Föderiertes Identitätsmanagement
Uwe Hübner, TU Chemnitz
1 Ausgangssituation
2 Ziel
3 Zentrale Identitätsverwaltung
4 Implementierungen
5 Verteilte Identitätsverwaltung
6 Industiekonsortien
7 Integrationsansätze
8 Standardisierung
1 Ausgangssituation
Bild 1-1
2 Ziel
Gültigkeit von Identitäten über Organisations- bzw. Applikationsgrenzen hinweg
Szenarien:
mobile/entfernte Nutzer: Netzzugang, Applikationszugang
Roaming
mobile/entfernte Anwendungen: Applikationszugang, Ressourcenzugang
Single-Sign-On (SSO), Grid ...
3 Zentrale Identitätsverwaltung
Bild 3-2
Elemente für technische Lösungen:
Kerberos, LDAP, Cookies, Zertifikate ...
Projektübersicht zu
Web Inital Sign-on (WEBISO)
:
http://middleware.internet2.edu/webiso/
4 Implementierungen
Kerberos
Integration in Web-Browser und Mail-Klienten?
Sipmple and Protected GSSAPI Protection Mechanism (SPNEGO)
RFC2478
SPNEGO FAQ 1.1
[
http://appliedcrypto.com/spnego/qa.html
]
Jason Garman: Single Sign-on for Your Web Applications with Apache and Kerberos
[
http://www.onlamp.com/pub/a/onlamp/2003/09/11/kerberos.html
]
(siehe auch Kerberos-Buch)
Pubcookie
http://www.pubcookie.org/
"open-source software for intra-institutional web authentication"
Login-Server (mit Logout-Funktion) - per Redirect angesprochen
Nutzerauthentifizierung (LDAP, Kerberos 5, /etc/shadow ..)
Authentifizierungstoken (Cookie) ausgeben
Technik: CGI + Keyserver
mod_pubcookie auf den Applikationsservern
hat Zertifikat (mit öff. Schlüssel) vom Login-Server zum Verifizieren der "granting cookies"
Authentifizierungsdaten sind zwischen Login-Server und Applikationsservern symmetrisch verschlüsselt (DES, vorkonfigurierte Schlüssel)
Sitzungsmanagement pro Applikation (mit Timeouts, Logout, Logging ...)
Bluestem (University of Illinois)
https://www-s.uiuc.edu/bluestem/notes/overview.html
Technik: Perl, Kerberos im Hintergrund
gibt Liste der Server aus, an die NetID (user@domain) geliefert wird
Beispiele für gekoppelte Systeme: Personalverwaltung (Arbeitsvertragsdaten ... Urlaubsanträge), LMS ...
ITS Central Authentication Service (Yale)
http://www.yale.edu/tp/auth/
Technik: JSP, Servlet-2.3-API (Tomcat 4.x)
im Hintergrund: Anbindung an Kerberos und/oder LDAP
CAS 2.0: "Proxiable credentials" (für Portale, Web-Mail ..)
Anwendungshinweise:
Build and implement a single sign-on solution
[
http://www-106.ibm.com/developerworks/web/library/wa-singlesign/?Open&ca=daw-ad-news
]
WebAuth (Stanford)
http://webauthv3.stanford.edu/
Technik: Apache 2.x, Kerberos v5, LDAP
WebKDC: weblogin.stanford.edu
WebAuth (Brown)
http://www.brown.edu/Facilities/CIS/Network_Services/web-auth/
Technik: Perl/Kerberos4,5 ...
A-Select
The A-Select Authentication System
[
http://a-select.surfnet.nl/
]
Authentication Service Provider: Radius, LDAP ...
5 Verteilte Identitätsverwaltung
Bild 5-3
Abstimmung der
Policies
!?
6 Industiekonsortien
Liberty Alliance Project (Sun, HP, VeriSign ..)
http://www.projectliberty.org/
Policy-Abstimmung:
"privacy and security best-practices guide"
- Verbindlichkeit?
Implementierungsbeispiel:
http://www.sourceid.org/
Liberty protocol v1.1 Single Sign-On and federated identity exchange
Demo-Identity-Provider, Service-Provider (Java)
Philosophie und Hintergründe (PingID):
Andre Durand: Towards Federated Identity Management
[
http://discuss.andredurand.com/stories/storyReader$320
]
Passport (Microsoft ...)
http://www.passport.net/
funktionell ähnlich Pubcookie
Verbreitung begrenzt, Probleme mit Verfügbarkeit und Sicherheitslücken ..
... eher "WS-Federation" (IBM, MS ...)
7 Integrationsansätze
Shibboleth
http://shibboleth.internet2.edu/
Föderierte Administration ...
"Privacy Preservation - user can choose which of their attributes can be released to any specific destination"
Basis: SAML
http://www.opensaml.org/
Technik: Apache+Tomcat 4.1.18-24, JDK 1.4.1_01
Voraussetzung:
"enterprise authentication mechanism"
(z.B. pubcookie oder WWW-Server, der lokale Nutzer authentifizieren kann)
LDAP liefert Nutzerattribute
wahlweise Klientenzertifikate (oder Nutzername/Passwort)
Service
"Where are you from? (WAYF)"
MACS
Modular Access Control System
[
http://macs.sourceforge.net/
]
Zwischenschicht zu LDAP, RDBMS ..
"macsDG will be a DotGNU-specific project to integrate MACS with DotNet"
XNS
http://www.xns.org/
XNS Public Trust Organization
eXtensible Name Service (XNS) protocol
- für "Entitäten" und Personen ..
"From Name Service to Identity Service"
8 Standardisierung
Protokolle und Repräsentationen:
Security Assertion Markup Language (SAML)
http://www.oasis-open.org/committees/security
eXtensible Access Control Markup Language (XACML)
WS-Federation