die sogenannten external Applications nicht in den Oracle Access Manager 11g übernommen werden. Die entsprechende Rückfrage bei Oracle Support bestätigte diese Tatsache und so stellte sich die Frage, in welcher Form für die betroffenen Anwendungen eine automatische Authentifizierung zur Verfügung gestellt werden kann. Bei den external Applications werden die Login-Daten für die entsprechende Anwendung bei der erstmaligen Eingabe in einer Datenbank-Tabelle gespeichert, wobei neben Benutzername und Passwort auch noch weitere Parameter hinterlegt werden können. Bei weiteren Verbindungsversuchen verwendet der SSO-Server diese Informationen, um die Anmeldung automatisch durchzuführen und somit dem Anwender die Notwendigkeit der manuellen Eingabe zu ersparen. Da aber keine der Komponenten von Oracle Identity Management 11g eine analoge Funktionalität bietet, wurden auch alle weiteren Möglichkeiten untersucht und auf ihre Machbarkeit im Zusammenhang mit einer Dokuwiki-Anwendung hin überprüft, wobei schon recht schnell der Begriff simplesamlphp in den Fokus der Untersuchungen trat. Die Werkzeuge

Bei simplesamlphp handelt es sich um eine PHP-Anwendung basierend auf SAML (Security Assertion Markup Language), einem XML-Framework zum Austausch von Authentifizierungs- und Autorisierungsinformationen. SAML wurde unter anderem für Single Sign-On und Autorisierungsdienste entwickelt und besteht aus SAML-Assertions, dem SAML-Protokoll, SAML-Bindings und Profilen. Die SAML-Assertions werden dabei von einem Identity Provider (IdP) zum Service Provider (SP) übertragen, die dieser verwendet, um über das Zulassen eines Zugriffs zu entscheiden. Um den IdP auf Seiten des Oracle Identity Managements zur Verfügung zu stellen, kann Oracle Identity Federation (OIF) verwendet werden, während der Service Provider in simplesamlphp selbst konfiguriert wird. Als weitere OIM-Komponente kommt schließlich der Oracle Access Manager (OAM) zum Einsatz, der nicht nur für diese Anwendung die Authentifizierung übernehmen soll, sowie eine WebGate- Installation für den WebServer von OIF. Zunächst werden die einzelnen Installationen durchgeführt: für die Oracle-Software ist auf einem separaten Middle-Tier-Server der WebLogic-Server und eine Domain durch das bereits im Vorfeld erfolgte Upgrade des OID vorhanden. Nach der Software-Installation wird diese Domain um die Konfiguration der beiden Komponenten Oracle Identity Federation mit Webtier und Oracle Access Manager erweitert. Auf dem zweiten Server, auf dem auch die Dokuwiki-Anwendung ausgeführt wird, wird simplesamlphp installiert. Hierzu müssen lediglich die notwendigen Software-Packages installiert und dann das entsprechende tar-archiv entpackt werden. Um eine Anmeldung mit gültigen Benutzerdaten zu erreichen wird in OIF zunächst das bestehende OID für das LDAP-Directory als Standard-Authentifizierungs-Engine definiert. Die Konfiguration Während bei den vorangegangen Installationsschritten nur wenige kleinere Hürden genommen werden mussten, gestaltet sich die Konfiguration der einzelnen Komponenten bedeutend schwieriger, zumal nicht immer ausreichend Informationen zur Verfügung standen oder erst durch längere Suche wenigstens ansatzweise gefunden werden konnten. simplesamlphp Eine ausführliche Anleitung findet sich auf der simplesamlphp-website simplesamlphp.org. So ist zunächst der WebServer der Dokuwiki-Anwendung anzupassen und dessen Konfiguration um einen Alias und ein Directory-Direktive zu erweitern, die den Zugriff auf die notwendigen Dateien gewährleisten. Ferner sind in der Datei config.php von simplesamlphp selbst einige globale sowie sicherheitstechnische Einstellungen durchzuführen. Nun wird in der Datei config/authsources.php der Service Provider (SP) konfiguriert, für den zusätzlich mittels openssl ein self-signed Zertifikat erstellt wird. Hier wird neben der EntityID vor allem der zugehörige Identity Provider (IdP) eingetragen. Für diese IdP müssen allerdings noch die Metadaten in der dafür vorgesehenen Konfigurationsdatei (metadata/saml20-idpremote.php) eingetragen werden. Im Falle von OIF als IdP erhält man die notwendigen Metadaten über den Enterprise Manager als XML-Datei, die jedoch noch in das simplesamlphp-format konvertiert werden muss. Die mitgelieferte Web-Anwendung hält für diese Konvertierung eine eigene Seite bereit, über die man schließlich die Metadaten umwandeln kann. Über eine weitere Seite dieser Web-Anwendung kann man die gerade konfigurierte Authentifizierungsquelle sogar testen. Allerdings erhält man zum jetzigen Zeitpunkt Error 500 Internal Server Error. Der Blick in die entsprechende Log-Datei auf Seiten von OIF liefert die fast schon erwartete Information Unknown Provider, denn simplesamlphp kennt zwar bereits den konfigurierten IdP, aber für OIF ist der Service Provider noch völlig unbekannt.

Oracle Identity Federation Somit benötigt man wiederum Metadaten, diesmal jedoch vom SP. Auch diese können einfach über die Web-Anwendung von simplesamlphp bereitgestellt werden. Mit den erhaltenen Daten kann über den Oracle Enterprise Manager der Service Provider in Oracle Identity Federation als Trusted Provider eingetragen werden. Doch auch nach dieser Eintragung kommt es beim Test noch zu einem Fehler, der im Logfile als InvalidNameID ausgegeben wird. So ist im OIF für die SAML2.0- Assertion Settings das NameID-Format auf Kerberos Principal Name zu ändern und UID als Mapping einzutragen. Anschließend werden auf der Test-Statusseite von simplesamlphp die übertragenen Attribute angezeigt, die initiale Konfiguration des Zusammenspiels von OIF und simplesamlphp war erfolgreich. Dokuwiki Zunächst ist die Datei simplesamlphp.class.php in das inc/auth -Verzeichnis des Dokuwiki zu kopieren. Neben verschiedenen Eintragungen in der init.php-datei des Dokuwikis, die davon abhängig sind, ob der PHP- oder der MemCache-SessionHandler verwendet wird, muss vor allem in der Konfigurationsdatei local.php der Authentifizierungstyp auf simplesamlphp umgestellt und die dazugehörigen Attribute eingetragen werden. Nach diesen Schritten wird versucht die Dokuwiki-Anwendung zum einen über den normalen Wiki-URL bzw. über den entsprechenden OIF-URL aufzurufen. Bei beiden Versuchen erscheint nach erfolgreicher Anmeldung jedoch eine weiße Seite mit der Meldung no attribute "edupersonprincipalname" provided by IDP. Sucht man in den Konfigurationsdateien nach diesem Attributsnamen findet man den zugehörigen Eintrag in der Datei simplesamlphp.class.php, wo dies als User-Attribut definiert ist. Auch eine Änderung auf UID als Attribut analog dem Mapping in OIF bringt nur eine Änderung in der Fehlermeldung. Offensichtlich sind noch weitere Anpassungen in der Konfiguration von Identity Federation durchzuführen. Oracle Identity Federation Der in der Oracle-Dokumentation gefundene Ansatz, OIF als Attribute Responder zu aktivieren führt nicht zum gewünschten Ergebnis, stattdessen liefert nach weiterer Suche die Dokumentation doch noch die Lösung, nämlich die Einstellungen des Service Providers im OIF zu ändern. Dort müssen Attribute Mappings mit dem Flag Send with SSO assertion definiert und für den SP die Checkbox Enable Attributes in Single Sign-On (SSO) aktiviert werden. Nun werden diese übergebenen Attribute, die auch bestehende Gruppenzugehörigkeiten enthalten einerseits auf der simplesamlphp-testseite ausgegeben und außerdem zum Aufruf des Dokuwiki für die Berechtigungsprüfung verwendet. Oracle Access Manager Als letzter Schritt muss noch der Oracle Access Manager als generelle Authentifizierungskomponente eingebunden werden. Zunächst wird das OID als neuer User Identity Store erstellt und dieser dann als primär definiert, womit nun alle Anmeldungen am OAM über den OID und somit die bestehenden Benutzerdaten erfolgen. Als nächstes müssen die Webseiten von OIF geschützt werden, damit auch für diese eine Anmeldung am OAM erforderlich wird. Hierzu wird eine WebGate- Installation durchgeführt, bei der schon die Suche nach den korrekten gcc-libraries eine kleine

Herausforderung ist. Um die WebGate-Instanz mit der Webtier von OIF zu verknüpfen sind anschließend noch einige Post-Installations-Schritte durchzuführen. Nun kann über die OAM-Konsole der WebGate-Agent registriert werden, wobei im OAM auch automatisch die notwendige Application Domain mit den zugehörigen Resourcen sowie den Authentication und Authorization Policies erstellt wird. Nachdem schließlich noch der Oracle Access Manager als Standard-Authentifzierungs-Engine von OIF eingerichtet wird, kommt beim nächsten Versuch das Dokuwiki aufzurufen wie erwartet die OAM-Login-Seite als Anmeldemaske. Nach erfolgreichem Anmelden erscheint aber erneut eine bekannte Fehlermeldung: no attribute "UID" provided by IDP. Aber auch dies kann letztendlich behoben werden, indem in der Authorization Policy sogenannte Responses definiert werden. Die Online-Hilfe des OAM liefert hierbei den entscheidenden Hinweis, welcher Wert hier übergeben werden muss und dass der entsprechende Namespace vorangestellt werden muss, nämlich $user.userid. So kann schließlich die Anmeldung an der Dokuwiki-Anwendung über Oracle Access Manager, Identity Federation und simplesamlphp erfolgreich durchgeführt werden. Über entsprechende Gruppenzugehörigkeiten sind zudem die Berechtigungen für einzelne Bereiche innerhalb des Wikis einstellbar.

Kontaktadressen: Marc Brenkmann Technischer Projektleiter SüdLeasing GmbH Pariser Platz 7 70155 Stuttgart Telefon: +49(0)621 4281-1185 Fax: +49(0)621 428651-1185 E-Mail: marc.brenkmann@suedleasing.com Internet: www.suedleasing.com Dr. Joachim Reising Division Manager PROMATIS software GmbH Pforzheimer Strasse 160 76275 Ettlingen Telefon: +49(0)7243 2179-0 Fax: +49(0)7243 2179-99 E-Mail: joachim.reising@promatis.de Internet: www.promatis.de

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback