Stand der Entwicklung von Shibboleth 2

Ähnliche Dokumente
Neuerungen bei Shibboleth 2

Ausblick auf Shibboleth 2.0

Anwendungen schützen mit Shibboleth 2

Grundlagen. AAI, Web-SSO, Metadaten und Föderationen. Wolfgang Pempe, DFN-Verein

Anwendungen schützen mit Shibboleth

Von der Testumgebung zum produktiven Einsatz von Shibboleth

Inhalt Einführung Was ist SAML Wozu braucht man SAML Wo wird SAML verwendet kleine Demo SAML. Security Assertion Markup Language.

Technische Universität München. SAML/Shibboleth. Ein Vortrag von Florian Mutter

Shibboleth zum Mitmachen die AAR-Testumgebung 3ter AAR Workshop

1. SaxIS-Shibboleth. Shibboleth-Workshop. Chemnitz, 15. Dezember Dipl. Wirt.-Inf. Lars Eberle, Projekt SaxIS und BPS GmbH

Shibboleth IdP-Erweiterungen an der Freien Universität Berlin

Anwendungen schützen mit dem Shibboleth Service Provider

Organisationsübergreifendes Single Sign On mit shibboleth. Tobias Marquart Universität Basel

Die neue Metadaten- Verwaltung für die DFN-AAI

Shibboleth IdP-Erweiterungen an der Freien Universität Berlin

Metadaten. Organisationsstrukturen und Sicherheit in Shibboleth. Authentifizierung, Autorisierung und Rechteverwaltung

Ein technischer Überblick

Web-Single-Sign-On in der LUH

MOA-ID Workshop. Anwendungsintegration, Installation und Konfiguration. Klaus Stranacher Graz,

Anbindung des IdP an IdM Systeme

Zugang zu Föderationen aus Speicher-Clouds mit Hilfe von Shibboleth und WebDAV

Das Projekt AAR. Integration von Informationsdiensten in einem föderativen System. Frühjahrssitzung des ZKI vd-ak Oldenburg, 8.

SWITCHaai Die Authentifizierungs- und Autorisierungs- Infrastruktur der Schweizer Hochschulen

Shibboleth föderiertes Identitätsmanagement

Raoul Borenius, DFN-AAI-Team

Shibboleth und der föderative Ansatz

Version 4.1. licensemanager. What's New

Neues aus der AAI: SLO und Verlässlichkeitsklassen Single-Log-Out Zwischenbericht 09/2014

Identity Management mit OpenID

Zugriff auf lizenzierte Bibliotheksressourcen mittels Shibboleth

Steffen Hofmann (Dipl.-Inf.) ZEDAT, Identity and Customer Management (ICM) Neue Shibboleth Versionen, neue Features

Leitfaden zur Installation und Konfiguration des Shibboleth Identity Provider 2

GecMeGUI. Eine SSO-enabled Cloud WebGUI mit clientseitiger Schlüsselgenerierung

Einführung in Shibboleth , Stuttgart Franck Borel - UB Freiburg

Projekt bwidm Vereinfachter Zugang zu Landesdiensten

Dezentrales Identity Management für Web- und Desktop-Anwendungen

XML Signature Wrapping: Die Kunst SAML Assertions zu fälschen. 19. DFN Workshop Sicherheit in vernetzten Systemen Hamburg,

Portalverbundprotokoll Version 2. S-Profil. Konvention PVP2-S-Profil Ergebnis der AG

Identity Propagation in Fusion Middleware

Aktuelles zur DFN-AAI AAI-Forum, 53. DFN-Betriebstagung, Oktober 2010

Lokal, national, international: Single Sign-On mit Shibboleth. 9. Sun Summit Bibliotheken Franck Borel, UB Freiburg

Einführung in Shibboleth 4. Shibboleth-Workshop der AAR in Kooperation mit der DFN-AAI , Berlin. Franck Borel - UB Freiburg

Authentifizierung und Autorisierung mit Shibboleth

Shibboleth: Grundlagen

Einführung in Shibboleth 5. Shibboleth-Workshop der AAR in Kooperation mit der DFN- AAI , Berlin Franck Borel - UB Freiburg

Service-Orientierte Architekturen

Secure Bindings for Browser-based Single Sign-On

Die Benutzerverwaltung der Digitalen Bibliothek MyCoRe in einem Shibboleth und LDAP Umfeld

Federated Identity Management

Modernes Identitätsmanagement für das Gesundheitswesen von morgen

SAML 2.0, ein Tutorium Teil 1: Theorie

Raoul Borenius, DFN-AAI-Team

(c) 2014, Peter Sturm, Universität Trier

Eclipse Plugins für die komfortablere Verwendung von ibatis SQLMaps

Enterprise Web-SSO mit CAS und OpenSSO

!"#$"%&'()*$+()',!-+.'/',

Aktuelle Entwicklungen zu GridShib

Authentisierung für die Cloud mit dem neuen Personalausweis

Nachnutzung des Windows Login in einer SAML-basierten. Föderation mittels Shibboleth Kerberos Login Handler

Das Projekt NDS-AAI 5. Shibboleth Workshop Berlin, Peter Gietz, CEO, DAASI International GmbH

Version 4.1. securitymanager. What's New?

SAML2 Burp Plugin. «SAML Raider» Bachelorarbeit FS 2015 Abteilung Informatik Hochschule für Technik Rapperswil

Webservices. 1 Einführung 2 Verwendete Standards 3 Web Services mit Java 4 Zusammenfassung. Hauptseminar Internet Dienste

Tomcat Konfiguration und Administration

B E N U T Z E R D O K U M E N TA T I O N ( A L E P H I N O

Single Sign-On / Identity Management

Die Dienste der DFN-AAI. Ulrich Kähler, DFN-Verein

Gemeinsam mehr erreichen.


Identity and Access Management for Complex Research Data Workflows

Identitätschaos Ist mein digitales Ich im Internet sicher und beherrschbar?

ech-0174 SuisseTrustIAM Implementierung mit SAML 2.0

Shibboleth LDAP Backend

IT-Sicherheit Anwendungssicherheit: AuthN/AuthZ in der Cloud

Shibboleth 2 und Interoperabilität

Die Open Source SOA-Suite SOPERA

Programmierhandbuch SAP NetWeaver* Sicherheit

Um asynchrone Aufrufe zwischen Browser und Web Anwendung zu ermöglichen, die Ajax Hilfsmittel DWR ist gebraucht.

SimpleSAMLphp als Identity Provider in der DFN-AAI

Identity Management. Nutzen Konzepte Standards. Dr. Oliver Stiemerling

Authentication as a Service (AaaS)

SAML-basierte Single Sign On Frameworks

0. Inhaltsverzeichnis

Identity Management und Berechtigungen

Elektronische Vollmachten - Demonstrator

Nutzung und Erweiterung von IT-Standards zur Realisierung von Authentifizierung und Zugriffsschutz für Geo Web Services

B E N U T Z E R D O K U M E N TA T I O N ( A L E P H I N O

Föderiertes Identity Management

Konfiguration von Fabasoft Mindbreeze Enterprise für SAML

Mainframe Internet Integration. Prof. Dr. Martin Bogdan Prof. Dr.-Ing. Wilhelm G. Spruth SS2013. WebSphere Application Server Teil 4

SECURITY DESIGN PATTERN FÜR EHEALTH-PLATTFORMEN

Managed VPSv3 Was ist neu?

1. Integration von Liferay & Alfresco 2. Single Sign On mit CAS

Steffen Hofmann Freie Universität Berlin ZEDAT Identity and Customer Management (ICM) Aktueller Stand Shibboleth IdP3

Shibboleth-AttributManagement. DFN-AAI Workshop Kaiserslautern

Kobil Roundtable Identity Federation. Konzepte und Einsatz

Shibboleth & OAuth2 für die Autorisierung von Apps

Abschlussvortrag zur Diplomarbeit Aufbau und Analyse einer Shibboleth/GridShib-Infrastruktur

Portal for ArcGIS - Eine Einführung

Transkript:

Stand der Entwicklung von Shibboleth 2 5. Shibboleth-Workshop Berlin, 17. Oktober 2007 Bernd Oberknapp Universitätsbibliothek Freiburg E-Mail: bo@ub.uni-freiburg.de

Übersicht Offizieller Status Kommunikation IdP SP: Authentication Request Bindings Single Logout Identity Provider: Architektur Authentication Handler Attribute Resolver und Filtering Engine WAYF/Discovery Service Fazit Bernd Oberknapp, Universitätsbibliothek Freiburg 2

Offizieller Status Seit Ende Juli Alpha (ausgewählte Tester) Seit Mitte September Beta (allgemeiner Test) Komponenten im Betatest: C++ Service Provider (SP) Java Identity Provider (IdP) WAYF/Discovery Service: Technical Preview Java SP: Erst nach der 2.0 Release Release-Datum ist immer noch unklar! Bernd Oberknapp, Universitätsbibliothek Freiburg 3

Kommunikation IdP SP (Protokolle und Bindings) Bernd Oberknapp, Universitätsbibliothek Freiburg 4

Authentication Request In Shibboleth 1.3 einfacher Redirect zum IdP, in Shibboleth 2.0/SAML 2.0 XML-Request (über SSL 3.0 oder TLS 1.0, optional signiert) SP kann vorgeben, welche Authentication Context Classes (z.b. PasswordProtectedTransport) verwendet werden dürfen verlangen, dass der Benutzer sich erneut authentifiziert (forceauthn) verlangen, dass am IdP keine Interaktion mit dem Benutzer erfolgt (ispassive) Bernd Oberknapp, Universitätsbibliothek Freiburg 5

Bindings Folgende Bindings werden unterstützt: SAML1-Bindings wie bei Shibboleth 1.3 SAML2-Varianten der SAML1-Bindings SAML2 HTTP Redirect (GET, IdP/SSO) SAML2 HTTP POST (IdP/SSO) SAML2 HTTP POST SimpleSign (IdP und SP) SAML2-Bindings werden bevorzugt Beispiel: HTTP Redirect für den Authentication Request des SP an den IdP und HTTP POST (mit Attribute Push) für die Antwort Bernd Oberknapp, Universitätsbibliothek Freiburg 6

Single Logout Single Logout (SLO) beendet die Session im IdP und die zugehörigen Sessions in allen SPs, in die der Nutzer eingeloggt worden ist SLO kann erfolgen: asynchron (Front-Channel) über den Browser (HTTP Redirect, POST oder Artifact, empfohlen) oder synchron (Back-Channel) über SOAP SLO kann im SP oder im IdP initiiert werden Anwendungen-Sessions müssen ebenfalls beendet werden (erfordert Anpassungen bei Anwendungen mit Session-Management) Bernd Oberknapp, Universitätsbibliothek Freiburg 7

Status Kommunikation Authentication Request und SAML2-Bindings sind weitestgehend implementiert, aber noch nicht besonders gründlich getestet Single Logout ist momentan nur im SP implementiert und kann daher nur mit nicht- Shibboleth IdPs getestet werden Dokumentation lässt momentan noch zu wünschen übrig, was das Testen erschwert Bernd Oberknapp, Universitätsbibliothek Freiburg 8

Identity Provider Bernd Oberknapp, Universitätsbibliothek Freiburg 9

IdP 1.3 Architektur Bei Shibboleth 1.3 muss der SSO-Service des IdP durch eine Authentifizierung geschützt werden, z.b. über den Apache oder Tomcat: Apache Tomcat Apache AuthN AuthType Basic AuthType Tomcat AuthN <security-constraint> <login-config> REMOTE_USER Identity Provider SSO-Service Identity Management An den IdP wird lediglich der REMOTE_USER übergeben! Bernd Oberknapp, Universitätsbibliothek Freiburg 10

IdP 2.0 Architektur Bei Shibboleth 2.0 übernimmt der IdP die Kontrolle über die Authentifizierung. Die Authentifizierung erfolgt dabei über Authentication Handler: Apache Tomcat AuthN Handler 1 AuthN Handler 2 Identity Provider AuthN Handler n SSO-Service Identity Management Bernd Oberknapp, Universitätsbibliothek Freiburg 11

Authentication Handler Authentication Handler werden abhängig von vorgegebenen Authentication Context Classes aufgerufen Authentication Handler erhalten zur Durchführung der Authentifizierung die vollständige Kontrolle Mitgeliefert werden bei Shibboleth 2.0 mindestens Authentication Handler für Benutzerkennung/Passwort (über JAAS) REMOTE_USER (ähnlich wie bei Shibboleth 1.3) IP basierte Authentifizierung Bernd Oberknapp, Universitätsbibliothek Freiburg 12

Attribute Resolver Zusätzliche Attribute Connectors, u.a. zum Extrahieren von Attributen aus SAML Attribute Statements und zur Einbindung von Skripten Attribute Encoder zur Übersetzung der Attribute in Protokoll spezifische Darstellungen Principal Connectors zur Übersetzung von NameIDs in UserIDs und umgekehrt (NameIDs werden wie Attribute behandelt) Zugriff auf alle relevanten Informationen Bernd Oberknapp, Universitätsbibliothek Freiburg 13

Attribute Filtering Engine Attribute Filtering Engine erstellt die Liste der benötigten Attribute filtert Attribute und Attributwerte filtert NameIDs abhängig von der Relying Party Stark erweiterte Filtermöglichkeiten inklusive der Möglichkeit, eigene Filter zu definieren Attribute Release Policies (ARPs) für Benutzergruppen Gruppen von SPs ARP Constraints Bernd Oberknapp, Universitätsbibliothek Freiburg 14

Status Identity Provider Authentication Handler und Attribute Resolver und Filtering Engine scheinen weitestgehend implementiert zu sein Das Testen ist momentan noch schwierig: die Dokumentation lässt noch zu wünschen übrig es gibt umfangreichen Änderungen in der Konfiguration gegenüber Shibboleth 1.3 SAML2-Funktionalität erfordert SAML2-NameIDs Neben dem Single Logout fehlen angeblich noch weitere Funktionen im IdP, was genau ist aber unklar Bernd Oberknapp, Universitätsbibliothek Freiburg 15

WAYF/Discovery Service Bernd Oberknapp, Universitätsbibliothek Freiburg 16

IdP Discovery Bei Shibboleth 1.3 wird der Nutzer vom SP über den WAYF zum IdP geleitet: SP WAYF IdP 1. Redirect (GET) 2. Redirect (GET) Bei Shibboleth 2.0 gibt ein neues Protokoll dem SP mehr Kontrolle über den Discovery Prozess: SP 1. Redirect (GET) WAYF 2. Redirect (GET) 3. SAML 2.0 Authentication Request optional Passiv-Modus IdP Bernd Oberknapp, Universitätsbibliothek Freiburg 17

Discovery Service WAYF/Discovery Service wird offiziell unterstützt Implementiert als Java Servlet Unterstützung für mehrere Förderationen Plugins zur Filterung der IdP-Listen Integration in eine Anwendung sollte damit vergleichsweise einfach möglich sein Bernd Oberknapp, Universitätsbibliothek Freiburg 18

Status Discovery Service Bisher keine offizielle Beta, sondern nur eine Technical Preview (seit Anfang des Jahres) Aktuelle Entwicklungsversion (Subversion) funktioniert offenbar stabil und unterstützt unter anderem auch das neue Discovery Service Protokoll SP unterstützt das neue Protokoll ebenfalls (vollständig?) Für den Discovery Service erforderliche Metadaten-Extension ist auch implementiert Bernd Oberknapp, Universitätsbibliothek Freiburg 19

Fazit Bernd Oberknapp, Universitätsbibliothek Freiburg 20

Zusammenfassung C++ SP ist am weitesten fortgeschritten: weitestgehend Feature Complete, teilweise aber noch nicht besonders gut getestet Installation und Konfiguration sind vergleichsweise einfach, weitgehend identisch mit Shibboleth 1.3 Java IdP ist leider noch nicht ganz so weit, einige Funktionen fehlen noch Testen der SAML2-Funktionalität wird noch durch fehlende Dokumentation erschwert Interoperabilität mit Shibboleth 1.3 ist offenbar wie versprochen voll gegeben Bernd Oberknapp, Universitätsbibliothek Freiburg 21

Empfehlungen Warten Sie nicht auf Shibboleth 2, sondern fangen Sie jetzt mit Shibboleth 1.3 an! Wenn Sie den SP auf einer 64 Bit-Plattform betreiben wollen, sollten Sie sich allerdings gleich den 2.0 Beta SP anschauen Helfen Sie möglichst beim Testen der 2.0 Beta je mehr testen, desto schneller wird es eine Release geben! Für einen Test des IdP sollte man viel Erfahrung mit Shibboleth 1.3 haben Vielen Dank für Ihre Aufmerksamkeit! Bernd Oberknapp, Universitätsbibliothek Freiburg 22

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback