Uwierzytelnianie i autoryzacja dostępu do portali Michał Kosiedowski, PCSS Paweł Słowikowski, AGH Cyfronet Poznań, 10.04.2003
Portal musi być wyposażony w mechanizm identyfikacji użytkownika. Portal umożliwia spersonalizowany dostęp do różnego rodzaju usług i zasobów. Portal musi być wyposażony w mechanizm identyfikacji użytkownika.
Techniki uwierzytelniania Nazwa użytkownika + hasło Certyfikat
Baza użytkowników LDAP Relacyjna baza danych System operacyjny
Uwierzytelnianie zapewnia poprawną identyfikację użytkownika Uwierzytelnianie nie zapewnia kontroli dostępu do usług i zasobów zgromadzonych w portalu
Mechanizm autoryzacji Zapewnia kontrolę dostępu do usług i zasobów poprzez identyfikację akcji wykonywanych przez użytkownika oraz ewaluację jego uprawnień do ich wykonywania zapisanych w bazach danych uprawnień
Resource Access Decision Facility Specification RAD Resource Access Decision Facility Specification Object Management Group, Inc. (OMG) Kwiecień 2001, wersja 1.0
Rozwiązanie dla aplikacji „świadomych bezpieczeństwa” RAD: kontrola dostępu Rozwiązanie dla aplikacji „świadomych bezpieczeństwa” Decyzja o dostępie do zasobu podejmowana na podstawie: nazwy zasobu żądanych uprawnień do zasobu uwierzytelnień użytkownika (np. nazwa użytkownika)
RAD: przebieg kontroli dostępu Baza kontroli dostępu Klient Evaluator RDBS access_allowed Nazwa zasobu, Operacja (Uprawnienie), Lista uwierzytelnień podmiotu Combinator Evaluator LDAP .. .. Combinator Evaluator ACL-s
RAD: przebieg kontroli dostępu (2) Baza kontroli dostępu Klient Evaluator RDBS access_allowed Nazwa zasobu, Operacja (Uprawnienie), Lista uwierzytelnień podmiotu Combinator Evaluator LDAP .. .. Combinator Evaluator ACL-s
PROGRESS
PROGRESS: Uwierzytelnianie Technika nazwa użytkownika + hasło LDAP jako baza użytkowników
PROGRESS: Autoryzacja dostępu do usług i zasobów Autoryzacja dostępu do zasobów zgromadzonych w portalu obliczeniowym PROGRESS przebiega dwustopniowo: Autoryzacja dostępu do dostawcy zawartości kanału w portalu Autoryzacja dostępu do zasobów dostawcy usług gridowych i systemu zarządzania danymi
PROGRESS: RAD – kontrola dostępu (interfejs RMI) Portal Dostawca usług gridowych 2 1 3 Baza kontroli dostępu (Oracle) 4 Dostęp do zasobów
PROGRESS: Zasoby dostawcy usług Usługa podstawowa (wiadomości, katalog odnośników, forum dyskusyjne itp..) SERVICE SERVICE_NAME INSTANCE_NAME Aplikacja obliczeniowa APPLICATION APPLICATION_NAME Zadanie obliczeniowe COMPUTATION COMPUTATION_NAME
PROGRESS: Uprawnienia do zasobów dostawcy usług Usługa podstawowa ADMIN EDITOR READER Aplikacja obliczeniowa DEVELOPER USER Zadanie obliczeniowe OWNER
PROGRESS: RAD – moduł administracyjny Moduł umożliwiający zarządzanie tj. tworzenie, aktualizowanie i usuwanie uprawnień za pomocą graficznego interfejsu użytkownika. Dostępność do funkcjonalności modułu po uprzednim zalogowaniu się i posiadaniu uprawnień do poszczególnych akcji (wykorzystuje serwer RAD) Architektura klient-serwer oparta na J2EE - JSP, EJB, JMS. Zaimplementowany przy użyciu wzorców projektowych J2EE (Session Fascade, Business Delegate, DTO, Model Viewer Controller)
PROGRESS: Mechanizm Single Sign-On Uwierzytelnianie w portalu Utrzymywanie sesji Walidacja tokenów w dostawcy usług gridowych
PROGRESS: Uwierzytelnianie, autoryzacja dostępu i SSO Dostawca usług gridowych Logowanie Wywołanie metody Portal Żądanie Walidacja tokena Uwierzytelnianie Autoryzacja dostępu do zasobu Serwer identyfikacji RAD
http://progress.psnc.pl kat@man.poznan.pl ps@agh.edu.pl Dziękuję za uwagę http://progress.psnc.pl kat@man.poznan.pl ps@agh.edu.pl