27/7/2011 surffederatie een overzicht. (c) 2008 surfnet b.v.1 overzicht 1.surfnet 2.authenticatie,...
TRANSCRIPT
27/7/2011
SURFfederatieEen overzicht
(C) 2008 SURFnet B.V.2
Overzicht
1. SURFnet
2. Authenticatie, Autorisatie
3. Federaties
4. SURFfederatie
5. Diensten
6. Samenvatting/Vragen
(C) 2008 SURFnet B.V.3
SURFnet
- National Research and Education Network (NREN)- ISP, innovatie centrum, service provider
- Hoger onderwijs en onderzoek- > 160 instellingen- > 750.000 studenten en medewerkers
- Focus: van netwerk naar middleware en diensten infrastructuur
- Federatief IdM/SURFfederatie als speerpunt voor 2008-2010
- Samenwerking met andere NRENs, TERENA, europsese projecten (GEANT2)
(C) 2008 SURFnet B.V.4
Authenticatie en Autorisatie Infrastructuren (AAI)
- Authenticatie- “wie ben je” - bewijs wie je bent: ja/nee
- Autorisatie- “wat mag je” - gebruikerskenmerken: attributen
- Single Login- Gebruik dezelfde credentials gebruik op
meerdere plekken- Single-Signon (SSO)
- = Single-Login + zonder opnieuw in te loggen- Provisioning
- Geautomatiseerd account beheer/rechten toekennen (dienstaanbieder)
(C) 2008 SURFnet B.V.5
(AAI) Federaties
- Algemeen: samenwerkingsverbanden- In deze context: AAI Federaties/federatief IdM
- Inloggen/authenticeren/autoriseren met je instellingsaccount bij internet diensten
- 2 of 3 rollen:- Identity Provider (IDP): user accounts- Service Provider (SP): dienst/content- + soms: centrale infrastructuur (CFC)
- Voor SPs:- “out-sourcing” van AA op basis van “pre-
established trust”- Voor IDPs:
- “binnenshuis” authenticeren/autoriseren
(C) 2008 SURFnet B.V.6
SURFfederatie: history
Studen
ten C
hipca
rd: a
uthen
ticat
ie
A-Sel
ect:
intr
a-or
ganis
atie
web
-SSO
1996 2001 2004 2006 2007 2008
DigiD
: ove
rhei
ds eI
D geb
asee
rd o
p A-S
elec
t
Feder
atie
f AAI,
A-Sel
ect (
open
sou
rce)
FIdM
die
nst (g
atew
ay) i
n pro
ductie
Else
vier
, EBSCO, G
oogle
Apps
(C) 2008 SURFnet B.V.7
SURFfederatie (1)
- Doel: het bevorderen van de samenwerking over instellingsgrenzen heen
- AAI federatie voor de SURFnet community- Instellingen leveren identiteiten (IDP) en
diensten (SP)- Externe partijen leveren diensten (SP)
- inloggen (AA) met je instellingsaccount bij derden- je credentials verlaten de instelling niet- op een gestandaardiseerde manier autorisatie
gegevens uitwisselen: attributen schema- Bijv: “sn”: achternaam, eduPersonAffiliation: rol
(C) 2008 SURFnet B.V.8
FederatiefExternLokaal
Authenticatie -> FIdM
DB
HTTP
HTTP
HTTP
LDAP LDAP LDAP
SAML(HTTP)
IDP
DB
IDP
SP
B
SP
B B
SP
HTTP
(C) 2008 SURFnet B.V.9
FIDM protocollen/produkten
- Secure Assertion Markup Language (SAML)- SAML 1.x (geen SP-initiated) (OASIS)- IDFF 1.x (SP-initiated) (Liberty)- WS-Federation/ADFS 1.x/2.x (IBM/Microsoft)- SAML 2.0 (OASIS, Liberty)- A-Select cross protocol 1.4.2/1.5.x- geen LDAP/Radius => wel in backend
- Producten oa:- HP/Oracle/Novell/IBM/Microsoft/…- Shibboleth/A-Select/SimpleSAMLphp- PingFederate (SURFnet)
(C) 2008 SURFnet B.V.10
Federatie Modellen
- 1-1
- Business VS: SAML 1.x
- de-facto
- NxN
- Shared trust, pt2pt
- Education VS/Europa
- Shibboleth
- 2xN
- Centrale gateway (CFC)
- Nieuw(?) paradigma
protocol translatie
- SURFfederatie
SURFnet = CFC, IDP, SP
IDP SP
IDP SP
IDP SP
IDP SP
IDP SP
IDP SP
IDP SPCFC
(C) 2008 SURFnet B.V.11
SURFfederatie (2)
- (A) een set met afspraken - Contracten, policies, attributen schema
- (B) een technische infrastructuur- Centraal georganizeerd (!)
- Technisch; dienstencontract=bilateraal- Focus op web-based Single-Signon
- Browser applicaties/services- Toekomstige extensies mogelijk (Webservices,
netwerk toegang)- SURFnet als Trusted Third Party / central authority- Protocol translatie (!!)
- Gevolg: grootst gemene deler aan functionaliteit… (geen nadeel)
(C) 2008 SURFnet B.V.12
Functional Viewsince 1 august 2008
CentralFederation
Components
CentralFederation
Components
A-Select CrossA-Select Cross
A-Select CrossA-Select Cross
ShibbolethShibboleth
SAML 2.0SAML 2.0
WS-Fed / ADFSWS-Fed / ADFS
SAML 2.0SAML 2.0
WS-Fed / ADFSWS-Fed / ADFS
Identity Providers Service ProvidersSURFfederatie CORE
ApplicationsCredentials
(C) 2008 SURFnet B.V.13
Authenticatie Redirect Flow
SPSP SFSSFS IDPIDPweb serviceauthentication
backend
browser requestauth request
SSO1 request
SSO22 request
LDAP/Radius/..
access & attributes
SSO1 response
SSO22 response
auth response
(C) 2008 SURFnet B.V.14
Voordelen (1) - IDP
- Hergebruik van authenticatie oplossing(en)
- credentials + techniek,
intern,instellingsspecifiek=>extern
- Autorisatie/RBAC/ABAC
- Fijnmaziger, correcter toegang verlenen
- Security/controle/herleidbaarheid
- gebruik credentials alleen *binnen* domein
- Integratie: eigen systemen/IdM/rollen/rechten
- Efficientie/kostenbesparing: infra, support, licenties (!)
- Eenvoud: 1x technisch aansluiten voor meerdere
diensten
- Toekomstperspectieven: SAAS, online internet applicaties
- Gebruikerservaring: betere service
(C) 2008 SURFnet B.V.15
Voordelen (2) - SP
- Schaalbaarheid- User-account database, enrollment
- Integriteit- Verificatie, synchronisatie, up-to-date
- Autorisatie- Fijnmazig, correct, betere implementatie van
licentie voorwaarden- Kostenbesparing
- Infrastructuur en support (!)- Eenvoud
- 1x aansluiten voor meerdere IDPs (protocollen)- Efficientie
- Sneller op de markt zetten door hergebruik
(C) 2008 SURFnet B.V.16
Voordelen (3) - Users
- Privacy- Persoonlijke data op 1 plaats opgeslagen
- Veiligheid- Contractuele afspraken tussen IDPs en SPs over
gebruik van persoonsgegevens- Single-Login
- Beperken digitale sleutelbos -> veiligheid- Single-Signon
- 1x inloggen: meerdere diensten benaderen
(C) 2008 SURFnet B.V.17
Diensten
- SURFspot (SURFdiensten), ICT webwinkel- Dashboard/Rapportage/Demo (SURFnet)- ScienceDirect (Elsevier), wetenschappelijke
artikelen- EBSCOhost (EBSCO), research database- EduPoort (EduPoort), educatieve content- PiCarta (OCLC Leiden), informatie/catalogi- Ellips (member RUG), oefenomgeving
taalvaardigheid- ZOEP (RUG), video zoek engine- SURFmedia (SURFnet), video integratie project- Google Apps for Education (Google), web apps)- SURFconext
(C) 2008 SURFnet B.V.18
Aandachtspunten
- kip/ei probleem (zien = geloven)- complexiteit protocollen/produkten tov. de
gebruikte/benodigde functionaliteit- SAML 2.0 specifications ea.
- schaalbaarheid van het centrale model- initieel zeer goed
- implementatie bij IDP/SP- kennis en beschikbaarheid daarvan
- processen/procedures- wijziging keys/URL/metadata
- Web-based SSO -> web-services ++ features- protocol convergentie
(C) 2008 SURFnet B.V.19
Samenvatting
- Service Providers (SP) in de SURFfederatie, bieden diensten aan aan Identity Providers (IDPs) uit de SURFnet doelgroep
- Gebruikers worden geauthenticeerd/geautoriseerd met eigen credentials door IDPs
- Technisch: 1x technisch aansluiten voor afname meerdere diensten en leveranciers
- Contractueel: afname van individuele diensten bilateraal met SP, bijv. SURFdiensten
- Verschillende producten/implementaties voor koppelen mogelijk
(C) 2008 SURFnet B.V.20
SURFfederatiewww.surffederatie.nl
Federatie [email protected]
PM• Eefje van der Harst• Sabita Behari
TPM• Joost van Dijk• Pieter van der Meulen• Remco Poortinga – van Wijnen
Contact
(C) 2008 SURFnet B.V.21
Vragen