Sicherheit für Web-Anwendungen mit SAML2 und OAuth2

Ähnliche Dokumente
Föderiertes Identity Management

!"#$"%&'()*$+()',!-+.'/',

SWITCHaai Die Authentifizierungs- und Autorisierungs- Infrastruktur der Schweizer Hochschulen

Shibboleth: Grundlagen

Nachnutzung des Windows Login in einer SAML-basierten. Föderation mittels Shibboleth Kerberos Login Handler

(c) 2014, Peter Sturm, Universität Trier

Inhalt Einführung Was ist SAML Wozu braucht man SAML Wo wird SAML verwendet kleine Demo SAML. Security Assertion Markup Language.

Federated Identity Management

Technische Universität München. SAML/Shibboleth. Ein Vortrag von Florian Mutter

Identity and Access Management for Complex Research Data Workflows

Grundlagen. AAI, Web-SSO, Metadaten und Föderationen. Wolfgang Pempe, DFN-Verein

Seminarvortrag Shibboleth

Shibboleth 2 und Interoperabilität

Organisationsübergreifendes Single Sign On mit shibboleth. Tobias Marquart Universität Basel

OSIAM. Sichere Identitätsverwaltung auf Basis von SCIMv2 und OAuth2

Dezentrales Identity Management für Web- und Desktop-Anwendungen

AZURE ACTIVE DIRECTORY

Digicomp Microsoft Evolution Day ADFS Oliver Ryf. Partner:

Authentication im Web

DFN-AAI Sicherheitsanforderungen und neue Attribute

Projekt bwidm Vereinfachter Zugang zu Landesdiensten

Web Single Sign-On (WebSSO)

Social Login mit Facebook, Google und Co.

Kobil Roundtable Identity Federation. Konzepte und Einsatz

Identity Management mit OpenID

1. SaxIS-Shibboleth. Shibboleth-Workshop. Chemnitz, 15. Dezember Dipl. Wirt.-Inf. Lars Eberle, Projekt SaxIS und BPS GmbH

Shibboleth / Dynamisches Berechtigungsmanagement mit OPAL. Jens Schwendel BPS Bildungsportal Sachsen GmbH 4. Dezember 2007 Universität Dortmund

Die Dienste der DFN-AAI. Ulrich Kähler, DFN-Verein

Shibboleth in hochskalierbaren Umgebungen

Nutzung und Erweiterung von IT-Standards zur Realisierung von Authentifizierung und Zugriffsschutz für Geo Web Services

Single Sign-On / Identity Management

Identity Management Einführung in die Diskussion

Autorisierungsattribute in einer Shibboleth- Föderation

GecMeGUI. Eine SSO-enabled Cloud WebGUI mit clientseitiger Schlüsselgenerierung

Enterprise Web-SSO mit CAS und OpenSSO

Web-Single-Sign-On in der LUH

Single Sign-On / Identity Management

Single Sign-On für SaaS-Dienste auf Basis von Open Source Software. Prof. Dr. René Peinl

Aktuelle Entwicklungen zu GridShib

Authentication as a Service (AaaS)

Chancen durch Verzeichnisdienste im Intraund. Junited Gründermesse, , Reutlingen Peter Gietz

Raoul Borenius, DFN-AAI-Team

Dr. Thomas Lux XIONET empowering technologies AG Bochum, 20. Oktober 2005

OpenStack in der Praxis

Sicherheit komplexer Informationssysteme

Identitätskonzepte. Hauptseminar Web Engineering Vortrag. OpenID, WebID und OAuth. Robert Unger

Role Based Access Control und Identity Management

Implementierung von PVP 2.0 für neue Wege im Federated Identity Management

Di 8.3. Windows CardSpace und das Identity Metasystem Philosophie, Technik und Praxis. Dominick Baier

Ausblick auf Shibboleth 2.0

Motivation und aktuelle Lösungsansätze für organisationsübergreifendes Identity Management

Modernes Identitätsmanagement für das Gesundheitswesen von morgen

Sicheres Single Sign-On mit dem SAML Holder-of-Key Web Browser SSO Profile und SimpleSAMLphp

Authentisierung für die Cloud mit dem neuen Personalausweis

Sebastian Rieger

Mozilla Persona. Hauptseminar Web Engineering. Vortrag. an identity system for the web Nico Enderlein

1. Integration von Liferay & Alfresco 2. Single Sign On mit CAS

Shibboleth und der föderative Ansatz

Technologien und Organisationskonzepte digitaler Identitäten Ein Überblick. Dr. Joachim Gerber

Office 365 Einsatzszenarien aus der Praxis. Martina Grom, Office 365 MVP

IT-Sicherheit Anwendungssicherheit: AuthN/AuthZ in der Cloud

Service-Orientierte Architekturen

Die neue Metadaten- Verwaltung für die DFN-AAI

S.A.F.E. Beate Schulte Koordinierungsstelle für IT-Standards (KoSIT) XÖV-Anwenderkonferenz 2011, Bremen

Version 4.1. licensemanager. What's New

Überblick über die Windows Azure Platform

Aufbau einer AAI im DFN. Ulrich Kähler, DFN-Verein

SECURITY DESIGN PATTERN FÜR EHEALTH-PLATTFORMEN

Fakultät für Informatik Professur Verteilte und Selbstorganisierende Rechnersysteme Prof. Dr.-Ing. Martin Gaedke Dipl.-Inf.

IT Security Trends 2013

Windows Azure für Java Architekten. Holger Sirtl Microsoft Deutschland GmbH

Identity for Everything

IT-Symposium. 2E04 Synchronisation Active Directory und AD/AM. Heino Ruddat

XML Signature Wrapping: Die Kunst SAML Assertions zu fälschen. 19. DFN Workshop Sicherheit in vernetzten Systemen Hamburg,

über mehrere Geräte hinweg...

Shibboleth - Infrastruktur für das Grid -

DARIAH Technische Infrastruktur Sicherheit, Datenhaltung, Nachhaltigkeit

Cloud Control, Single Sign On in Active Directory Umfeld

Single Sign-On Step 1

VERTRAUENSWÜRDIGE IDENTITÄTEN FÜR DIE CLOUD

Identitätschaos Ist mein digitales Ich im Internet sicher und beherrschbar?

Neuerungen bei Shibboleth 2

Echtes Single Sign-On mit APEX DOAG Konferenz Niels de Bruijn Nürnberg,

ecampus Universität Göttingen

Security of Online Social Networks

E-Identität in der UAMR

Identitätsmanagement für Hybrid-Cloud-Umgebungen an Hochschulen

Zugang zu Föderationen aus Speicher-Clouds mit Hilfe von Shibboleth und WebDAV

Identity as a Service

Benutzerzentrierte Lokalisierung für den Einsatz in Shibboleth-basierten Föderationen

Verbundzentrale des GBV (VZG) Till Kinstler / Digitale Bibliothek

Identity Management. Rudolf Meyer

1 Dataport 12.Juli 2007 Internationale Standards zu Identity Management. Deckblatt. Harald Krause

Die Authentifizierungs- und Autorisierungsinfrastruktur (AAI) für die Schweizerischen Hochschulen Ueli Kienholz

Office 365 & Windows Server Ein Blick über den Tellerrand. René M. Rimbach Raphael Köllner

IdM-Lösungen in Hochschulen - aktueller Stand, zukünftige Herausforderungen

Ebenen einer Sicherheitsarchitektur am Beispiel der Teleradiologie

- Architektur & Integration - Security in ADF Anwendungen (Essentials)

Transkript:

Sicherheit für Web-Anwendungen mit SAML2 und OAuth2 13. Tagung der DFN-Nutzergruppe Hochschulverwaltung Campus 4.0 Westfälische Wilhelms-Universität Münster, Münster 17.05.2017 Peter Gietz, DAASI International Peter.gietz@daasi.de

Agenda Kurzvorstellung DAASI International Begriffe Identity Management und Föderiertes IdM SAML2 für Web Single Sign-On mit Shibboleth OAuth2/OpenID Connect für Non-Web-Fall (SOAP und RESTlike Services) Vor- und Nachteile von SAML2 und OAuth2/OIDC Erfolgreiche Kombinationen der beiden Technologien 2

Geschichte Gründung: 2000 in Tübingen mit 4 Mitarbeitern als Spin-Off des ZDV der Universität Tübingen aus DFN-Projekten zu X.500/LDAP heraus 2003: Vortrag zu LDAP bei der DFN Nutzergruppe Hochschulverwaltung in Potsdam 2017: 20 Mitarbeiter, ca. 13 FTE, ca. 1 Million Jahresumsatz Weiter an Forschungsprojekten beteiligt zu: LDAP PKI Grid-Computing Virtuellen Forschungsinfrastrukturen Digital Humanities Föderiertes Identity Management 3

Kernkompetenzen Identity & Access Management Verzeichnisdienste, Authentifizierungs- und Autorisierungsinfrastrukturen, Zugriffskontrolle, Single Sign-on, Provisionierung LDAP, PKI, SAML, OAuth2, OIC, SCIM, SPML, RBAC Open-Source-Software OpenLDAP, Shibboleth, didmos, midpoint Digital Humanities 4 AAI, digitale Forschungsinfrastrukturen, Datenbankanwendungen in den Geisteswissenschaften

Leistungen Consulting Integration Software-Entwicklung Support Schulung Projektmanagement und Gutachten 5

Begriffe Identity Management und Federated Identity Management 6

Identity Management Definition von Spencer C. Lee: Identity Management bezieht sich auf den Prozess der Implementierung neuer Technologien zum Verwalten von Informationen über die Identität von Nutzern und zur Kontrolle des Zugriffs auf Firmenressourcen. Das Ziel von Identity Management ist es Produktivität und Sicherheit zu erhöhen und gleichzeitig Kosten der Verwaltung von Benutzern, ihrer Identitäten, Attribute und Berechtigungsnachweise zu senken Erleichterungen für Nutzer und Administratoren Hier wichtig: Identity Management ist Voraussetzung für Federated Identity Management da Zusagen über Aktualität und Richtigkeit der Identitätsdaten gemacht werden 7

Hochschule mit IdM Hochschule ohne IdM 8

Federated Identity Management FIdM-Definition von Peter Valkenburg, et.al (SURF): Kollektiver Begriff für alle Prozesse, Standards und Technologien, die den Austausch von Identitätsinformationen über organisatorische Grenzen hinweg unterstützen FidM setzt eine Föderation voraus Ein Vertrauensbund, der es ermöglicht, verteilte Ressourcen gemeinsam zu nutzen Vertrauen wird durch Verträge und Einhaltung von entsprechenden Sicherheitspolicies gewährleistet 9

Grundbausteine einer Föderation Eine Föderation besteht aus drei Bausteinen: Föderationsverwaltung zentraler Vertragspartner für Föderationsmitglieder verwaltet Zugangsdaten zu den einzelenen Bausteinen ( Metadaten ) betreibt zentrale Infrastrukturkomponenten Identity Provider (IdP) Benutzerverwaltung der Heimatorganisation verantwortlich für Authentifizierung und Attribute Service Provider (SP) verantwortlich für Ressourcen Entscheidet aufgrund von Aussagen des IdP 10

Vorteile von FIdM Identitätsdaten eines Benutzers müssen nur an einer Stelle gespeichert werden Name, Kontaktdaten, Passwort, etc. im IdP der Heimatorganisation Personenbezogene Daten werden nur über gesicherte Verbindungen an Mitglieder des Vertrauensbunds geschickt müssen aber gar nicht übertragen werden, da es oft nur auf Autorisierungsattribute ankommt Die Föderationstechnologien ermöglichen Single Sign On Föderation ähnelt einer PKI (Public Key Infrastructure), ist aber wesentlich einfacher zu implementieren: nur Serverzertifikate notwendig Passwort etc. anstelle der Benutzerzertifikate 11

Motivation für Federated Identity Management in der öffentlichen Verwaltung 12

Motivation im Verwaltungsumfeld Erste Föderation im Verwaltungsumfeld war die Föderation der Hochschulen (DFN-AAI) Studenten werden immer mobiler, wechseln die Hochschule öfters, bzw. belegen Kurse an anderen Hochschulen (E-Learning) Forschung funktioniert immer vernetzter Forschungsinfrastrukturen (escience, Grid- und CloudComputing) Forscher aus verschiedenen Hochschulen benötigen Zugriff auf im Netz verteilte Ressourcen ( Virtuelle Organisationen ) Verlagslizenzen erfordern Föderationen z.b. für Datenbanken, die von Hochschulbibliotheken online gestellt werden Verlage wollen Autorisierungsattribute (anstelle von IP-Ranges) Lizenzen können auch an Hochschulverbünde erteilt werden 13

Motivation im Behördenkontext Viele Behörden sind dezentral organisiert, wollen aber zentrale Dienste anbieten, z.b.: Bundesbehörden mit vielen Dienststellen im gesamten Bundesgebiet Kultusministerien, die für alle Schulen Dienste anbieten Alle Behörden eines Ministeriums Behörden verschiedener Ministerien, die auf gleiche Anwendungen zugreifen In all diesen Fällen können die Benutzerdaten in der Heimatbehörde bzw. Heimatorganisation Schule bleiben 14

Der Standard SAML 15

SAML Security Assertion Markup Language OASIS-Standard, aktuelle Version ist SAML2 XML-Dokumente enthalten Zusicherungen (Assertions) die ein IdP über Benutzer macht: Authentication Statements, Zusicherung, dass sich ein Benutzer authentifiziert hat Authorization Statement, Zusicherung über bestimmte Zugriffsrechte Attribute Statement, Zusicherung über bestimmte Eigenschaften eines Benutzers, die in Form von Attributen weitergegeben werden und den SP bei der Entscheidung über Zugriff unterstützen Profile spezifizieren welche Assertions wie zwischen IdP und SP ausgetauscht werden 16

Benutzer SAML-Architektur IdP Nach: RUBENKING, NEIL J.: Securing web services 17 SP

Open Source Implementierung Shibboleth 18

Shibboleth Open Source Software vom US-amerikanischen Internet2Projekt Implementiert das SAML-Profil WebSSO nach einmaliger Authentifizierung hat der Nutzer für eine bestimmte Zeit föderationsweit Zugriff auf verschiedene Webanwendungen Viele Anwendungen sind bereits shibboletisiert Shibboleth baut im Wesentlichen auf zwei miteinander kommunizierende (Apache-)Module auf: Identity Provider (IdP), der an die lokalen Benutzerverwaltungen angeschlossen wird Service Provider (SP), der vor zu schützende Ressourcen bzw. Dienste gestellt wird. 19

Ablauf SAML-Authentifizierung mit IdP Discovery 20 (c) SWITCHaai

SAML-basierte (Hochschul-)Föderationen 21 (c) SWITCHaai

Probleme mit SAML 22

SOAP und RESTlike Services Problem 1: Serviceaufrufe von nicht-web-browsern Problem 2: Delegierung von Credentials (z.b. geschütztes Web-Portal ruft Service auf) Lösung A: SAML Enhanced Client Or Proxy (ECP) Ein ECP (-Client) ist fast ein Browser, nur ohne GUI (HTTP/HTTPS, GET/POST/Redirect, Cookies, etc.) IdP fast unverändert (Basic Authn / X.509 Auth) SP fast unverändert (Zugriff über REST) Probleme mit Lösung A: Kaum gute Client-Libraries Übergang von WebSSO zu ECP nicht gegeben 23

SOAP und RESTlike Services (2) Lösungen B, C und D: Service-Accounts, ggf. kombiniert mit VPNs, SSH Tunnels, etc. SAML STS - Plug-In für SOAP Web Services Security Kerberos Lösung, die sich durchsetzt: OAuth2, IETF RFC 6749 Viele (Open Source)-Implementierungen für Clients (weit weniger Anforderungen als an ECPs) SPs (die hier Resource Server heißen, RS) IdPs (hier Authorization Server, AS) 24

OAuth2 und OpenID Connect 25

OAuth2 Protokoll zur Autorisierung von Zugriff auf eine Ressource Ein Client möchte im Namen des Nutzers (Resource Owner) auf dessen Ressourcen bei einem Resource Provider zugreifen Beispiel: "App (Client) verlangt Zugriff auf ProfilInformationen/Fotos/... (Ressource) des Nutzers (Resource Owner) bei Google (Resource Provider)" User muss diesen Zugriff autorisieren Aus technischer Sicht wird dem Client ein Access Token ausgestellt, mit dem er auf die Ressource zugreifen kann Access Token ist Bearer Token (= jeder der darüber verfügt, kann dann auf die Ressource zugreifen) Problem: OAuth 2.0 enthält keine Informationen über die Authentifizierung und ist damit nicht direkt für SSO geeignet 26

OpenID Connect (OIDC oder auch OIC) "simple identity layer on top of OAuth 2.0" Version 1.0 seit November 2014 Erweitert OAuth 2.0 um ID Token, das Informationen zur Authentifizierung enthält UserInfo Endpoint zur Anforderung von Claims (Attributen) Hinzufügen von "openid" als scope in der Anfrage an den OAuth2.0 Server Verschiedene "Flows", wie der Client an Access- und ID Token kommt: Authorization Code Flow, Implicit Flow und Hybrid Flow Für den klassischen Web SSO Fall ist Authorization Code Flow am weitesten verbreitet 27

SAML vs./plus OAuth2/OIDC 28

OAuth2/OIDC vs. SAML2 Die beiden Protokollstacks kommen aus unterschiedlichen Kulturen sozusagen IETF vs. OASIS SAML2 ist sehr etabliert, wird unterstützt von CA, Entrust, ForgeRock, IBM, Microsoft, NetIQ, Oracle, Ping, SAP, etc. OAuth2/OIDC ist v.a. im Sozialen Netz etabliert, wird unterstützt von: Amazon, Dropbox, Facebook, Google, Instagram, LinkedIn, Microsoft, Paypal, Twitter, Xing, etc. JSON Web Token (JWT) statt XML für das ID Token bzw. Assertion Die direkte Kommunikation zwischen OpenID Connect Provider (vgl. IdP) und Client erfolgt per REST-API statt per SOAP in SAML 29

OAuth2/OIDC vs. SAML2 Anwendungen (Clients) können per Design rein JavaSkript-basiert im Browser laufen (Implicit Flow) Damit ist OIDC deutlich flexibler für mobile Anwendungen nutzbar SAML ist aber immer noch das etabliertere Protokoll, dessen Sicherheit bewiesen ist OAuth2 anfällig gegen Phishing-Attacken OIDC/OAuth2 kennt (noch) nicht das Konzept einer kontrollierten Föderationen, sondern geht von automatischer Client-Registrierung aus 30

OAuth2/OIDC plus SAML2 Man kann das Gute aus beiden Welten kombinieren Authentifizierung in der Föderation über SAML2 WebSSO über SAML2 Non-Web und Mobile über OAuth2 Auch Authentifizierung über OIDC lässt sich mit SAML kombinieren Vgl. OIDC-Plugin für Shibboleth 31

oauth2/saml AuthzCode Set-Up 1 32

OAuth2/SAML AuthzCode Set-Up 2 33

Vielen Dank für Ihre Aufmerksamkeit! DAASI International 34 Web www.daasi.de Telefon E-Mail 07071 / 407 109 0 info@daasi.de

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback