Shibboleth-tekniikan yleisesittely
Shibboleth-väliohjelmisto Yhdysvaltojen yliopistojen Internet2-hanke Protokollan määrittely ja sen open source –toteutus nojaa SAML:iin, SOAP:iin ja XML:ään v 1.0 6/2003, v 1.3 7/2005 (SAML1.1), v. 2.0 03/2008 v 2.0:n myötä SAML2-yhteensopivuus WWW-ympäristössä Tuotantokäytössä korkeakouluissa Yhdysvalloissa, Sveitsissä, Suomessa, Britanniassa, Ranskassa Kehitys/käyttöönottovaiheessa Australiassa, Ruotsissa, Saksassa, Belgiassa… http://www.rediris.es/wiki/tf-emc2/index.php/Federations
Shibboleth Shibboleth ei tunne konseptia federaatio Se tuntee joukon muita sen kanssa yhteensopivia yksittäisiä palveluita Federaatio muodostuu ihmisten tekemistä päätöksistä kohdella tiettyä joukkoa palveluita tietyllä tavalla Shibboleth ei tee käyttäjätunnistusta Shibboleth tarvitsee käyttäjätunnistamista, mutta on muita paljon parempia ohjelmistoja käyttäjätunnistuksen suorittamiseen kuin Shibboleth Shibboleth ei varastoi käyttäjätietoja Shibboleth välittää käyttäjätietoja, mutta Shibbolethilla ei ole kykyä varastoida käyttäjätietoja
Terminologiaa IdP (Identity Provider) SP (Service Provider) Assertion Palvelu kotiorganisaatiossa, jossa käyttäjä tunnistetaan ja tehdään käyttäjää koskevia ”vakuutuksia” SP (Service Provider) Palvelu, joka käyttää IdP:n tekemiä vakuutuksia tarjotakseen käyttäjälle toimintoja Assertion Viesti, jonka lähettäjä vakuuttaa olevan oikein Attribute Attribuutti, nimi ja sisältö pari esim. sn - Virtanen Scope Domain, jossa attribuutin arvo on voimassa esim. student@tkk.fi
Terminologiaa Attribute Authority Name Identifier IdP:n osa, jossa käsitellään ja luovutetaan käyttäjää koskevia attribuutteja Name Identifier Attribuutti, jolle on annettu käyttäjän erotteleva asema Entityid (ent. providerid) IdP:n tai SP:n nimi, jolla siihen viitataan Selkokielinen, uniikki, vapaasti päätettävissä Metadata XML-muotoinen lista IdP- ja SP-palveluista ja miten niiden kanssa muut palvelut keskustelevat WAYF (Where Are You From) Shibboleth 1.3 IdP:iin ohjauspalvelu DS (Discovery Service SAML2 IdP:iin ohjauspalvelu
Skeema Attribuutit edellyttävät skeemaa riippumatta käytetystä tekniikasta (Shibboleth, LDAP, relaatiotietokanta) Skeema on sopimus, joka määrittelee attribuuttien syntaksin (kielioppi) esim. attribuutti on ’alphanumeric’= koostuu numeroista ja kirjaimista semantiikan (merkitys) esim. attribuutti tarkoittaa henkilön työpuhelinnumeroa Sanastot, esim. henkilön mahdollisia rooleja ovat ”opiskelija”/”henkilökunta”/”muu” Meillä käytössä olevia skeemoja Person, organizationalperson, inetOrgPerson ym eduPerson (Yhdysvaltojen yliopistot), schac (Euroopan yliopistot) funetEduPerson 2.1 (edellinen suomalaisin maustein)
Shibboleth 1.x-viestinvaihdot 1. HTTP ”Tahdon sisään portaaliin http://www.nelliportaali.fi/” Service Provider (Shibboleth SP) Nelli-portaali 2. HTTP redirect ”Kaveri teidän korkeakoulusta haluaa portaaliin. Ottakaa hänestä selvää!” 3. Username: eskoe Password: 95iEfHw Kotiorganisaatio Identity Provider (Shibboleth IdP) HY 4. HTTP POST/SAML ”Tahdon sisään portaaliin http://www.nelliportaali.fi/ Kahvani on F49E4065A…” näytetään lääketieteilijöiden portaali 5. SAML SOAP ”Kertokaa kaverista jonka kahva on F49E4065A…” 6. SAML SOAP ”Hän on lääketieteen opiskelija”
näytetään lääketieteilijöiden portaali SAML2-viestinvaihdot 1. HTTP ”Tahdon sisään portaaliin http://www.nelliportaali.fi/” Service Provider (Shibboleth SP) Nelli-portaali 3. Username: eskoe Password: 95iEfHw 2. HTTP redirect ”Kaveri teidän korkeakoulusta haluaa portaaliin. Ottakaa hänestä selvää!” Kotiorganisaatio Identity Provider (Shibboleth IdP) HY näytetään lääketieteilijöiden portaali 4. HTTP POST/SAML ”Käyttäjä on tunnistettu ja on lääketieteen opiskelija”
Shibboleth 1.3:n sisärakenne Service Provider (SP) Esko Esimerkki, HY http GET Kahvanpyytäjä REDIRECT Mikä on organisaatiosi? WAYF Autentikointi Kahvapyyntö Identity Provider (IdP) Auth.palvelin (Pubcookie) Kahva- palvelin Kahva (handle) Attribuutin- pyytäjä Attribuuttipyyntö+kahva LDAP tai RDB Attribuutti- palvelin Attribuutit Pääsynvalvoja Resurssi
Shibboleth 2:n sisärakenne Service Provider (SP) Esko Esimerkki, HY http GET Kahvanpyytäjä REDIRECT Mikä on organisaatiosi? WAYF Autentikointi Autentikointi- pyyntö Identity Provider (IdP) Auth.palvelin (Pubcookie) Kahva- palvelin Autentikointivastaus & attribuutit Attribuutin- pyytäjä LDAP tai RDB Attribuutti- palvelin Pääsynvalvoja Resurssi
Shibboleth IdP Java-sovellus Vaatii Servlet 2.4 sovelluspalvelimen Tomcat, JBoss Tukee useita protokollia SAML2, Shibboleth 1.3. lisää tulossa Ei tallenna käyttäjätunnuksia tai attribuutteja Liitännät hakemistoihin ja tietokantoihin niiden hakua varten Edellyttää käyttäjän tunnistamista jollakin tavalla Ulkoisella tunnistuksella tai IdP:n omilla
Shibboleth
Shibboleth SP C++ ohjelma Apachelle, IIS:lle tai NSAPI:lle Apache-moduli IIS-filtteri Linux, Windows, Solaris, OSX Kaikki attribuutit headereissa tai ympäristömuuttujissa Ei omaa API:ia
Joitain attribuutteja… Cn, givenname, surname = nimi Mail = sähköpostiosoite eduPersonAffiliation = henkilön perusrooli(t) yliopistossa eduPersonPrincipalName = uniikki tunniste, ”käyttäjätunnus” (linden@tut.fi) schacPersonalUniqueID = henkilötunnus funetEduPersonTargetDegree = tavoitetutkinto, esim funetEduPersonTargetDegree: urn:mace:funet.fi:attribute-def:funetEduPersonTargetDegree:university:311 = teologian tohtori Lisätietoa: http://www.csc.fi/hallinto/haka/tekniikka/funeteduperson-skeema
Shibboleth: Attribuutit ja tietosuoja Shibboleth-toteutuksessa attribuuttien käsittelyä voidaan säätää kolmella tasolla Attribute Filter (IdP) kotikorkeakoulu ottaa kantaa, mitä attribuutteja IdP luovuttaa millekin SP:lle käyttäjä hyväksyy attribuuttien siirron Attribute Policy palvelu (SP) määrittelee, mitä attribuutteja se hyväksyy Attribute Map palvelu (SP) määrittele millä nimellä attribuutteja käytetään Muistakaa noudattaa henkilötietolakia!