Zarządzanie tożsamością Promotor: Prof. dr hab. Zbigniew Kotulski 17 kwietnia 2007 Dominik Zasiewski.

Slides:



Advertisements
Podobne prezentacje
Longhorn Academy - AD Warszawa, 12 kwietnia 2007
Advertisements

Systemy uwierzytelniania w serwisach internetowych
Systemy Single Sign On Praca magisterska Opiekun:
Tworzenie portali z wykorzystaniem technologii Sun Java Enterprise Systems Joanna Kosińska
CERB - innowacyjny system uwierzytelnienia użytkowników z wykorzystaniem telefonu komórkowego.
Rejestr Spraw Sądowych
Microsoft Windows 2000 dla Administratora. Podstawowe możliwości Wielojęzyczność Wielojęzyczność Usprawnienia interfejsu użytkownika Usprawnienia interfejsu.
ADAM Active Directory w trybie aplikacyjnym
Nowa Jakość kontroli w biznesie Projekt: Stworzenie e- usługi w postaci systemu księgowo-kadrowego on-line przez MGA Sp. z o.o. w Toruniu jest współfinansowany.
Platformy na żądanie (ASP) element wdrożenia rozwiązania e-learning
Platforma A2A PA2A.
Uwierzytelnianie i autoryzacja dostępu do portali
Opracował: Patryk Kołakowski(s1715)
Microsoft Exchange Server 2003 Obieg dokumentów
„Migracja środowisk Novell NDS/eDirectory oraz Novell Groupwise do środowiska Microsoft Active Directory oraz Microsoft Exchange przy użyciu narzędzi Quest.
Elementy informatyki w kształceniu zintegrowanym.
Technologie informacyjne MCE Pudełko. Zakładanie strony internetowej Technologie informacyjne Marek Pudełko.
Architektura systemów wykorzystujących bazy danych (systemów bazodanowych) Wykład S. Kozielski.
Uwierzytelnianie i autoryzacja System Użytkowników Wirtualnych Michał Jankowski Paweł Wolniewicz
PRACA W DOMENIE Różnice użytkowe między pracą w domenie i grupie roboczej. 1. Ekran logowania. - wciśnięcie klawiszy [Ctrl+Alt+Delete], a następnie podanie.
InfinitERP prezentacja systemu.
Błażej Miśkiewicz Grupa domowa w Windows 7 Błażej Miśkiewicz MCT MCP MCSA MCTS MCITP.
... CZYLI 100% HYBRID Tomasz Onyszko IAM Kung-Fu Evangelist.
Cecylia Szymanska - Ban | Education Lead Microsoft.
Tworzenie nowych kont lokalnych i domenowych, oraz zarządzanie nimi
Softeris Portal System CMS. System CMS System Zarządzania Treścią umożliwiający łatwe tworzenie elastycznych stron internetowych oraz portali intranetowych.
QR-CERT Centrum Certyfikacji i Personalizacji
R24 Maksimum korzyści z rezerwacji online
Jerzy Jelinek Paweł Korpowski
CDN OPT!MA integracja z Systemem Microsoft Office 2003.
Licencjonowanie aplikacji serwerowych
Bezpieczny Mobilny Podpis Elektroniczny
SYSTEM REJESTRACJI UŻYTKOWNIKÓW W SERWISIE INTERNETOWYM Bezpieczny i scentralizowany system uwierzytelniania, autoryzacji oraz zarządzania użytkownikami.
System raportowania, ewaluacji oraz badania satysfakcji Klienta.
Rozdział 1: Wprowadzenie do systemu Windows 2000 i podstaw sieci
czyli prosty sposób na SSO
STAĆ CIĘ NA INNOWACJE System CRM w Focus Telecom Polska - cechy i funkcjonalność usługi Autor: Tomasz Paprocki.
Prezentacja funkcjonalności dziennika e-klasa Moduł Nauczyciela ZAPRASZAMY!
Spotkanie Centrum Poczty i Postdata S.A.
System synchronizacji oraz współdzielenia plików pomiędzy wieloma użytkownikami oraz urządzeniami poprzez sieć Internet Rafał Olszewski Promotor: Mgr inż.
Aplikacja od SaaS do IdaaS
Logowanie do platformy PEUP
Narzędzia klienta usługi archiwizacji Warsztaty „Usługa powszechnej archiwizacji” Michał Białoskórski, CI TASK Bartłomiej Balcerek, WCSS.
Toruń 28/ Terminologia używana w Regulaminie Zadania Operatora PIONIER.Id Zadania operatora regionalnego Ważniejsze zapisy dotyczące członków.
Toruń 28/ Wymagania, Co można zrobić z dodatkowymi modułami (rejestracja, logowanie), Własna baza użytkowników dla IdP, Wymiana metadanych.
Karta Korporacyjna zintegrowane zarządzanie tożsamością pracowników Krzysztof Tyl, Warszawa
Toruń 28/ Zadania Federacji – Źródło informacji o IdP i SP – Podstawa zaufania – Tworzenie wspólnego języka – Dbanie o formalności – Przygotowanie.
Toruń 28/ Metadane SAML opisują, w jaki sposób ma być realizowana komunikacja pomiędzy IdP i SP Metadane są typowo prezentowane w postaci XML.
Food Rush Szukaj i baw się jedzeniem! Wykonanie: Tomasz Najda Michał Hawryszko.
Agenda O Nas Ogólne informacje o Produkcie Job Manager – idealne rozwiązanie Aplikacja Webowa Aplikacja Kliencka Najnowsze zmiany.
Toruń 28/ Usługodawcy dostępni poprzez PIONIER.Id mogą pochodzić z dwóch źródeł: – bezpośrednio z PIONIER.Id – z eduGAIN za pośrednictwem PIONIER-id.
1100 kont użytkowników 900 zasobów IT Systemy bazodanowe, poczta, etc. Support 20 kont serwisantów.
Andrzej Majkowski 1 informatyka +. 2 Bezpieczeństwo protokołu HTTP Paweł Perekietka.
Active Directory Federation Services w Windows Server 2012 R2
Interoperacyjność systemów bibliotecznych Aleksander Radwański Zakład Narodowy im. Ossolińskich XI Ogólnopolska Konferencja z cyklu „Automatyzacja bibliotek”
XML w serwisach webowych. Zapotrzebowanie na serwisy XML.
WYG Consulting Sp. z o.o. part of the WYG group creative minds safe hands MEDIA SPOŁECZNOŚCIOWE.
Informatyka Zakres rozszerzony Zebrał i opracował : Maciej Belcarz TEMAT : Administracja i bezpieczeństwosieci TEMAT : Administracja i bezpieczeństwosieci.
E-FORMY. e-bank Jak założyć e-konto: Jak założyć e-konto: Najczęściej wystarczy wypełnić formularz umieszczony na stronie banku i przesłać go do siedzibyNajczęściej.
Moduł e-Kontroli Grzegorz Dziurla.
Model warstwowy ISO-OSI
Bartosz Pawlak Wiktor Paliwoda Bezpieczeństwo Systemów Operacyjnych IMAP vs POP.
Maciej Wierzchowski Mariusz Sołtysiak. Założenia  Autentykacja użytkownia  Autentykacja dostawcy  Zapewnienie bezpiecznego połączenia.
UNIWERSYTET WARSZAWSKI Bankowość elektroniczna
Grupa: administratorzy lokalni JST. Użytkownik systemu CEIDG - materiały szkoleniowe2 Informacje wstępne Zakładanie konta w CEIDG -Wybór sposobu dostępu.
Warszawa, r. 1 PLATFORMA USŁUG ELEKTRONICZNYCH Nowe możliwości komunikacji z ZUS.
materiały dla uczestników
Sponsorzy: Media:. Sponsorzy: Media: MBUM 9/11/2017 Mikrotik Beer User Meeting Integracja uwierzytelniania tunelu L2TP/IPsec z Microsoft Active Directory.
Realizacja aplikacji internetowych
Podpis elektroniczny – załóż profil zaufany
Zapis prezentacji:

Zarządzanie tożsamością Promotor: Prof. dr hab. Zbigniew Kotulski 17 kwietnia 2007 Dominik Zasiewski

Zarządzanie tożsamością Konspekt prezentacji I.Cele systemów zarządzania tożsamością II.Podział systemów zarządzania tożsamością III.Systemy oparte o federacje tożsamości IV.Systemy scentralizowane wokół użytkowników

Zarządzanie tożsamością I. Cele systemów zarządzania tożsamością Nowa funkcjonalność  SSO (Single Sign On), współdzielenie informacji Bezpieczeństwo Współpraca z różnymi standardami Skalowalność i elastyczność Ochrona prywatności

Zarządzanie tożsamością I. Wytyczne do oceny systemów zarządzania tożsamością

Zarządzanie tożsamością II. Podział systemów zarządzania tożsamością Single - domain  Np.. systemy działające w obrębie jednej korporacji Cross - domain  Np.. systemy (platformy) działające w Internecie, lub pomiędzy różnymi korporacjami

Zarządzanie tożsamością II. Podział systemów zarządzania tożsamością – Single domain Systemy: Kerberos, Active Directory (protokół LDAP) Funkcjonalność: SSO Wady:  brak skalowalności,  brak zgodności pomiędzy różnymi systemami  brak prywatności (chociaż to nie jest w zasadzie wymogiem systemów z tej kategorii)

Zarządzanie tożsamością II. Podział systemów zarządzania tożsamością – Cross domain Dostępne technologie:  Systemy oparte o standardy organizacji Liberty Alliance – koncepcja Federacji (SAML)  Microsoft CardSpace (InfoCards)  OASIS  Yadis / OpenID

Zarządzanie tożsamością III. Federacja tożsamości Pojęcia związane z federacją tożsamości  Federacja Circle of Trust (Kółka zaufania)  Elementy kółka: IdP (Identity Provider) – dostawca tożsamości SP (Service Provider) lub Relying Party - usługodawca  Pseudonimy (asercje SAML) Różne identyfikatory tej samej tożsamości u dostawców tożsamości

Zarządzanie tożsamością III. Kółka zaufania – federacja tożsamości IdP SP Kalendarz Serwis kadrowy Menadżer projektu Poczta Bank Operator kom. Profil w pracy Profil domowy Kowalski SP Pogoda SP Agregator SP

Zarządzanie tożsamością III. Globalne kółko zaufania według Nokia oraz SUN

Liberty Alliance Projekt ( III. Cykl federacji Proces rejestracji użytkowników Poza specyfikacją Wymiana informacji (Idp – SP) Federacja SSO Jednokrotne wylogowanie się Zakończenie federacji Rejestracja pseudonimów

Zarządzanie tożsamością III. Przebieg procedury łączenia kont, oraz federacji tożsamości w kółku zaufania według Liberty Alliance Internauta (IdP)Serwis SP 1) Użytkownik sygnalizuje chęć federacji tożsamości 2) Internauta loguje się do dostawcy tożsamości uwierzytelnienie IdP zapisuje swoją wizytówkę – ciasteczko stronie Internauta loguje się do serwisu Czy chcesz łączyć to konto w ramach federacji? Serwis wykrywa wizytówkę IdP - ciasteczko uwierzytelnienie Tak Serwis przekierowuje Internautę do IdP Żądanie potwierdzenie statusu uwierzytelnienia uwierzytelnienie IdP generuje asercję SAML potwierdzając ą tożsamość Internauty Przekierowanie do SP Asercja SAML Przetwarzanie otrzymanej asercji. Uzgadnianie pseudonimó w z IdP SOAP Strona serwisu. start pracy

Zarządzanie tożsamością III. Łączenie kont w relacjach IdP – SP konto IDP Łączenie kont Alias: mr3tTJ Domain: SP1.com Name: dTvIiR Alias: xyrVdS Domain: SP2.com Name: pfk9uz konto SP1 konto SP2 Łączenie kont Alias: dTvIiR Domain: IDP.com Name:mr3tTJ Łączenie kont Alias: pfk9uz Domain: SP2.com Name: xyrVdS

Zarządzanie tożsamością III. Microsoft CardSpace (InfoCards) Standardowy wygląd interfejsu do wyboru kart reprezentujących tożsamość Możliwość generowania identyfikatorów tożsamości Wsparcie wielu standardów, w szczególności Liberty Alliance  Technologia docelowo ma być obojętna na metody uwierzytelniania preferowane przez różne serwisy

Zarządzanie tożsamością III. Microsoft CardSpace (InfoCards) Źródło:

Zarządzanie tożsamością III. Yadis / OpenID Umożliwia SSO,  ale nie gwarantuje innych funkcjonalności (np.. z dystrybucją parametrów tożsamości: preferencji etc.) Logowanie przy pomocy adresu URL będącego identyfikatorem tożsamości Integracja z Firefox’em v.3 i Windows Vista.

Zarządzanie tożsamością III. Wady systemów wymagających interakcji IdP przy każdej transakcji uwierzytelnienia wąskie gardło architektury (wydajność) wrażliwość na ataki DoS (blokady dostępu) naruszenie zasad ochrony prywatności  IdP jest świadomy, kto i kiedy korzysta z jakich serwisów

Zarządzanie tożsamością IV. Systemy scentralizowane wokół użytkowników Systemy oparte o dodód posiadania – „Proof of possesion” Credentica’s U-Prove

Zarządzanie tożsamością IV. Credentica’s U-Prove (Faza incjacji) Użytkownik uzyskuje listę tokenów podpisanych przez IdP, każdy do innego serwisu w ramach federacji  IdP nie zna identyfikatorów w tokenach, które podpisuje Tokeny zawierają ukryty, unikalny identyfikator tożsamości, który nigdy nie zostaje odkryty Tokeny mogą posiadać dodatkowe informacje o tożsamości Tokenami zarządza aplikacja kliencka (np.. Smart Card)

Zarządzanie tożsamością IV. Credentica’s U-Prove (Faza incjacji) Źródło: „Secure User Identification Without Privacy Erosion”, Stefan Brands

Zarządzanie tożsamością IV. Credentica’s U-Prove (Uwierzytelnienie) Proces inicjacji w serwisie – połączenie tokena z kontem użytkownika  Tokeny to losowe numery (zapobiega to ew. śledzeniu, nie da się ich także łączyć ze sobą – pomiędzy różnymi serwisami) Kolejne logowania  Okazanie tokena  Wygenerowanie dowodu posiadania klucza prywatnego ukrytego w tokenie SSO – poprzez jednokrotne uwierzytelnienie na karcie (aplikacji zarządzającej)

Zarządzanie tożsamością IV. Credentica’s U-Prove (Współdzielenie informacji) Źródło: „Secure User Identification Without Privacy Erosion”, Stefan Brands

Zarządzanie tożsamością Pytania