Toruń 28/29.10.2014. Zadania Federacji – Źródło informacji o IdP i SP – Podstawa zaufania – Tworzenie wspólnego języka – Dbanie o formalności – Przygotowanie.

Slides:



Advertisements
Podobne prezentacje
Longhorn Academy - AD Warszawa, 12 kwietnia 2007
Advertisements

WEB SERVICE Stefan Rutkowski.
Wykonawca główny: Włoska Agencja Narodowa Wykonawcy współuczestniczący: Austriacka Agencja Narodowa Grecka Agencja Narodowa Polska Agencja Narodowa Idea.
Agnieszka Lewandowska, Cezary Mazurek, Marcin Werla
POZNAŃ SUPERCOMPUTING AND NETWORKING CENTER 1 Stan oraz koncepcje zadań realizowanych przez PCSS w ramach projektu LDAP PCSS, Lipiec 2002.
Systemy operacyjne.
Problemy organizacji usług publicznych świadczonych drogą elektroniczną wdrażanych przez MSWiA   współpraca między systemami lokalnymi a platformą ePUAP.
Jakość systemów informacyjnych (aspekt eksploatacyjny)
Wzorce projektowe w J2EE
Współczesne systemy informacyjne
Systemy zarządzania treścią CMS
Zasady leżące u podstaw informatyzacji administracji publicznej
Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK Rozwój eduroam Tomasz Wolniewicz UCI UMK.
Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK Formalne aspekty eduroam Tomasz Wolniewicz UCI UMK.
dLibra – Środowisko dla Biblioteki Cyfrowej
Łukasz Trzciałkowski Bartłomiej Żuchowski Łukasz Pawłowski.
Wykład 2 Cykl życia systemu informacyjnego
Usługi katalogowe LDAP.
... CZYLI 100% HYBRID Tomasz Onyszko IAM Kung-Fu Evangelist.
Elektroniczny Obieg Dokumentów i Elektroniczna Skrzynka Podawcza
Digitalizacja obiektów muzealnych
COBIT 5 Streszczenie dla Kierownictwa
Przeznaczenie produktu Opis funkcjonalności
Wewnętrzny system zapewniania jakości PJWSTK - główne założenia i kierunki działań w ramach projektu „Kaizen - japońska jakość w PJWSTK” Projekt współfinansowany.
Pilotażowy Program LEADER+ Wsparcie tworzenia Lokalnej Grupy Działania i opracowania Zintegrowanej Strategii Rozwoju Obszarów Wiejskich w Dolinie Pilicy.
Zarządzanie dokumentacją medyczną w modelu zdecentralizowanym
Wymiana integracja ? oprogramowania dr Danuta Kajrunajtys.
Prezentacja i szkolenie
Ogólnokrajowa karta miejska
Dr Karolina Muszyńska Na podst.:
Aplikacja od SaaS do IdaaS
S IMON SAYS … A RCHITECTURE ! Usługi zdalne Technologie, techniki i praktyki implementacji.
Sieci komputerowe.
Toruń 28/ REFEDS Konfederacje eduGAIN – eduGAIN w działaniu – Skutki obecności w eduGAIN – Jakie usługi powinny być w eduGAIN.
Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK Tomasz Wolniewicz UCI UMK Czego wymagać od access-pointów.
Toruń 28/ Terminologia używana w Regulaminie Zadania Operatora PIONIER.Id Zadania operatora regionalnego Ważniejsze zapisy dotyczące członków.
Toruń 28/ Wymagania, Co można zrobić z dodatkowymi modułami (rejestracja, logowanie), Własna baza użytkowników dla IdP, Wymiana metadanych.
Toruń 28/ Po udanym uwierzytelnieniu IdP może przekazać do SP dodatkowe informacje o użytkowniku – IdP korzysta ze wskazanego źródła danych.
Toruń 28/ Metadane SAML opisują, w jaki sposób ma być realizowana komunikacja pomiędzy IdP i SP Metadane są typowo prezentowane w postaci XML.
Toruń 28/ Samo przystąpienie do Federacji to wyłącznie akceptacja Regulaminu i wyznaczanie przedstawiciela Przystąpienie w roli członka nie.
Toruń 28/ Finansowanie w ramach aktywności 2.3 (Budowa infrastruktury dla nauki) – Konkurs 2.3/1/2013/POIG Okres realizacji: –
System Zarządzania Bazą Danych
Toruń 28/ Usługodawcy dostępni poprzez PIONIER.Id mogą pochodzić z dwóch źródeł: – bezpośrednio z PIONIER.Id – z eduGAIN za pośrednictwem PIONIER-id.
KONCEPTUALIZACJA WYMAGAŃ DLA PLACÓWEK DOSKONALENIA NAUCZYCIELI
Andrzej Majkowski 1 informatyka +. 2 Bezpieczeństwo protokołu HTTP Paweł Perekietka.
REGUŁY ZABEZPIECZEŃ W APLIKACJI OeBS Przedmiot i zakres szkolenia Przedmiot i zakres szkolenia Przedmiot i zakres szkolenia Przedmiot i zakres szkolenia.
Active Directory Federation Services w Windows Server 2012 R2
ENOVA dla WODOCIĄGÓW I KANALIZACJI System Zarządzania klasy ERP NOWOCZESNE, SPECJALSTYCZNE OPROGRAMOWANIE, WSPOMAGAJĄCE ZARZĄDZANIE I OBSŁUGĘ.
Przygotowali: Anna Farion Dariusz Droździel
KONCEPTUALIZACJA WYMAGAŃ DLA PLACÓWEK DOSKONALENIA ZAWODOWEGO.
Projektowanie obiektowe. Przykład: Punktem wyjścia w obiektowym tworzeniu systemu informacyjnego jest zawsze pewien model biznesowy. Przykład: Diagram.
KOMPANIA WĘGLOWA S.A..
Zarządzanie tożsamością Promotor: Prof. dr hab. Zbigniew Kotulski 17 kwietnia 2007 Dominik Zasiewski.
Sprawozdanie Projekt celowy „Wdrożenie protokołu LDAP w akademicko-naukowych sieciach komputerowych” Jerzy Żenkiewicz Uczelniane Centrum Informatyczne.
Zadania Architekta Zespół Architekta.
Moduł e-Kontroli Grzegorz Dziurla.
DOKUMENTACJA OCHRONY DANYCH OSOBOWYCH dr hab. Mariusz Jagielski
Politechnika Warszawska Wydział Elektryczny Kierunek: Informatyka stosowana Praca dyplomowa inżynierska Aplikacja do kontroli wydajności produkcji w.
Wybór optymalnego rozwiązania podpisu elektronicznego EDM Marcin Pusz CSIOZ, 17.II.2016.
STAĆ CIĘ NA INNOWACJE Systemy Call Center Sp. z o.o.
Społeczna odpowiedzialność organizacji Zmiany zachodzące w otoczeniu współczesnych organizacji powodują, że ulegają zmianie społeczne oczekiwania wobec.
Serwis umożliwiający organizowanie turniejów rozgrywek oraz lig (e)sportowych wraz z dostępem mobilnym Grupa: Jarosław Zima , Karol Pieniążek ,
COBIT 5 Streszczenie dla Kierownictwa
Cyber Security Management
TRANSPORTOWY DOZÓR TECHNICZNY
Sponsorzy: Media:. Sponsorzy: Media: MBUM 9/11/2017 Mikrotik Beer User Meeting Integracja uwierzytelniania tunelu L2TP/IPsec z Microsoft Active Directory.
Realizacja aplikacji internetowych
Projekt modułu BANK INTERNETOWY Moduł funkcji banku
IV Konferencja Naukowo-Techniczna "Nowoczesne technologie w projektowaniu, budowie.
Zasady leżące u podstaw informatyzacji administracji publicznej
Zapis prezentacji:

Toruń 28/

Zadania Federacji – Źródło informacji o IdP i SP – Podstawa zaufania – Tworzenie wspólnego języka – Dbanie o formalności – Przygotowanie filtrów udostępniania atrybutów – Doradztwo – Pozyskiwanie partnerów Modele Federacji – Mesh – Hub & Spoke Współpraca między federacjami Federacja a technologia

Usługodawcy – usługa otwarta na wszystkich członków federacji musi mieć źródło danych, aby wiedzieć z kim (tzn. z jakimi IdP) może rozmawiać – usługi o zamkniętym zbiorze odbiorców mogą korzystać z informacji o wszystkich IdP w celu odnajdowania potencjalnych klientów Instytucje uwierzytelniające – IdP muszą mieć informację z jakich usług mogą potencjalnie korzystać Federacja może prowadzić centralną listę IdP (tzw. WAYF – Where Are You From) podłączaną do SP jako usługa zdalna.

Pomiędzy stronami komunikacji następuje wymiana danych – SP musi ufać, że rozmawia z właściwym IdP informacja od IdP jest wiarygodna – IdP musi ufać, że rozmawia z właściwym SP wysyłane dane są odpowiednio zabezpieczone Federacja dystrybuuje wiarygodny zestaw metadanych – metadane zawierają powiązanie między identyfikatorami stron i certyfikatami zabezpieczającymi dane – Federacja gwarantuje, że wszystkie strony stosują odpowiednie klucze zabezpieczające

Słownik atrybutów – autoryzacja (nadawanie uprawnień do zasobu) często jest realizowana w oparciu o konkretne atrybuty, np.: dostęp do bazy danych mają pracownicy, ale studenci nie dostęp do zasobu mają tylko osoby z danego wydziału – Federacja ustala wspólny słownik terminów Dokumenty i regulaminy – jednorodność nazewnictwa – jednorodność zasad – wspólne szablony dokumentów

Partnerzy i członkowie PIONIER.Id muszą spełniać pewne wymogi formalne, np.: – Partnerzy muszą publikować Politykę Prywatności dla każdej ze swoich usług – Członkowie muszą wdrożyć zasady zarządzania kontami użytkowników, tak by dawać gwarancje, że konta są osobiste oraz informacja o udostępnianych atrybutach jest wiarygodna – Instytucja Partnera musi być wiarygodna, np. być ulokowana w kraju mającym odpowiednie prawo ochrony danych osobowych Jednymi z zadań Operatora Federacji jest: – sprawdzenie spełniania wymagań formalnych – sprawdzenie, że wymagania SP dotyczące atrybutów są zgodne z faktycznymi potrzebami konkretnych usług

Odpowiedzialność za prawidłowe udostępnianie danych użytkowników należy do IdP, ale – operator federacji może przygotować zestaw zaleceń zgodnych z wynikami analizy potrzeb usługodawcy, tzw. filtrów atrybutów Operatorzy IdP powinni przeglądać przygotowane filtry, ale praktyka innych federacji pokazuje, ze zazwyczaj filtry mogą być zastosowane bez modyfikacji.

Tematyka zarządzania tożsamością jest stosunkowo złożona zarówno technicznie jak i formalnie, dlatego osoby odpowiedzialne za prowadzenie federacji muszą prowadzić rozbudowane wsparcie w zakresie: – technicznym instalacji i konfiguracji oprogramowania rozwiązywania problemów wdrażania nowych rozwiązań – formalnym interpretacji zapisów regulaminu przygotowywania regulaminów wewnętrznych przygotowywania dokumentów opisowych wspomagających podejmowanie decyzji

Federacja ma wartość tylko, jeżeli daje dostęp do ważnych usług, dlatego ważną rolą operatora federacji jest pozyskiwanie partnerów, a więc: – zainteresowanie potencjalnych partnerów udziałem w federacji – prowadzenie uzgodnień technicznych – uzgadnianie minimalnego, niezbędnego zestawu atrybutów – doprowadzenie do podpisania formalnego zgłoszenia Problem jajka i kury – SP czekają na większą grupę IdP i odwrotnie

W tym modelu rola Federacji ogranicza się do opisanych wcześniej zadań Cała komunikacja pomiędzy stronami odbywa się bezpośrednio Federacja nie bierze żadnej odpowiedzialności za decyzje IdP w sprawie udostępniania atrybutów, ochrony danych osobowych W ramach infrastruktury technicznej Federacji nie następuje żadne przetwarzanie danych osobowych Model przyjęty przez m.in. federacje: amerykańską, brytyjską, szwajcarską, niemiecką, francuską, czeską, fińską, szwedzką, polską

Federacja jest punktem centralnym całego ruchu uwierzytelniania każde SP i każde IdP konfiguruje tylko jeden punkt uwierzytelniania Federacja udostępnia mechanizmy filtrowania atrybutów i filtruje atrybuty zgodne z ustawieniami ustalanymi przez administratorów IdP Federacja uczestniczy w przetwarzaniu danych osobowych, chociaż nie utrzymuje żadnych baz Federacja posiada pełną informację o wykonywanych uwierzytelnieniach Federacja często negocjuje kontrakty na globalny dostęp do usług Model przyjęty przez m.in. federacje: holenderską, duńską, norweską, hiszpańską, chorwacką

Krajowe federacje zarządzania tożsamością coraz silniej współpracują m in. w obszarach – rozwoju standardów zarządzania tożsamością – użytkowania i rozwijania oprogramowania – ustalania wspólnych, przejrzystych zasad, m.in. w celu lepszego rozumienia swoich regulaminów – tworzenia konfederacji, tj. systemu, w którym można korzystać z usług udostępnianych przez inne federacje bez potrzeby włączania ich do własnej

Federacja krajowa – reprezentuje swoich członków w pracach konfederacji – odpowiada za właściwe przygotowanie metadanych do eksportu do konfederacji – przygotowuje metadane pobrane z konfederacji na potrzeby swoich odbiorców – zapewnia właściwą klasyfikację obiektów metadanych (poprzez tzw. kategorie obiektów)

Oprogramowanie – Shibboleth, simpleSAMLphp, OpenSAML - wady i zalety – Instalacja Identity Providera Shibboleth simpleSAMLphp simpleSAMLphp - własna baza dla IdP w 15 minut atrybuty, tworzenie, mapowanie itd. zgoda użytkownika (Consent) generowanie i rejestracja metadanych – Instalacja SP simpleSAMLphp Shibboleth proste API z użyciem SSP Discovery Service i korzystanie z zewnętrznej usługi WAYF generowanie i rejestracja metadanych Czego oczekujemy od partnerów MAN-HA

SAML – standard OASIS stworzony na potrzeby rozproszonego zarządzania tożsamościąOASIS – SAML powstał przy silnym współudziale Intrenet2 pracującego nad implementacją oprogramowanie ShibbolethIntrenet2 Shibboleth OpenID – technologia uwierzytelniania tworzona przez OpenID Foundation obecnie w odwrocie, np. Google zapowiedział wyłączenie wsparcia dla tego protokołuOpenID Foundation OAuth – otwarta technologia autoryzacji rozwijana w ramach IETF OpenId Connect – technologia uwierzytelniania zbudowana na bazie protokołu OAuth 2.0 RADIUS – protokół uwierzytelniania stworzony w ramach IETF nie dostosowany do potrzeb federacyjnego zarządzania tożsamością w usługach WWW

Użycie w Federacjach naukowych – SAML 2.0 jest podstawą działania obecnych federacji – OpenID pojawia się coraz częściej, w celu współpracy z usługami, które zostały zbudowane w oparciu o ten standard – OAuth jest postrzegane jako ważne narządzie, które może wspomagać bardziej rozbudowane modele autoryzacji, tzw. wirtualne organizacje, zewnętrzni dostawcy atrybutów, agregowane tożsamości itp. – RADIUS – powszechnie używany w eduroam, ale nie w federacyjnym zarządzaniu tożsamością w usługach WWW

Polecany dokument – SAML V2.0 Technical OverviewSAML V2.0 Technical Overview Asercja (SALM assertion) – Komunikat przekazywany przez IdP (lub Attribute Authority) do SP będący potwierdzeniem statusu użytkownika. Asercje SAML mogą zawierać trzy rodzaje stwierdzeń: potwierdzenia uwierzytelnienia (authentication statements) informacje o atrybutach (attribute statements) potwierdzenia uprawnień (authorization decission statements)

SAML protocol – protokół dedykowany konkretnej funkcji np.: Authentication Request Protocol Assertion Query and Request Protocol: Single Logout Protocol SAML binding – definicja realizacji protokołów SAML w proptokołach niższego poziomu np.: HTTP Redirect Binding HTTP POST Binding SAML SOAP Binding

SAML profile – definicja dodająca definicje (ograniczenia) na stosowanie SAML w celu osiągnięcia konkretnego celu i zmaksymalizowanie interoperacyjności – Web Browser SSO Profile Web Browser SSO Profile – saml2int saml2int Interoperable SAML 2.0 Profile - profil SAML stworzony na bazie Web Browser SSO Profile przez akademickie federacje zarządzania tożsamością mający na celu znaczące doprecyzowanie formatu i znaczenia informacji zawartej zarówno w metadanych, jak i asercjach SAML, uwzględniający typowe potrzeby Web SSO. saml2int jest wspierany przez większość federacji akademickich i jest podstawą interoperacyjności w ramach eduGAIN. saml2int jest profilem wymaganym przez eduGAIN

Konstrukcja eduroam ma wiele cech federacji typu hub & spoke Niektóre federacje (np. szwedzka SWAMID) taktują eduroam i federacje oparte o SAML jako realizacje techniczne tego samego procesu – mają jeden regulamin ramowy – mają regulaminy techniczne dotyczące każdej realizacji Wdrożenie w eduroam uwierzytelniania opartego o DNS oraz protokół RADIUS-over-TLS zbliży eduroam do modelu mesh Z powodu zasadniczych różnych między protokołami oraz znacznie większej gamy zagadnień dotyczących ochrony danych osobowych, eduroam i federacje są jednak zazwyczaj realizowane odrębnie Naturalne jest, aby IdP korzystały z tej samej bazy użytkowników na potrzeby obu usług Federacje SAML rozważają wdrożenie mechanizmów wspierających zbieranie statystyk, podobnych jak wdrożone w eduroam F-Ticks