Identitetshåndtering og Single Sign-On (SSO)

Størrelse: px

Begynne med side:

Download "Identitetshåndtering og Single Sign-On (SSO)"

Halvor Christoffersen
8 år siden
Visninger:

1 Identitetshåndtering og Single Sign-On (SSO) Gjør livet enklere for sluttbrukere -men svekkelse av sikkerhet? Ivar Jørstad, PhD

2 Oversikt Utfordringer og mål Løsninger Konsepter Teknologier & rammeverk Fordeler/ulemper Hva skjer videre? Konklusjon

3 Utfordringer og mål Mål med identitetshåndteringsløsninger Økt sikkerhet Enklere å ta i bruk sterkere autentiseringsløsninger Bedre rutiner og kontroll Økonomi/kostnadsbesparelser Outsourcing /deling av sikkerhetsinfrastruktur Økt produktivitet blant ansatte Økt brukervennlighet Kan indirekte medføre økt sikkerhet (f.eks. mindre sløv bruk av brukernavn/passord)

Økonomi/kostnadsbesparelser Outsourcing /deling av sikkerhetsinfrastruktur Økt

4 Konsepter Single Sign-On (SSO) Gjenbruk av autentisert sesjon (kontekst) Cross-Domain SSO Gjenbruk på tvers av sikkerhetsdomener

5 Konsepter Federasjon Skape relasjoner mellom identiteter (eller rettere sagt representasjoner av disse) Konsolidering Mange lokale identiteter vs. en nettverksidentitet

6 Konsepter Videre: Vertikal/horisontal integrasjon Oppover i lagene Mellom ulike teknologier Service authentication Service enabler authentication Physical access authentication Web VPN Sharing of authentication tokens

7 Konsepter Horisontal integrasjon Sharing of authentication tokens Service authentication Service enabler authentication Physical access authentication Service authentication Service enabler authentication Physical access authentication

authentication Physical access authentication Service

8 Konsepter Circle of Trust Service Provider - Geolocation - Payment Principal - User - Employee - Customer - Game user Identity Provider - Authentication - Federation - Service discovery - Personal Profile Service Provider - Web shop - Net Bank Liberty Alliance Circle-of-Trust

9 Teknologier og rammeverk Security Assertion Markup Language (SAML) v1.0/v2.0 (OASIS) XML-basert rammeverk Etablere, forespørre og utveksle security assertions Profil kombinasjon av Assertions (f.eks. autentisering) Protocols (f.eks. Authentication Request Protocol) Bindings (mapping mot transport, f.eks. SOAP)

assertions Profil kombinasjon av Assertions (f.eks.

10 Teknologier og rammeverk SOAP Body SAML Response Response header SAML assertion SAML assertion Authentication statement Other statements

11 Teknologier og rammeverk <?xml version="1.0" encoding="utf-8"?> <saml:assertion xmlns:saml="urn:oasis:names:tc:saml:2.0:assertion Version="2.0 IssueInstant=" T12:00:00Z"> <saml:issuer> <saml:subject> <saml:nameid </saml:subject> <saml:conditions NotBefore=" T12:00:00Z NotOnOrAfter=" T12:00:00Z"> </saml:conditions> <saml:authnstatement AuthnInstant=" T12:00:00Z" SessionIndex= "> <saml:authncontext> <saml:authncontextclassref>urn:oasis:names:tc:saml:2.0:ac:classes:passwordprotectedtransport </saml:authncontextclassref> </saml:authncontext> </saml:authnstatement> </saml:assertion>

no</saml:NameID> </saml:subject> <saml:conditions NotBefore="2008-03-11T12:00:00Z NotOnOrAfter="2008-03-12T12:00:00Z"> </saml:conditions> <saml:authnstatement

12 Teknologier og rammeverk Liberty Alliance ID-FF v1.1/v1.2 v1.2 bidro til SAML 2.0 SAML 2.0 og ID-FF v1.2 er allikevel ikke kompatible

13 Teknologier og rammeverk OpenID-rammeverket Åpent Desentralisert Bruker-sentrisk Open-source løsninger Lettvekt (hele spesifikasjonen er på ~30 sider) Verifiserer at en bruker eier et domene Bruker kan ha egen IDP Mulig med delegasjon av IDP-rollen/autentiseringen (anta min OpenID er <link rel="openid.server" href=" <link rel="openid.delegate" href="

delegasjon av IDP-rollen/autentiseringen (anta min OpenID er http://ivar.ubisafe.no): <link rel="openid.

14 Teknologier og rammeverk Felles for rammeverkene er at de ikke spesifiserer autentiseringsmekanismene Dette er opp til implementasjonene Støtter derfor i teorien alle typer autentiseringsmekanismer Hvor enkelt dette er i praksis varierer F.eks. Sun Access Mgr./OpenSSO Ganske trivielt Microsoft CardSpace - Litt mer vrient

teorien alle typer autentiseringsmekanismer Hvor enkelt dette er i praksis

15 Plattformer Sun Microsystems Sun Access Manager OpenSSO open source videreføring av Sun Access Manager Støtter Liberty Alliance ID-FF v1.1/v1.2 Støtter SAML v2.0

16 Plattformer LASSO ( Open-source Bibliotek/binding mot mange programmeringsspråk Kan brukes til å implementere SP og IDP Støtter ID-FF v1.2 Støtter SAML v2.0

17 Plattformer Microsoft Windows CardSpace

18 Plattformer CardSpace Basert på WS-* spesifikasjonene fra OASIS WS-Security WS-Trust WS-MetadataExchange WS-SecurityPolicy Information Cards kan også bli brukt mot SAML- eller OpenID-løsninger

19 SSO - Fordeler/ulemper SAML v1.x hadde svakheter Eksponert for man-in-the-middle angrep Manglende krav til autentisering i noen av trinnene i protokollene SP Bruker Browser IDP

20 SSO Fordeler/ulemper SAML v2.0 Bruk av SSL og TLS kan relativt enkelt hindre de fleste angrepene Dette er anbefalt i både v1.x og v2.0 Stiller krav til bevissthet hos system-arkitekter og utviklere

21 SSO - Fordeler/ulemper Generelt: Single point of attack Alt hviler på en autentiseringsmekanisme Hva med brukernavn/passord på dette punktet? Har vi egentlig bedret sikkerheten nå? Dette punktet bør i de fleste tilfeller sikres bedre Sterk autentisering (2-faktor)

22 SSO - Fordeler/ulemper Men er SSO nødvendig i det hele tatt? Hvis en tilfredsstillende sikker autentisering er enkel nok for brukeren, så kan re-autentisering i mange tilfeller være like fornuftig Autentiseringen kan fortsatt ivaretas av en tredje-part Mange av fordelene med identitetshåndteringssystemene kan beholdes

23 Hva skjer videre? Mange ulike initiativer for identitetshåndtering Fortsatt økende fokus Ikke gitt hva slags løsning som bør velges Sameksistens er mest sannsynlig Interoperabilitet er ønskelig Integrasjon av sterke, fler-faktor autentiseringsmekanismer er nødvendig Videre forenkling for brukeren er ønskelig, uten å redusere sikkerheten Altinn.no: 6 ulike autentiseringsmekanismer Forvirrende? Gir ulike tilgangsnivåer

24 Oppsummering SSO er uten tvil brukervennlig SSO kan også være sikkert Komplekst område med mange initiativ, standarder, plattformer Flere interessante reelle implementasjoner f.eks. Feide som kan og bør studeres

25 Kontaktinformasjon Ivar Jørstad, Ubisafe AS E-post: Tlf:

Like dokumenter

Claims based identity and access control sikker tilgang på tvers. Eirik Mangseth, Seniorrådgiver, Avdeling ehelse, Helsedirektoratet

Claims based identity and access control sikker tilgang på tvers Eirik Mangseth, Seniorrådgiver, Avdeling ehelse, Helsedirektoratet 1. Begreper Hvem er jeg? Hvem er du? Et spørsmål om identitet Hvem du