Identitetshåndtering og Single Sign-On (SSO) Gjør livet enklere for sluttbrukere -men svekkelse av sikkerhet? Ivar Jørstad, PhD
Oversikt Utfordringer og mål Løsninger Konsepter Teknologier & rammeverk Fordeler/ulemper Hva skjer videre? Konklusjon
Utfordringer og mål Mål med identitetshåndteringsløsninger Økt sikkerhet Enklere å ta i bruk sterkere autentiseringsløsninger Bedre rutiner og kontroll Økonomi/kostnadsbesparelser Outsourcing /deling av sikkerhetsinfrastruktur Økt produktivitet blant ansatte Økt brukervennlighet Kan indirekte medføre økt sikkerhet (f.eks. mindre sløv bruk av brukernavn/passord)
Konsepter Single Sign-On (SSO) Gjenbruk av autentisert sesjon (kontekst) Cross-Domain SSO Gjenbruk på tvers av sikkerhetsdomener
Konsepter Federasjon Skape relasjoner mellom identiteter (eller rettere sagt representasjoner av disse) Konsolidering Mange lokale identiteter vs. en nettverksidentitet
Konsepter Videre: Vertikal/horisontal integrasjon Oppover i lagene Mellom ulike teknologier Service authentication Service enabler authentication Physical access authentication Web VPN 802.11 Sharing of authentication tokens
Konsepter Horisontal integrasjon Sharing of authentication tokens Service authentication Service enabler authentication Physical access authentication Service authentication Service enabler authentication Physical access authentication
Konsepter Circle of Trust Service Provider - Geolocation - Payment Principal - User - Employee - Customer - Game user Identity Provider - Authentication - Federation - Service discovery - Personal Profile Service Provider - Web shop - Net Bank Liberty Alliance Circle-of-Trust
Teknologier og rammeverk Security Assertion Markup Language (SAML) v1.0/v2.0 (OASIS) XML-basert rammeverk Etablere, forespørre og utveksle security assertions Profil kombinasjon av Assertions (f.eks. autentisering) Protocols (f.eks. Authentication Request Protocol) Bindings (mapping mot transport, f.eks. SOAP)
Teknologier og rammeverk SOAP Body SAML Response Response header SAML assertion SAML assertion Authentication statement Other statements
Teknologier og rammeverk <?xml version="1.0" encoding="utf-8"?> <saml:assertion xmlns:saml="urn:oasis:names:tc:saml:2.0:assertion Version="2.0 IssueInstant="2008-03- 11T12:00:00Z"> <saml:issuer>www.acompany.com</saml:issuer> <saml:subject> <saml:nameid Format="urn:oasis:names:tc:SAML:1.1:nameidformat:emailAddress">ivar@ubisafe.no</saml:NameID> </saml:subject> <saml:conditions NotBefore="2008-03-11T12:00:00Z NotOnOrAfter="2008-03-12T12:00:00Z"> </saml:conditions> <saml:authnstatement AuthnInstant="2005-03-11T12:00:00Z" SessionIndex= 12345678901"> <saml:authncontext> <saml:authncontextclassref>urn:oasis:names:tc:saml:2.0:ac:classes:passwordprotectedtransport </saml:authncontextclassref> </saml:authncontext> </saml:authnstatement> </saml:assertion>
Teknologier og rammeverk Liberty Alliance ID-FF v1.1/v1.2 v1.2 bidro til SAML 2.0 SAML 2.0 og ID-FF v1.2 er allikevel ikke kompatible
Teknologier og rammeverk OpenID-rammeverket Åpent Desentralisert Bruker-sentrisk Open-source løsninger Lettvekt (hele spesifikasjonen er på ~30 sider) Verifiserer at en bruker eier et domene Bruker kan ha egen IDP Mulig med delegasjon av IDP-rollen/autentiseringen (anta min OpenID er http://ivar.ubisafe.no): <link rel="openid.server" href="http://www.telenor.com/openid/server.bml"> <link rel="openid.delegate" href="http://ivar.telenor.com/">
Teknologier og rammeverk Felles for rammeverkene er at de ikke spesifiserer autentiseringsmekanismene Dette er opp til implementasjonene Støtter derfor i teorien alle typer autentiseringsmekanismer Hvor enkelt dette er i praksis varierer F.eks. Sun Access Mgr./OpenSSO Ganske trivielt Microsoft CardSpace - Litt mer vrient
Plattformer Sun Microsystems Sun Access Manager OpenSSO open source videreføring av Sun Access Manager Støtter Liberty Alliance ID-FF v1.1/v1.2 Støtter SAML v2.0
Plattformer LASSO (http://lasso.entrouvert.org) Open-source Bibliotek/binding mot mange programmeringsspråk Kan brukes til å implementere SP og IDP Støtter ID-FF v1.2 Støtter SAML v2.0
Plattformer Microsoft Windows CardSpace
Plattformer CardSpace Basert på WS-* spesifikasjonene fra OASIS WS-Security WS-Trust WS-MetadataExchange WS-SecurityPolicy Information Cards kan også bli brukt mot SAML- eller OpenID-løsninger
SSO - Fordeler/ulemper SAML v1.x hadde svakheter Eksponert for man-in-the-middle angrep Manglende krav til autentisering i noen av trinnene i protokollene SP Bruker Browser IDP
SSO Fordeler/ulemper SAML v2.0 Bruk av SSL og TLS kan relativt enkelt hindre de fleste angrepene Dette er anbefalt i både v1.x og v2.0 Stiller krav til bevissthet hos system-arkitekter og utviklere
SSO - Fordeler/ulemper Generelt: Single point of attack Alt hviler på en autentiseringsmekanisme Hva med brukernavn/passord på dette punktet? Har vi egentlig bedret sikkerheten nå? Dette punktet bør i de fleste tilfeller sikres bedre Sterk autentisering (2-faktor)
SSO - Fordeler/ulemper Men er SSO nødvendig i det hele tatt? Hvis en tilfredsstillende sikker autentisering er enkel nok for brukeren, så kan re-autentisering i mange tilfeller være like fornuftig Autentiseringen kan fortsatt ivaretas av en tredje-part Mange av fordelene med identitetshåndteringssystemene kan beholdes
Hva skjer videre? Mange ulike initiativer for identitetshåndtering Fortsatt økende fokus Ikke gitt hva slags løsning som bør velges Sameksistens er mest sannsynlig Interoperabilitet er ønskelig Integrasjon av sterke, fler-faktor autentiseringsmekanismer er nødvendig Videre forenkling for brukeren er ønskelig, uten å redusere sikkerheten Altinn.no: 6 ulike autentiseringsmekanismer Forvirrende? Gir ulike tilgangsnivåer
Oppsummering SSO er uten tvil brukervennlig SSO kan også være sikkert Komplekst område med mange initiativ, standarder, plattformer Flere interessante reelle implementasjoner f.eks. Feide som kan og bør studeres
Kontaktinformasjon Ivar Jørstad, Ubisafe AS E-post: ivar@ubisafe.no Tlf: 93 03 95 94