Federated Identity Management

Ähnliche Dokumente

Enterprise Web-SSO mit CAS und OpenSSO

Nutzung und Erweiterung von IT-Standards zur Realisierung von Authentifizierung und Zugriffsschutz für Geo Web Services

Identity as a Service

SECURITY DESIGN PATTERN FÜR EHEALTH-PLATTFORMEN

Sicheres Single Sign-On mit dem SAML Holder-of-Key Web Browser SSO Profile und SimpleSAMLphp

SOA Security in der Praxis Entwurfsmuster für eine sichere Umsetzung

HP OpenView Select Access

Inhalt Einführung Was ist SAML Wozu braucht man SAML Wo wird SAML verwendet kleine Demo SAML. Security Assertion Markup Language.

IT-Security als Enabler Attribut-basierte Autorisierung (ABAC) für das neue Kundenportal der CSS

Kolloquium. von Vadim Wolter. Matrikelnr.: Erstprüfer: Prof. Dr. Horst Stenzel Zweitprüferin: Prof. Dr. Heide Faeskorn-Woyke.

Abschlussvortrag zur Diplomarbeit Aufbau und Analyse einer Shibboleth/GridShib-Infrastruktur

Exchange Verbund WOLFGANG FECKE

Role Based Access Control und Identity Management

SWITCHaai Die Authentifizierungs- und Autorisierungs- Infrastruktur der Schweizer Hochschulen

Sicherheit in Workflow-Management-Systemen

Herzlich Willkommen! Seminar Web Engineering: Vortrag Thema: Federated Identity Management Systems Von: Thomas Blasek Betreuer: Stefan Wild

Authentication as a Service (AaaS)

E-Business Architekturen

(c) 2014, Peter Sturm, Universität Trier

Online Banking System

Anleitung mtan (SMS-Authentisierung) mit SSLVPN.TG.CH

1. SaxIS-Shibboleth. Shibboleth-Workshop. Chemnitz, 15. Dezember Dipl. Wirt.-Inf. Lars Eberle, Projekt SaxIS und BPS GmbH

Electures-Portal. Vorstellung und Empfehlungen Christoph Hermann - Universität Freiburg - Institut für Informatik 1

FUDIS Freie Universität (Berlin) Directory und Identity Service

GeoXACML und SAML. Ubiquitous Protected Geographic Information. Dr. Andreas Matheus Universität der Bundeswehr München

Identity Management - eine Einfiihrung

Web Services und Sicherheit

Implementierung von PVP 2.0 für neue Wege im Federated Identity Management

Web Services stellen eine Integrationsarchitektur dar, die die Kommunikation zwischen verschiedenen Anwendungen

e-business - Patterns Stefan Brauch (sb058) -- Julian Stoltmann (js057)

Identity Propagation in Fusion Middleware

Transaktionskosten senken mit dem Wirtschaftsportalverbund

Neuerungen bei Shibboleth 2

XML-Sicherheitsdienste für das Netzwerk der Global Biodiversity Information Facility GBIF

Identity & Access Management in der Cloud

Forefront Threat Management Gateway (TMG) und Forefront Unified Access Gateway (UAG) Die perfekte Lösung

Version 4.1. licensemanager. What's New

Anforderungen an die HIS

WS-Security. Thies Rubarth. Sicherheitskonzepte in global verteilten Anwendungen. 21. Sep 2007 ACM/GI Localgroup #216

B E N U T Z E R D O K U M E N TA T I O N ( A L E P H I N O

Technische Universität München. SAML/Shibboleth. Ein Vortrag von Florian Mutter

1 Dataport 12.Juli 2007 Internationale Standards zu Identity Management. Deckblatt. Harald Krause

Nevis Sichere Web-Interaktion

Horstbox VoIP. Stefan Dahler. 1. HorstBox Konfiguration. 1.1 Einleitung

S.A.F.E. 4. Dresdner Forum für Notarrecht. Secure Access to Federated E-Justice/E-Government

Single Sign-on im SAP environment. SAGA Arbeitsgruppe SAP Basis Linz, Günther Berger

12.4 Sicherheitsarchitektur

AZURE ACTIVE DIRECTORY

für E-Learning in Bayern

Multicast Security Group Key Management Architecture (MSEC GKMArch)

Sichere Self-Service- Funktionen mit HISQIS

Programmierhandbuch SAP NetWeaver* Sicherheit

Paradigmenwechsel im Access Management Organisationsübergreifende Autorisierung und Rechteverwaltung

!"#$"%&'()*$+()',!-+.'/',

SECTINO. Security for Inter-Organizational Workflows

Identity Management. Nutzen Konzepte Standards. Dr. Oliver Stiemerling

NetScaler Integration bei Hellmann Worldwide Logistics. Benjamin Kania IS Enterprise Services Manager Hannover,

Die neue RA-Oberfläche der DFN-PKI. Jan Mönnich

Verbundzentrale des GBV (VZG) Till Kinstler / Digitale Bibliothek

Thema: Web Services. Was ist ein Web Service?

Aktuelles zur DFN-AAI AAI-Forum, 53. DFN-Betriebstagung, Oktober 2010

SSZ Policy und IAM Strategie BIT

robotron*e count robotron*e sales robotron*e collect Anmeldung Webkomponente Anwenderdokumentation Version: 2.0 Stand:

XML Signature Wrapping: Die Kunst SAML Assertions zu fälschen. 19. DFN Workshop Sicherheit in vernetzten Systemen Hamburg,

Projekt Smart Web Grid

Identity Management mit OpenID

Erfassung von Umgebungskontext und Kontextmanagement

Sof o t f waretechn h o n l o og o i g en n f ü f r ü v e v rteilte S yst s eme Übung

Portal for ArcGIS - Eine Einführung

Organisationsübergreifendes Single Sign On mit shibboleth. Tobias Marquart Universität Basel

Identity and Access Management for Complex Research Data Workflows

IEEE 802.1x Authentifizierung. IEEE 802.1x Authentifizierung IACBOX.COM. Version Deutsch

Positionspapier: Portalverbund und ehealth

Vertrauenswürdige Identitäten für die Cloud

Clientkonfiguration für Hosted Exchange 2010

Open Source als de-facto Standard bei Swisscom Cloud Services

Windows Azure für Java Architekten. Holger Sirtl Microsoft Deutschland GmbH

mylogin: Single Sign-On an der Universität Freiburg 5. Shibboleth-Workshop der AAR in Kooperation mit der DFN-AAI

Föderiertes Identity Management

DiPP Golden Road zum Open Access

Office 365 & Windows Server Ein Blick über den Tellerrand. René M. Rimbach Raphael Köllner

Whitepaper. bi-cube SSO SSO in einer Terminal Umgebung. T e c h n o l o g i e n L ö s u n g e n T r e n d s E r f a h r u n g

Einführung Architektur - Prinzipien. Ronald Winnemöller Arbeitsgruppe VCB Regionales Rechenzentrum Universität Hamburg

Modernes Identitätsmanagement für das Gesundheitswesen von morgen

OSIAM. Sichere Identitätsverwaltung auf Basis von SCIMv2 und OAuth2

smis_secure mail in der srg / pflichtenheft /

Fachgruppe IAM (Identity & Access Management) Fachgruppenleitung: Hans Häni AFI Kanton Thurgau Markus Itin KITT Kanton Zürich

Herausforderungen des Enterprise Endpoint Managements

Vertrauenswürdige, rechtlich belastbare Kommunikation in Datennetzen durch Authentifizierung (nicht Autorisierung) für

Autorisierung. Sicherheit und Zugriffskontrolle & Erstellen einer Berechtigungskomponente

ITIL & IT-Sicherheit. Michael Storz CN8

AAI in TextGrid. Peter Gietz, Martin Haase, Markus Widmer DAASI International GmbH. IVOM-Workshop Hannover,

Festpreisprojekte in Time und in Budget

DB2 Security Health Check Service

Transkript:

Federated Identity Management Verwendung von SAML, Liberty und XACML in einem Inter Campus Szenario d.marinescu@gmx.de 1 Fachbereich Informatik

Inhalt Grundlagen Analyse Design Implementierung Demo Zusammenfassung d.marinescu@gmx.de 2 Fachbereich Informatik

Grundlagen Single Sign On (SSO) Zugriffskontrolle d.marinescu@gmx.de 3 Fachbereich Informatik

Grundlagen SSO Ursachen: Verbreitung der Web Anwendungen und der Web Dienste Erstellung der Web Anwendungen als eine Aggregation mehrer Dienste Wachsender Bedarf an Benutzer Freundlichkeit Wachsender Bedarf an Sicherheit d.marinescu@gmx.de 4 Fachbereich Informatik

Grundlagen SSO d.marinescu@gmx.de 5 Fachbereich Informatik

Grundlagen SSO Definition Die Fähigkeit eines Benutzers sich einmal anzumelden und damit bei mehreren Anwendungen gleichzeitig angemeldet zu sein, die normalerweise ihre eigenen getrennte Anmeldung erfordern würden. d.marinescu@gmx.de 6 Fachbereich Informatik

Grundlagen SSO Muster Lösungen: Portal Security token Beispiel: cookie Cross Domain SSO (CDSSO) Zentrales Verzeichnis (Beispiel: Passport) Federated SSO (Beispiel: SAML and Liberty ) d.marinescu@gmx.de 7 Fachbereich Informatik

Grundlagen Federated SSO Anwendung: B2B Kontext Verknüpfen und austauschen von Informationen zu digitale Identität zwischen Entitäten Entitäten: Service Providers (SP) Identity Providers (IdP) d.marinescu@gmx.de 8 Fachbereich Informatik

Grundlagen Federated SSO SP Hub model Quelle: Ping Identity d.marinescu@gmx.de 9 Fachbereich Informatik

Grundlagen Federated SSO IDP Hub model Quelle: Ping Identity d.marinescu@gmx.de 10 Fachbereich Informatik

Grundlagen Federated SSO Cross Domain Quelle: Ping Identity d.marinescu@gmx.de 11 Fachbereich Informatik

Grundlagen Zugriffskontrolle Definition Einschränkungszugriff auf Ressourcen auf Basis der Identität eines Verbrauchers AccessControl Subjects Permissions d.marinescu@gmx.de 12 Fachbereich Informatik

Grundlagen Zugriffskontrole Arten der Zugriffskontrolle: Discretionary Access Control (DAC) Mandatory Access Control (MAC) Role Based Access Control (RBAC) d.marinescu@gmx.de 13 Fachbereich Informatik

Grundlagen Zugriffskontrole XACML extensible Access Control Markup Language OASIS Standard Policy Sprache Sprache für Beschreibung von Zugriffskontroll Abfragen und Antworten Definiert einen Weg, Authorisierungsentscheidungen unter Berücksichtigung von Policies zu treffen d.marinescu@gmx.de 14 Fachbereich Informatik

Grundlagen Zugriffskontrole XACML Architektur Quelle: IBM d.marinescu@gmx.de 15 Fachbereich Informatik

Analyse Identity Wachsende Anzahl von Internet Transaktionen Vertraulichkeit wird benötigt Identity > Kern d.marinescu@gmx.de 16 Fachbereich Informatik

Analyse Identity Management Market Höhere Bedeutung Wachsende Wirtschaftszweig (10 Milliarden $ in 2 3 Jahren) M&A > VC investieren in Identity Management d.marinescu@gmx.de 17 Fachbereich Informatik

Analyse Compliance Datenschutzgesetze um ein höheres Schutzniveau zu sichern EU Directive on Data Protection Sarbanes Oxley Act (SOX) Alle Unternehmen müssen diese Anforderungen erfüllen Automatisierte Compliance durch Identity Management Produkte d.marinescu@gmx.de 18 Fachbereich Informatik

Analyse Identity Management Produkte Geeignet für große Unternehmen Federated Identity Management teilweise möglich Teuer d.marinescu@gmx.de 19 Fachbereich Informatik

Analyse Motivation Ziel Kleine Unternehmen müssen Datenschutzgesetze erfüllen Existierende Identity Management Produkte sind zu teuer SSO durch federated identity wird benötigt ein federated identity management Model basiert auf open source Produkten d.marinescu@gmx.de 20 Fachbereich Informatik

Design Use Case Diagram d.marinescu@gmx.de 21 Fachbereich Informatik

Design Architektur d.marinescu@gmx.de 22 Fachbereich Informatik

Design Werkzeuge: JBoss 3.2.4 SourceID ID FF 1.2 Java Toolkit 2.0 Open source Liberty implememntierung Angewendet als SP und IDP OpenLDAP 2.3.13 Tomcat 4.1.31 + Axis 1.3 Sun's XACML 1.2 engine d.marinescu@gmx.de 23 Fachbereich Informatik

Implementierung Ein SP Ein Attribute Authority (AA) Ein IDP Ein Web Service: Grades Web Service Ein PEP integriert in der Web Service Ein PDP d.marinescu@gmx.de 24 Fachbereich Informatik

Implementierung SP Authentifizierung gegen ein AA (LDAP Server) Username Password Rolle Eine Funktionalität Anrufen des Grade Web Service Der Web Service Client ist als Servlet implementiert d.marinescu@gmx.de 25 Fachbereich Informatik

Implementierung Web Service PEP Abfangen der Abfrage Transformieren in ein XACML Abfrage Authentifizierungs Entscheidung empfangen und durchsetzen Business logic 2 Methoden: Eine für Studenten eigene Note lesen Eine nur für Professoren alle Noten lesen d.marinescu@gmx.de 26 Fachbereich Informatik

Implementierung PDP Kommunikation über SSL Empfängt und evaluiert eine XACML Abfrage Evaluation anhand von 2 XACML Policies Antwortet der PEP mit einer Authentifizierungs Entscheidung Baut auf der Demo PDP verfügbar in der XACML Implementierung von Sun ( open source) d.marinescu@gmx.de 27 Fachbereich Informatik

Demo zur Wiederholung... d.marinescu@gmx.de 28 Fachbereich Informatik

Demo Ablauf Identity federation SSO Zugriffskontrolle Beispiele: Student Professor d.marinescu@gmx.de 29 Fachbereich Informatik

Zusammenfassung Federated Indentity Management hohe Bedeutung Muster für Federated Idenity Management in ein intercampus Szenarium Open source Werkzeuge wurden verwendet Mögliche Erweiterungen: SAML 2.0 WS Security XACML 2.0 d.marinescu@gmx.de 30 Fachbereich Informatik

Fragen? Feedback bitte! d.marinescu@gmx.de 31 Fachbereich Informatik

Vielen Dank für Ihre Aufmerksamkeit! d.marinescu@gmx.de 32 Fachbereich Informatik