Autentisering og autorisasjon i webapplikasjoner med en etablert standard: SAML 2.0

Like dokumenter
Dataporten sikker og enkel deling av data i UH-sektoren

Identitetshåndtering og Single Sign-On (SSO)

CLARINO WP6 Korpuskel-integrering

Tilslutningsguide ID-porten 3.0

Generell Feide-arkitektur

Installasjonen krever en Windows 2008 server innmeldt i domene.

Direktoratet for IKT og fellestjenester i høyere utdanning og forskning

Trådløskurs del 2, dag 2. Sesjon 6. Fredag kl. 09:00-10:30

Installasjonen krever en Windows 2003 server innmeldt i domene.

BankID Norges planer for PSD2 TLP: GREEN. PSD2 workshop 30 mars Frode Beckmann Nilsen, Produktutviklingssjef

Tilslutningsguide mot ID-porten 2.0

Er identitetsfederering en forutsetning for en vellykket SOA?

Anvendelsesområder for bruk av e-id med og i offentlig sektor- forprosjekt

Feide systemarkitektur Januar 2011 Versjon 2.0

Large Scale Single Sign-on Scheme by Digital Certificates On-the-fly

ID-Porten bruk av elektronisk ID i offentlige tjenester på nett

Feide Nøkkel til den digitale skolen

FEIDE bind saman datasystem Ingrid Melve, FEIDE leiar UiB, IT-dag i Ulvik

Feide Connect. Oslo, 27. mai Andreas Åkre Solberg. Neste generasjons tjenesteplattform for utdanningssektoren

transen snasenrot trenissen trondegutten127 hansetrondsen nesnah dnort trendnissen Trond Hansen kosebamsen84 trasen batman trikaahansen02 trusehasen

FEIDE eid for utdanningssektoren. Kristine Sevik og Morten Dahl, UNINETT ABC

Integrasjonsguide for ID-porten

PoC Duet. Oppfølging av sykefravær

Video om xid er tilgjengelig her:

Personvernerklæring for Fagpersonweb

INTEGRASJONSGUIDE BP CODE Check Point R75.x R76

Status for arbeidet med ID-Porten, eid i markedet

Kunnskapsdepartementet ønsker en sikker identifisering i utdanningssektoren. De har valgt Feide (Felles elektronisk identitet)

Pen- tes'ng av webservices. Asbjørn Reglund Thorsen Gruppe- og utviklingsleder UIO/FSAT

Viktig informasjon til nye brukere av Mac-klient fra UiB

Trådløsnett med. Wireless network. MacOSX 10.5 Leopard. with MacOSX 10.5 Leopard

Claims based identity and access control sikker tilgang på tvers. Eirik Mangseth, Seniorrådgiver, Avdeling ehelse, Helsedirektoratet

Eduroam på Windows Vista

Velkommen til Pressis.

Konfigurasjon av Eduroam i Windows Vista

LAB-IT-PROSJEKTET - TEKNISKE LØSNINGER IT-FORUM 2017

OWASP Norway, 24.april Ståle Pettersen

BUYPASS SMARTKORT Signering/kryptering i Mozilla Thunderbird

Personvernerklæring for Flyt Høgskolen i Molde

Eksamen i Internetteknologi Fagkode: IVA1379

Bruk av Outlook 2003 utenfor NHH sitt nettverk

Identifisering, autentisering og tilgangskontroll for representanter. 10. September 2019 // IT-arkitektur // Håkon Jendal

Tjenestesamarbeid i UH-sektoren Hva foregår i sammenheng med UH-AD og BOTT? Anders Vinger, Seksjonsleder UiO/USIT

minfagplan.no Brukerveiledning - Beskrivelse av SMS funksjonalitet for brukere av minfagplan.no Dokumentnummer: BV-001 Revisjon Dato:

Multi-Faktor Autentisering. Brukerveiledning

KONTRAKT. UNINETT AS (org nr ) Organisasjon (org.nr. )

Kunnskapsdepartementet ønsker en sikker identifisering av elever og lærere. Løsningen er Feide (Felles Elektronisk IDEntitet)

Hva skjer i Open Web Application Security Project (OWASP)?

2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 1

Feide i Akershus fylkeskommune

Trådløst nett UiT Feilsøking. Wireless network UiT Problem solving

Personinformasjon i norsk offentlig sektor et område i endring Jon Ølnes, UniBridge AS

6105 Windows Server og datanett

Vedlegg 1: Oversikt over noen mulige leverandører

IT-senteret. Trådløst nettverk UiN - innstillinger og tilkobling.

6105 Windows Server og datanett

Jens Erik Torgersen, Kantega AS. Sjefskonsulent

Trådløssamling NORDUnet Stockholm Tom Ivar Myren

Innledende Analyse Del 1.2

HJEMMEKONTOR. Del 1 Installasjon på jobb Norsk Helsenett SF

GigaCampus Mobilitetskurs Del 2. Sesjon 4. Torsdag

Viktig informasjon til nye brukere av Mac-klient fra UiB

Krav til sikkerhetsarkitektur for tilgang på tvers av virksomheter (og systemer)

Nyheter i vente neste måneder. BankID-dagen 2017 Frode Beckmann Nilsen Produktutviklingssjef, BankID Norge

HØGSKOLEN I SØR-TRØNDELAG

Surface Forhandler DMP Registrering

IT:PULS. Cloud Computing Fremtiden er her allerede. Praktiske erfaringer med etablering og leveranse av Cloudtjenester

Profil for web services i helse- og sosialsektoren Versjon 1.2

Sikkerhet i Pindena Påmeldingssystem

Oppkobling mot trådløst internett for studenter og ansatte som bruker egen datamaskin eller benytter MAC/smarttelefon/nettbrett. (Gruppe B): Innhold

Hva skjer i OWASP? OWASP. The OWASP Foundation. Kåre Presttun Chapter Lead Mnemonic as kaare@mnemonic.no

VirtHome eller muligens WebID Bedre forslag? Send en e-post til

Integrasjonsguide for ID-porten

Innmelding av tjenester i Feides kundeportal

Digital signert samtykke til forskning -erfaring med bruk av esignering. Dagfinn Bergsager

Sikkerhet og tilgangskontroll i RDBMS-er

6105 Windows Server og datanett

6105 Windows Server og datanett

Sikkerhet og internett. Kan vi være vi trygge? Kan vi beskytte oss? Bør vi slå av nettet

BOTT Økonomi og lønn. Cerebrum seminar 26. april Johnny Hansen, delprosjektleder IPAS

Informasjonssikkerhet og etikk hvordan henger dette sammen DRI

Personvernerklæring for Søknadsweb

Difis felleskomponenter. Nokios

Personvernerklæring for MOOC

Policy vedrørende informasjonskapsler og annen tilsvarende teknologi

PERSONVERN, GDPR OG COREPUBLISH

GraphQL. Hva, hvorfor, hvordan

Guide for Mobil Bedrift ved bytte av SIM-kort

Tilkobling og Triggere

Forklarende tekst under hvert bilde

Døgnopen forvaltning med MinID og ID-porten. Olav Skarsbø - olav.skarsbo@difi.no

TTM4175 Hva er kommunikasjonsteknologi?

Manuelt oppsett av softphone

Kap 3: Anvendelser av Internett

4.1. Kravspesifikasjon

Personvernerklæring for Studentweb

TRÅDLØS TILKOBLING PÅ KHIO

Sikkerhetshensyn innføring av søk

Eduroam. Hvordan koble seg til trådløst nettverk på UiS?

Transkript:

Autentisering og autorisasjon i webapplikasjoner med en etablert standard: SAML 2.0

Andreas Åkre Solberg UNINETT andreas@uninett.no

Feide - autentiseringssystem for webapplikasjoner i utdanningssektoren. Autentisering og attributter for personer i utdanningssektoren: elever, studenter og ansatte. - Dekning i utdannings sektoren: 89% universiteter og 56% ved høyskolene. - I 2006 ble det besluttet å rulle ut Feide i grunnopplæringa. Dette er arbeid i utvikling. UNINETT ABC jobber mye med dette.

Uønsket for tjeneste Uønsket for brukerene Service Provider Service Provider Service Provider Username Pasword Username Pasword Username Pasword User storage User storage User storage

Tillitsmodell Service Provider Service Provider Service Provider User storage Local user account User Local storage user account User Local storage user account Tjenestene overlater til en ekstern instans å avgjøre brukerens identitet. Tjenestene stoler på en eller flere IdP (Identity Provider), og kommuniserer ved hjelp av SAML 2.0. SAML 2.0 Identity Provider Identity User storage Hos Feide er brukerenes identitet knyttet til det brukeradministrative systemet hos utdanningsinstitusjonen der brukeren er tilknyttet.

UiO En liten oppklaring Identity Provider UiB Selv om Feide sin sentrale IdP kan autentisere brukere fra alle utdanningsinstitusjoner har Feide med hensikt valgt å ikke lagre brukerenes passord eller attriutter sentralt. UiB

Web-SSO - Single-Sign-On Web-SLO - Single-Log-Out Brukeren taster inn brukernavn en gang og er innlogget på alle tjenester. SP cookie Brukeren logges umiddelbart ut av alle tjenester med et enkelt tastetrykk. SP cookie cookie IdP SP cookie SP cookie

Autorisasjon Det er vanligst at tjenesten selv tar beslutningen om autorisasjon i en tjeneste. Med autorisasjon menes for eksempel hvor vidt en autentisert bruker har rettighet til å lese eller endre en webside eller et dokument. For å kunne ta beslutningen om autorisasjon kan tjenesten basere seg på påstander fra en IdP om autentisering og attributter. Eksempler på attributter kan være: email = andreas@uninett.no organization = UNINETT affiliation = eployee

Personvern Ikke alle tjenester trenger å vite hvem du er. Noen tjenester trenger bare å kjenne deg igjen fra gang til gang for å presentere dine preferanser fra forrige gang eller din lokale profil. Andre tjenester trenger bare generiske attributter for å gjøre autorisasjon, uten å vite nøyaktig hvem du er. Løsninger: attribute release policy og fødererte IDer.

Fødererte IDer En IdP vil mappe brukernavn til anonymiserende IDer som er unike per tjeneste. Dette hindrer at kan sammenstille data dersom noen kompromiterer brukerdatabaser fra to tjenester. Service Provider Identity Provider ID Federated ID storage ID Identity SAML 2.0 Identity User storage User storage

SAML 2.0 I Feide brukes protokollen SAML 2.0 imellom tjenesten og IdP. SAML 2.0 er en protokoll, standardisert av OASIS, for overføring av informasjon om autentisering og autorisasjon. Viktige meldinger: - AuthenticationRequest - AuthenticationResponse - AttributeRequest - AttributeResponse - AuthorizationRequest - AuthorizationResponse VIKTIG: SAML 2.0 definerer ikke selve autentiseringen, bare informasjon om en autentisering som skal skje eller har forekommet.

En påstand om at brukeren er autentisert i SAML 2.0 Etter en vellykket autentisering, sender IdP-en en signert påstand om at brukeren som bærer med seg meldingen er autentisert. Påstand om attributter kan også sendes med. SP SAML 2.0 AuthN statement Assertion Signed by Feide (X.509) User Authentication (not SAML) Feide IdP AuthNStatement NameID= Andreas2000 AttributeStatement mail = andreas@uninett.no organization = UNINETT SP SAML 2.0 AuthN statement

Innloggingssekvens 1) User access service 7) Show protected resource 6) Creates session cookie SP 2) SAML 2.0 AuthNReq 5) SAML 2.0 AuthNResponse with Assertion 4) Creates SSO cookie Feide IdP 3) User authenticates

SAML 2.0 Profiles Bindings Protocol - Web SSO Profile - SIP SAML Profile - HTTP GET redirect - Browser/POST - SOAP - Browser/Artifact - Request and - Response Assertions - Authentication, - attribute and - authorization

Standards ID-WSF 1.2 ID-FF 1.2 ID-WSF 2.0 SAML 1.1 SAML 2.0 Shibboleth extension

SAML 2.0 Authentication Contexts Feide sine brukere bruker brukernavn og passord. PKI er bedre på mange måter, men vanskeligere å rulle ut og kanskje spesielt i utdanningssektoren. SAML har ikke noe med selve autentiseringen å gjøre, men støtter å legge med informasjon om autentiserings-kontekst (type autentisering) både i autentiseringsforespørsel og svar. For eksempel kan en tjeneste be om minimum brukernavn og passord, men dersom brukerens IdP støtter både PKI og brukernavn og passord kan brukeren velge.

SAML 2.0 Meta data Meta data Feide IdP MinID IdP Meta data SAML 2.0 SP SAML 2.0 Meta data SAML 2.0 Meta data er der man definerer entitetene man stoler på, og nyttig informasjon som tjeneste endepunkter, sertifikater, entityid og profil.

UiO UiB HiØ Feide IdP MinID IdP Users Feide og MinID SAML 2.0 SAML 2.0 SP

Software SAML 2.0 er kompleks så man bør bruke ferdig programvare for å gjøre "all jobben". SAML 2.0 tjenesteprogramvare har som regel et veldig enkelt API og forholde seg til for tjenestene. Feide IdP SAML 2.0 SAML 2.0 SP software API Tjeneste Finnes forskjellig type implementasjoner; java webapp, webserver moduler, servlet filter, c-app med bindings mot flere språk, ren php implementasjon etc.

Europeisk samarbeid - Samarbeid om å få til sammenkobling i norden basert på Shibbolethprotokollen. - EU prosjekt om å få til sammenkobling mellom landene i europa med edugain. - Arbeid å standardisere attributter. Syntaks og semantikk. - Tilgang til trådløse nett for norske studenter på universiteter rundt i Europa med sitt hjemme-brukernavn og passord med eduroam.

Feide IdP SAML 2.0 Feide SP EduGAIN Feide BE WFAYF HTTP Rest + SAML 1.1 SAML 2.0 SAML 1.1 PAPI BE prop HLS SAML 2.0 Meta data A-Select BE prop PAPI IdP A-Select IdP

Spørsmål? Andreas Åkre Solberg UNINETT andreas@uninett.no

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding