Shibboleth-tekniikan yleisesittely

Esitys aiheesta: "Shibboleth-tekniikan yleisesittely"— Esityksen transkriptio:

1 Shibboleth-tekniikan yleisesittely

2 Shibboleth-väliohjelmisto
Yhdysvaltojen yliopistojen Internet2-hanke Protokollan määrittely ja sen open source –toteutus nojaa SAML:iin, SOAP:iin ja XML:ään v 1.0 6/2003, v 1.3 7/2005 (SAML1.1), v /2008 v 2.0:n myötä SAML2-yhteensopivuus WWW-ympäristössä Tuotantokäytössä korkeakouluissa Yhdysvalloissa, Sveitsissä, Suomessa, Britanniassa, Ranskassa Kehitys/käyttöönottovaiheessa Australiassa, Ruotsissa, Saksassa, Belgiassa…

3 Shibboleth Shibboleth ei tunne konseptia federaatio
Se tuntee joukon muita sen kanssa yhteensopivia yksittäisiä palveluita Federaatio muodostuu ihmisten tekemistä päätöksistä kohdella tiettyä joukkoa palveluita tietyllä tavalla Shibboleth ei tee käyttäjätunnistusta Shibboleth tarvitsee käyttäjätunnistamista, mutta on muita paljon parempia ohjelmistoja käyttäjätunnistuksen suorittamiseen kuin Shibboleth Shibboleth ei varastoi käyttäjätietoja Shibboleth välittää käyttäjätietoja, mutta Shibbolethilla ei ole kykyä varastoida käyttäjätietoja

4 Terminologiaa IdP (Identity Provider) SP (Service Provider) Assertion
Palvelu kotiorganisaatiossa, jossa käyttäjä tunnistetaan ja tehdään käyttäjää koskevia ”vakuutuksia” SP (Service Provider) Palvelu, joka käyttää IdP:n tekemiä vakuutuksia tarjotakseen käyttäjälle toimintoja Assertion Viesti, jonka lähettäjä vakuuttaa olevan oikein Attribute Attribuutti, nimi ja sisältö pari esim. sn - Virtanen Scope Domain, jossa attribuutin arvo on voimassa esim.

5 Terminologiaa Attribute Authority Name Identifier
IdP:n osa, jossa käsitellään ja luovutetaan käyttäjää koskevia attribuutteja Name Identifier Attribuutti, jolle on annettu käyttäjän erotteleva asema Entityid (ent. providerid) IdP:n tai SP:n nimi, jolla siihen viitataan Selkokielinen, uniikki, vapaasti päätettävissä Metadata XML-muotoinen lista IdP- ja SP-palveluista ja miten niiden kanssa muut palvelut keskustelevat WAYF (Where Are You From) Shibboleth 1.3 IdP:iin ohjauspalvelu DS (Discovery Service SAML2 IdP:iin ohjauspalvelu

6 Skeema Attribuutit edellyttävät skeemaa riippumatta käytetystä tekniikasta (Shibboleth, LDAP, relaatiotietokanta) Skeema on sopimus, joka määrittelee attribuuttien syntaksin (kielioppi) esim. attribuutti on ’alphanumeric’= koostuu numeroista ja kirjaimista semantiikan (merkitys) esim. attribuutti tarkoittaa henkilön työpuhelinnumeroa Sanastot, esim. henkilön mahdollisia rooleja ovat ”opiskelija”/”henkilökunta”/”muu” Meillä käytössä olevia skeemoja Person, organizationalperson, inetOrgPerson ym eduPerson (Yhdysvaltojen yliopistot), schac (Euroopan yliopistot) funetEduPerson 2.1 (edellinen suomalaisin maustein)

7 Shibboleth 1.x-viestinvaihdot
1. HTTP ”Tahdon sisään portaaliin Service Provider (Shibboleth SP) Nelli-portaali 2. HTTP redirect ”Kaveri teidän korkeakoulusta haluaa portaaliin. Ottakaa hänestä selvää!” 3. Username: eskoe Password: 95iEfHw Kotiorganisaatio Identity Provider (Shibboleth IdP) HY 4. HTTP POST/SAML ”Tahdon sisään portaaliin Kahvani on F49E4065A…” näytetään lääketieteilijöiden portaali 5. SAML SOAP ”Kertokaa kaverista jonka kahva on F49E4065A…” 6. SAML SOAP ”Hän on lääketieteen opiskelija”

8 näytetään lääketieteilijöiden portaali
SAML2-viestinvaihdot 1. HTTP ”Tahdon sisään portaaliin Service Provider (Shibboleth SP) Nelli-portaali 3. Username: eskoe Password: 95iEfHw 2. HTTP redirect ”Kaveri teidän korkeakoulusta haluaa portaaliin. Ottakaa hänestä selvää!” Kotiorganisaatio Identity Provider (Shibboleth IdP) HY näytetään lääketieteilijöiden portaali 4. HTTP POST/SAML ”Käyttäjä on tunnistettu ja on lääketieteen opiskelija”

9 Shibboleth 1.3:n sisärakenne
Service Provider (SP) Esko Esimerkki, HY http GET Kahvanpyytäjä REDIRECT Mikä on organisaatiosi? WAYF Autentikointi Kahvapyyntö Identity Provider (IdP) Auth.palvelin (Pubcookie) Kahva- palvelin Kahva (handle) Attribuutin- pyytäjä Attribuuttipyyntö+kahva LDAP tai RDB Attribuutti- palvelin Attribuutit Pääsynvalvoja Resurssi

10 Shibboleth 2:n sisärakenne
Service Provider (SP) Esko Esimerkki, HY http GET Kahvanpyytäjä REDIRECT Mikä on organisaatiosi? WAYF Autentikointi Autentikointi- pyyntö Identity Provider (IdP) Auth.palvelin (Pubcookie) Kahva- palvelin Autentikointivastaus & attribuutit Attribuutin- pyytäjä LDAP tai RDB Attribuutti- palvelin Pääsynvalvoja Resurssi

11 Shibboleth IdP Java-sovellus Vaatii Servlet 2.4 sovelluspalvelimen
Tomcat, JBoss Tukee useita protokollia SAML2, Shibboleth 1.3. lisää tulossa Ei tallenna käyttäjätunnuksia tai attribuutteja Liitännät hakemistoihin ja tietokantoihin niiden hakua varten Edellyttää käyttäjän tunnistamista jollakin tavalla Ulkoisella tunnistuksella tai IdP:n omilla

12 Shibboleth

13 Shibboleth SP C++ ohjelma Apachelle, IIS:lle tai NSAPI:lle
Apache-moduli IIS-filtteri Linux, Windows, Solaris, OSX Kaikki attribuutit headereissa tai ympäristömuuttujissa Ei omaa API:ia

14 Joitain attribuutteja…
Cn, givenname, surname = nimi Mail = sähköpostiosoite eduPersonAffiliation = henkilön perusrooli(t) yliopistossa eduPersonPrincipalName = uniikki tunniste, ”käyttäjätunnus” schacPersonalUniqueID = henkilötunnus funetEduPersonTargetDegree = tavoitetutkinto, esim funetEduPersonTargetDegree: urn:mace:funet.fi:attribute-def:funetEduPersonTargetDegree:university:311 = teologian tohtori Lisätietoa:

15 Shibboleth: Attribuutit ja tietosuoja
Shibboleth-toteutuksessa attribuuttien käsittelyä voidaan säätää kolmella tasolla Attribute Filter (IdP) kotikorkeakoulu ottaa kantaa, mitä attribuutteja IdP luovuttaa millekin SP:lle käyttäjä hyväksyy attribuuttien siirron Attribute Policy palvelu (SP) määrittelee, mitä attribuutteja se hyväksyy Attribute Map palvelu (SP) määrittele millä nimellä attribuutteja käytetään Muistakaa noudattaa henkilötietolakia!