SPML-basierte Provisionierung im Identity Management

Ähnliche Dokumente
Nachnutzung des Windows Login in einer SAML-basierten. Föderation mittels Shibboleth Kerberos Login Handler

Windows 7 - Whoami. Whoami liefert Informationen wie z.b. die SID, Anmelde-ID eines Users, sowie Gruppenzuordnungen, Berechtigungen und Attribute.

Er musste so eingerichtet werden, dass das D-Laufwerk auf das E-Laufwerk gespiegelt

HSR git und subversion HowTo

Nutzerverwaltung für Moodle über LDAP

Anforderungen an die HIS

Lexware professional und premium setzen bis einschließlich Version 2012 den Sybase SQL-Datenbankserver

SharePoint Demonstration

Firewalls für Lexware Info Service konfigurieren

Fachbericht zum Thema: Anforderungen an ein Datenbanksystem

Facebook I-Frame Tabs mit Papoo Plugin erstellen und verwalten

Arbeiten mit MozBackup

Firewalls für Lexware Info Service konfigurieren


Benutzerhandbuch - Elterliche Kontrolle

Handbuch zur Anlage von Turnieren auf der NÖEV-Homepage

Auto-Provisionierung tiptel 30x0 mit Yeastar MyPBX

Aufbau einer AAI im DFN. Ulrich Kähler, DFN-Verein

Formular»Fragenkatalog BIM-Server«

Einrichten der Outlook-Synchronisation

ecaros2 - Accountmanager

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

2. Einrichtung der ODBC-Schnittstelle aus orgamax (für 32-bit-Anwendungen)

OP-LOG

Wichtige Hinweise zu den neuen Orientierungshilfen der Architekten-/Objektplanerverträge

ANYWHERE Zugriff von externen Arbeitsplätzen

Synchronisations- Assistent

BitDefender Client Security Kurzanleitung

Was ist PDF? Portable Document Format, von Adobe Systems entwickelt Multiplattformfähigkeit,

Arbeiten mit UMLed und Delphi

PCC Outlook Integration Installationsleitfaden

Installationsanleitung dateiagent Pro

Datenübernahme von HKO 5.9 zur. Advolux Kanzleisoftware

Novell Client. Anleitung. zur Verfügung gestellt durch: ZID Dezentrale Systeme. Februar ZID Dezentrale Systeme

Import der Schülerdaten Sokrates Web

Anleitung: WLAN-Zugang unter Windows 8 - eduroam. Schritt 1

Kommunikationsübersicht XIMA FORMCYCLE Inhaltsverzeichnis

Datenbank-Verschlüsselung mit DbDefence und Webanwendungen.

Manuelle Konfiguration einer VPN Verbindung. mit Microsoft Windows 7

Die DeskCenter Management Suite veröffentlicht neue Version 8.1

Kurzeinführung Excel2App. Version 1.0.0

Sichere für Rechtsanwälte & Notare

.htaccess HOWTO. zum Schutz von Dateien und Verzeichnissen mittels Passwortabfrage

Herzlich Willkommen bei der nfon GmbH

AAI in TextGrid. Peter Gietz, Martin Haase, Markus Widmer DAASI International GmbH. IVOM-Workshop Hannover,

Updatehinweise für die Version forma 5.5.5

Urlaubsregel in David

Grundlagen 4. Microsoft Outlook 2003 / 2007 / Apple Mail (ab Version 4.0) 9. Outlook 2011 für Mac 10. IOS (iphone/ipad) 12

Local Control Network Technische Dokumentation

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:

Quick Guide Mitglieder

ICS-Addin. Benutzerhandbuch. Version: 1.0

Ablaufbeschreibung für das neu Aufsetzen von Firebird und Interbase Datenbanken mit der IBOConsole

Mit der Maus im Menü links auf den Menüpunkt 'Seiten' gehen und auf 'Erstellen klicken.

2. Die eigenen Benutzerdaten aus orgamax müssen bekannt sein

MSXFORUM - Exchange Server 2003 > SMTP Konfiguration von Exchange 2003

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Zur Bestätigung wird je nach Anmeldung (Benutzer oder Administrator) eine Meldung angezeigt:

Erstellen einer digitalen Signatur für Adobe-Formulare

Microsoft SharePoint 2013 Designer

Beispiel Shop-Eintrag Ladenlokal & Online-Shop im Verzeichnis 1

KURZANLEITUNG CLOUD OBJECT STORAGE

Anleitung für den Zugriff auf Mitgliederdateien der AG-KiM

A. Ersetzung einer veralteten Govello-ID ( Absenderadresse )

Step by Step Webserver unter Windows Server von Christian Bartl

Das Einzelplatz-Versionsupdate unter Version Bp810

1. Konfiguration Outlook 2007 MAPI (mit Autodiscover).

Gruppenrichtlinien und Softwareverteilung

Loggen Sie sich in Ihrem teamspace Team ein, wechseln Sie bitte zur Verwaltung und klicken Sie dort auf den Punkt Synchronisation.

OUTLOOK-DATEN SICHERN

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

Anleitung Redmine. Inhalt. Seite 1 von 11. Anleitung Redmine

Anleitung zum Extranet-Portal des BBZ Solothurn-Grenchen

1 Objektfilterung bei der Active Directory- Synchronisierung

7 SharePoint Online und Office Web Apps verwenden

Windows Server 2012 RC2 konfigurieren

Anleitung. Verschieben des alten -Postfachs (z.b. unter Thunderbird) in den neuen Open Xchange-Account

EasyWk DAS Schwimmwettkampfprogramm

Benutzeranleitung Superadmin Tool

Mailkonto einrichten Outlook 2010 (IMAP)

Benutzerkonto unter Windows 2000

IAWWeb PDFManager. - Kurzanleitung -

DIRECTINFO ANBINDUNG AN VERZEICHNISDIENSTE WIE ACTIVE DIRECTORY

Lernwerkstatt 9 privat- Freischaltung

Anleitung Grundsetup C3 Mail & SMS Gateway V

Datensicherung EBV für Mehrplatz Installationen

Kurzanleitung OOVS. Reseller Interface. Allgemein

Eine Anleitung, wie Sie Mozilla Thunderbird 2 installieren und konfigurieren können. Installation Erstkonfiguration... 4

ERSTE SCHRITTE.

Artikel Schnittstelle über CSV

Userguide: WLAN Nutzung an der FHH Hannover Fakultät V

Verwaltung von Lehrveranstaltungen mit moodle

Autorisierung. Sicherheit und Zugriffskontrolle & Erstellen einer Berechtigungskomponente

Rechenzentrum der Ruhr-Universität Bochum. Integration von egroupware an der RUB in Outlook 2010 mit Funambol

Arbeiten mit dem neuen WU Fileshare unter Windows 7

Daten-Synchronisation zwischen Mozilla Thunderbird (Lightning) / Mozilla Sunbird und dem ZDV Webmailer

Infrastruktur: Vertrauen herstellen, Zertifikate finden

Einrichten eines Exchange-Kontos mit Outlook 2010

Bedienungsanleitung. Matthias Haasler. Version 0.4. für die Arbeit mit der Gemeinde-Homepage der Paulus-Kirchengemeinde Tempelhof

Transkript:

SPML-basierte Provisionierung im Identity Management GmbH & Co. KG Herbsttreffen des ZKI-Arbeitskreises Verzeichnisdienste, Jena, 4.-5.10.2011 Peter Gietz, DAASI International GmbH S. 1/32 (c) Oktober 2011 DAASI International GmbH

DAASI International GmbH Spezialisiert auf Verzeichnisdienste, digitale Signatur, (Federated) Identity Management, Grid-Computing und ehumanities (einschl. anwendernaher Programmierung) Spin-Off der Universität Tübingen seit 2000 auf dem Markt 7 Mitarbeiter (Tendenz steigend) Hauptkundenzielgruppe: Hochschulen, Behörden, Forschungseinrichtungen, Bibliotheken und Verwaltungen Forschungsorientiert: BMBF-Projekte zu Grid-Computing (IVOM, GapSLC) und ehumanities (TextGrid, DARIAH-DE) Konzentriert auf Open-Source, Aktiv in Standardisierung (IETF, OGF, TERENA, DFN,...) Mehr unter: www.daasi.de S. 2/32 (c) Oktober 2011 DAASI International GmbH

Agenda 1. Grundlegendes zu Identity Management und Provisionierung 2. Einführung in SPML 3. Beschreibung unseres SPML Lösungsansatzes 4. Praktische Erfahrungen S. 3/32 (c) Oktober 2011 DAASI International GmbH

Grundlegendes zu Identity Management S. 4/32 (c) September 2011 DAASI International GmbH

Wichtigste Komponenten von Identity Management Systemen Quelldatenbanken authoritative Datenquellen und Anwendungen Zielsysteme Konsumenten dieser authoritativen Daten Verzeichnisdienste sind zentrale Bestandteile speichern Identitätsinformation, Passwörtern, Zertifikate, Rollen und Berechtigungen, Policy Standards: X.500, LDAP Implementierungen: OpenLDAP, Novell edirectory, MS Active Directory Metadirectories dienen zur Synchronisierung verschiedener Datenspeicher Vermeidung von Inkonsistenzen Passwort-Verwaltung und Synchronisierung Konnektoren verbinden Datenquellen mit Metadirectory Metadirectory mit Zielsystemen (= Provisioning) S. 5/32 (c) September 2011 DAASI International GmbH

Mitarbeiterdatenbank Name Vorname... Metadirectory Beispiel Benutzerdatenbank Personalverwaltung Metadirectory Firewall Öffentlicher Verzeichnisdienst Telefonnr. Raumnr.... Telefonnummerndatenbank Telefonapparatedatenbank Benutzer Telefonverwaltung Vorlesungsdatenbank Administrator S. 6/32 (c) September 2011 DAASI International GmbH

Alumni DB Stud.-DB MItarbeiter DB Name Vorname... Metadirectory Beispiel Benutzerdatenbank / Mailsystem Verwaltung Active Directory Anwendung Metadirectory Firewall Öffentlicher Verzeichnisdienst LDAP-Authentifizierungs-server Kerberos-Umgebung AdministratorIn ext. BenutzerIn Anwendung elearning-system Anwendung int. BenutzerIn S. 7/32 (c) September 2011 DAASI International GmbH

Was haben wir gelernt? Die Anzahl der Quellsysteme ist begrenzt Mitarbeiter-DB, StudierendenDB, AlumniDB Vielleicht noch eine Gäste-Verwaltung für alle Fälle, die nicht in diesen 3 Datenbanken gepflegt werden Oft sind die Datenbanken homogen (z.b.: HISSOS, HISSVA) Die Anzahl der Zielsysteme ist nicht eingrenzbar Neue Authentifizierungsverfahren Passworthash-Problem! Neue Anwendungen, die mehr als authentifizieren wollen Eine Lösung für letztere wäre ein SSO-System, welches Attribute überträgt (SAML / Shibboleth) Eine andere wäre generischeres Provisionieren S. 8/32 (c) September 2011 DAASI International GmbH

Beispiel: Prinzip von AD-Konnektoren Grundsätzlich kann ein AD über Standard-LDAP-Befehle angesprochen werden Allerdings nicht 100%ge Unterstützung des LDAP- Standards Nur LDAPS kein START_TLS Zusätzlich gibt es das proprietäre Protokoll ADSI Bei Provisionierung von AD müssen einige Besonderheiten berücksichtigt werden: SID Generierung Kompliziertes Anlegen eines neuen Eintrags: 1.) Eintrag anlegen mit den Daten und als gesperrt markieren 2.) Passwort anlegen 3.) Eintrag entsperren S. 9/32 (c) September 2011 DAASI International GmbH

Andere Beispiele Leider hat sich kein Standard für LDAP-Replikation etabliert Das nächste, was wir haben ist syncrepl von OpenLDAP Deshalb müssen öfters auch LDAP-LDAP- Synchronisierung handgestrickt werden Kerberos-DB (falls nicht LDAP) kann nur über Kerberosspezifische Mittel befüllt werden Jede Anwendung, die nicht nur authentifizieren will, benötigt, eigene Provisionierungskonnektoren Auch wenn Identity Management Produkte Konnektoren- Entwicklungs-Tools haben, wird jedes neue Zielsystem zu einem mindestens kleinem Projekt Oder sie stricken wieder eine neue Lösung S. 10/32 (c) September 2011 DAASI International GmbH

Wie wäre es besser? Es gäbe ein Tool, das alle Datenbanken miteinander verbinden kann, das flexibel konfigurierbar und beliebig erweiterbar wäre CSV LDIF Konfig. Datei CSV LDIF Slurpd-Repl. LDAP RDB/SQL Generisches Tool Slurpd-Repl. LDAP RDB/SQL DSML Mappingtable Funktion Funktion Funktion DSML S. 11/32 (c) September 2011 DAASI International GmbH

Wie wäre es besser? Es gibt ein Tool, das alle Datenbanken miteinander verbinden kann, das flexibel konfigurierbar und beliebig erweiterbar wäre CSV LDIF Konfig. Datei CSV LDIF Slurpd-Repl. LDAP RDB/SQL dbconnector.pl LDAP RDB/SQL Bibl-Format Mappingtable Funktion Funktion Sub { } DSML Funktioniert, ist aber komplex S. 12/32 (c) September 2011 DAASI International GmbH

Wie wäre es noch besser? Alle Hersteller von Datenbanken und von Anwendungen, die Daten extern beziehen, einigen sich auf einen Standard, wie Provisionierungsinformation übertragen werden soll. Ein solcher Standard sollte: Mit standardtools bewältigbar sein (z.b.: XSLT) Offen für Erweiterungen sein Über verschiedene Protokolle übertragbar sein (HTTP, SOAP über HTTP, etc.) Wenn neue Anwendungen/Datenbanken SPML unterstützen, ist die Integration denkbar einfach Es gibt einen solchen Standard, der zunehmend Beachtung findet: SPML S. 13/32 (c) September 2011 DAASI International GmbH

Kurze Einführung in SPML Glossar: DSML = Directory Service Markup Language. XML-Format zur Abbildung von LDAP-Daten und -Operationen S. 14/32 (c) September 2011 DAASI International GmbH

Der SPML-Gedanke SPML v2 (Service Provisioning Markup Language) ist OASIS Standard vom April 2006 SPML spezifiziert ein XML-Format zur Provisionierung Soll unabhängig von der Art des Quell- und der Zielsysteme für Provisionierung verwendet werden können. Definiert Grundoperationen add, modify, delete und lookup, sowie Erweiterungen wie z.b. search. Jede Operation besteht aus einem Request und einem Response Operationsmodell ist flexibel erweiterbar Offen für verschiedene Datenformate (SPML Envelope, flexible payload ) Vordefiniertes Datenschema z.b. SPMLv2 - DSMLv2 Profile : Datenänderungsanweisungen im DSMLv2-Format Transportiert im SPML-Dokument S. 15/32 (c) September 2011 DAASI International GmbH

SPML-Komponenten Provisioning System Object (PSO): Einzelnes Datenobjekt in einem Daten-Container, also z.b. ein AD-Eintrag Provisioning Service Target (PST): Ist Container (Zielsystem) für Objekte (z.b. AD) Provisioning Service Provider (PSP): Nimmt SPML-Dokumente für ein oder mehrere PSTs entgegen Führt Änderungen auf PSOs des PSTs durch (also: ändert Einträge im AD) Requesting Authority (RA): Erzeugt SPML-Dokumente die der PSP konsumiert Wird am Quellsystem angeschlossen S. 16/32 (c) September 2011 DAASI International GmbH

SPML-Komponenten PST RA <SPML> </SPML> PSP PSO Metadirectory (Datenquelle) RA: Requesting Authority PSP: Provisioning Service Provider PST: Provisioning Service Target PSO: Provisioning Service Object S. 17/32 (c) September 2011 DAASI International GmbH

Vor- und Nachteile Vorteile: SPML kann leicht von XML-Parsern eingelesen werden Erweiterbares Format Es werden nur Änderungen provisioniert (im Gegensatz zu einem Gesamtabgleich), diese finden zeitnah, z.b. jede Minute statt Klar strukturiertes generisch einsetzbares Provisionierungsmodell Standardisierte möglichkeit, auch Gruppeninformationen zu provisionieren Nachteile: SPML geht davon aus, dass Datenänderungen am Zielsystem nur über die Provisionierung erfolgt Recovery eines Zielsystems über SPML nicht durch Standardoperationen möglich Typischer XML-Overhead S. 18/32 (c) September 2011 DAASI International GmbH

Beschreibung der SPML-Implementierung von DAASI S. 19/32 (c) September 2011 DAASI International GmbH

ALOIS-Folien von Frau Schmaus, Rechenzentrum Universität Augsburg Folien 17 und 18 S. 20/32 (c) September 2011 DAASI International GmbH

Beteiligte Komponenten Quellsystem OpenLDAP mit Overlay accesslog durch das alle Änderungs- Operationen in einem Teilbaum des Servers gespeichert werden können RA mit Konnektor für accesslog, der sehr zeitnah Änderungen wahrnimmt. Transport über REST (HTTPS) verwaltet eine Queue für jeden PSP Active Directory als eins der möglichen Zielsysteme PSP für Active Directory Änderungen der Objekte (PSOs) über LDAP oder über ADSI S. 21/32 (c) September 2011 DAASI International GmbH

Transport Transport Aufbau einer SPML-Umgebung Quellsystem PST PST LDAP AD1 (PSOs) AD2 (PSOs) LDAP LDAP ADSI Konnektor SPML Transport HTTPS SPML PSP 1 RA PST SPML Transport HTTPS SPML PSP 2 S. 22/32 (c) September 2011 DAASI International GmbH

Ablauf Änderung im OpenLDAP wird über Overlay protokolliert Periodische Abfrage der protokollierten Änderungen werden ausgelesen Ausgelesene Änderungen werden in DSMLv2 transformiert DSMLv2-Dokumente werden für jeden PSP in SPML- Dokumente verpackt SPML-Request wird an PSP gesendet, dort: SPML-Request wird ausgepackt -> DSMLv2-Request DSMLv2 wird in LDAP- oder ADSI-Anweisungen für PST transformiert Ergebnis der Anweisung wird in DSMLv2 transformiert DSMLv2-Dokumente werden für RA in SPML- Dokumente verpackt SPML-Response wird an RA gesendet wenn Fehler auftritt bleibt das Dokument in der Queue S. 23/32 (c) September 2011 DAASI International GmbH

Aufteilung der Komponenten (1/2) Quell-Server Ziel-Server LDAP AD LDAP Konnektor RA PSP Python LDAPS HTTP Keine Einwirkungen auf das AD-System Production ready S. 24/32 (c) September 2011 DAASI International GmbH

Aufteilung der Komponenten (2/2) Quell-Server Ziel-Server LDAP AD RA LDAP Konnektor HTTPS PSP C# ADSI Mehr Möglichkeiten durch ADSI (Group-Policies, etc.) PSP muss auf dem AD installiert werden Auf unserer Roadmap S. 25/32 (c) September 2011 DAASI International GmbH

Erfahrungen S. 26/32 (c) September 2011 DAASI International GmbH

Lessons learnt Vorteil gegenüber täglichem Gesamtabgleich, da Änderungen zeitnah provisioniert werden Für Recovery und Synchronisierung wurden zwei zusätzliche SPML-Capabilities von DAASI spezifiziert und entwickelt (für Selbstheilung von Fehlern): Identify-Capability: Versucht ein Objekt anhand dessen Daten zu identifizieren z.b. für den Fall, dass im AD manuell ein Eintrag gelöscht und wieder angelegt wurde, also sich die ObjectID geändert hat Sync-Capability: Erhält Daten von RA und aktualisiert Daten des PST auf gleichen Stand Also ein Gesamtabgleich S. 27/32 (c) September 2011 DAASI International GmbH

Lessons learnt XSL-Transformationen vor Senden der Daten bei RA und vor Empfang an PSP haben sich bewährt z.b. für Attribut-Mappings Ignorieren spezieller Einträge Hinzufügen von konstanten Daten S. 28/32 (c) September 2011 DAASI International GmbH

Projektbeispiel Eine existierende auf proprietäte Software basierende Identity-Management-Lösung sollte mit Open-Source- Software nachgebaut werden komplexe Synchronisierungsmechanismen komplexe Berechtigungsattributvergabe Zusätzlich sollte WebSSO mithilfe von Shibboleth realisiert werden ein IdP, der an den zentralen Verzeichnisdienst angeschlossen wird mehrere SPs, die verschiedene zentrale Fachanwendungen schützen Schließlich sollte durch Integration der Windows- Kerberos-Authentifizierung die Notwendigkeit der Synchronisierung von Passwörtern entfallen S. 29/32 (c) September 2011 DAASI International GmbH

Projektbeispiel S. 30/32 (c) September 2011 DAASI International GmbH

Projektbeispiel S. 31/32 (c) September 2011 DAASI International GmbH

Vielen Dank für Ihre Aufmerksamkeit! Fragen? Kontakt und weitere Informationen: DAASI International GmbH Europaplatz 3 D-72072 Tübingen Web: http://www.daasi.de Mail: info@daasi.de Meet LDAP-Experts @ LDAPCon 2011 October 10-11, 2011 in Heidelberg www.ldapcon.org S. 32/32 (c) September 2011 DAASI International GmbH

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback