27/7/2011

SURFfederatieEen overzicht

(C) 2008 SURFnet B.V.2

Overzicht

1. SURFnet

2. Authenticatie, Autorisatie

3. Federaties

4. SURFfederatie

5. Diensten

6. Samenvatting/Vragen

(C) 2008 SURFnet B.V.3

SURFnet

- National Research and Education Network (NREN)- ISP, innovatie centrum, service provider

- Hoger onderwijs en onderzoek- > 160 instellingen- > 750.000 studenten en medewerkers

- Focus: van netwerk naar middleware en diensten infrastructuur

- Federatief IdM/SURFfederatie als speerpunt voor 2008-2010

- Samenwerking met andere NRENs, TERENA, europsese projecten (GEANT2)

(C) 2008 SURFnet B.V.4

Authenticatie en Autorisatie Infrastructuren (AAI)

- Authenticatie- “wie ben je” - bewijs wie je bent: ja/nee

- Autorisatie- “wat mag je” - gebruikerskenmerken: attributen

- Single Login- Gebruik dezelfde credentials gebruik op

meerdere plekken- Single-Signon (SSO)

- = Single-Login + zonder opnieuw in te loggen- Provisioning

- Geautomatiseerd account beheer/rechten toekennen (dienstaanbieder)

(C) 2008 SURFnet B.V.5

(AAI) Federaties

- Algemeen: samenwerkingsverbanden- In deze context: AAI Federaties/federatief IdM

- Inloggen/authenticeren/autoriseren met je instellingsaccount bij internet diensten

- 2 of 3 rollen:- Identity Provider (IDP): user accounts- Service Provider (SP): dienst/content- + soms: centrale infrastructuur (CFC)

- Voor SPs:- “out-sourcing” van AA op basis van “pre-

established trust”- Voor IDPs:

- “binnenshuis” authenticeren/autoriseren

(C) 2008 SURFnet B.V.6

SURFfederatie: history

Studen

ten C

hipca

rd: a

uthen

ticat

ie

A-Sel

ect:

intr

a-or

ganis

atie

web

-SSO

1996 2001 2004 2006 2007 2008

DigiD

: ove

rhei

ds eI

D geb

asee

rd o

p A-S

elec

t

Feder

atie

f AAI,

A-Sel

ect (

open

sou

rce)

FIdM

die

nst (g

atew

ay) i

n pro

ductie

Else

vier

, EBSCO, G

oogle

Apps

(C) 2008 SURFnet B.V.7

SURFfederatie (1)

- Doel: het bevorderen van de samenwerking over instellingsgrenzen heen

- AAI federatie voor de SURFnet community- Instellingen leveren identiteiten (IDP) en

diensten (SP)- Externe partijen leveren diensten (SP)

- inloggen (AA) met je instellingsaccount bij derden- je credentials verlaten de instelling niet- op een gestandaardiseerde manier autorisatie

gegevens uitwisselen: attributen schema- Bijv: “sn”: achternaam, eduPersonAffiliation: rol

(C) 2008 SURFnet B.V.8

FederatiefExternLokaal

Authenticatie -> FIdM

DB

HTTP

HTTP

HTTP

LDAP LDAP LDAP

SAML(HTTP)

IDP

DB

IDP

SP

B

SP

B B

SP

HTTP

(C) 2008 SURFnet B.V.9

FIDM protocollen/produkten

- Secure Assertion Markup Language (SAML)- SAML 1.x (geen SP-initiated) (OASIS)- IDFF 1.x (SP-initiated) (Liberty)- WS-Federation/ADFS 1.x/2.x (IBM/Microsoft)- SAML 2.0 (OASIS, Liberty)- A-Select cross protocol 1.4.2/1.5.x- geen LDAP/Radius => wel in backend

- Producten oa:- HP/Oracle/Novell/IBM/Microsoft/…- Shibboleth/A-Select/SimpleSAMLphp- PingFederate (SURFnet)

(C) 2008 SURFnet B.V.10

Federatie Modellen

- 1-1

- Business VS: SAML 1.x

- de-facto

- NxN

- Shared trust, pt2pt

- Education VS/Europa

- Shibboleth

- 2xN

- Centrale gateway (CFC)

- Nieuw(?) paradigma

protocol translatie

- SURFfederatie

SURFnet = CFC, IDP, SP

IDP SP

IDP SP

IDP SP

IDP SP

IDP SP

IDP SP

IDP SPCFC

(C) 2008 SURFnet B.V.11

SURFfederatie (2)

- (A) een set met afspraken - Contracten, policies, attributen schema

- (B) een technische infrastructuur- Centraal georganizeerd (!)

- Technisch; dienstencontract=bilateraal- Focus op web-based Single-Signon

- Browser applicaties/services- Toekomstige extensies mogelijk (Webservices,

netwerk toegang)- SURFnet als Trusted Third Party / central authority- Protocol translatie (!!)

- Gevolg: grootst gemene deler aan functionaliteit… (geen nadeel)

(C) 2008 SURFnet B.V.12

Functional Viewsince 1 august 2008

CentralFederation

Components

CentralFederation

Components

A-Select CrossA-Select Cross

A-Select CrossA-Select Cross

ShibbolethShibboleth

SAML 2.0SAML 2.0

WS-Fed / ADFSWS-Fed / ADFS

SAML 2.0SAML 2.0

WS-Fed / ADFSWS-Fed / ADFS

Identity Providers Service ProvidersSURFfederatie CORE

ApplicationsCredentials

(C) 2008 SURFnet B.V.13

Authenticatie Redirect Flow

SPSP SFSSFS IDPIDPweb serviceauthentication

backend

browser requestauth request

SSO1 request

SSO22 request

LDAP/Radius/..

access & attributes

SSO1 response

SSO22 response

auth response

(C) 2008 SURFnet B.V.14

Voordelen (1) - IDP

- Hergebruik van authenticatie oplossing(en)

- credentials + techniek,

intern,instellingsspecifiek=>extern

- Autorisatie/RBAC/ABAC

- Fijnmaziger, correcter toegang verlenen

- Security/controle/herleidbaarheid

- gebruik credentials alleen *binnen* domein

- Integratie: eigen systemen/IdM/rollen/rechten

- Efficientie/kostenbesparing: infra, support, licenties (!)

- Eenvoud: 1x technisch aansluiten voor meerdere

diensten

- Toekomstperspectieven: SAAS, online internet applicaties

- Gebruikerservaring: betere service

(C) 2008 SURFnet B.V.15

Voordelen (2) - SP

- Schaalbaarheid- User-account database, enrollment

- Integriteit- Verificatie, synchronisatie, up-to-date

- Autorisatie- Fijnmazig, correct, betere implementatie van

licentie voorwaarden- Kostenbesparing

- Infrastructuur en support (!)- Eenvoud

- 1x aansluiten voor meerdere IDPs (protocollen)- Efficientie

- Sneller op de markt zetten door hergebruik

(C) 2008 SURFnet B.V.16

Voordelen (3) - Users

- Privacy- Persoonlijke data op 1 plaats opgeslagen

- Veiligheid- Contractuele afspraken tussen IDPs en SPs over

gebruik van persoonsgegevens- Single-Login

- Beperken digitale sleutelbos -> veiligheid- Single-Signon

- 1x inloggen: meerdere diensten benaderen

(C) 2008 SURFnet B.V.17

Diensten

- SURFspot (SURFdiensten), ICT webwinkel- Dashboard/Rapportage/Demo (SURFnet)- ScienceDirect (Elsevier), wetenschappelijke

artikelen- EBSCOhost (EBSCO), research database- EduPoort (EduPoort), educatieve content- PiCarta (OCLC Leiden), informatie/catalogi- Ellips (member RUG), oefenomgeving

taalvaardigheid- ZOEP (RUG), video zoek engine- SURFmedia (SURFnet), video integratie project- Google Apps for Education (Google), web apps)- SURFconext

(C) 2008 SURFnet B.V.18

Aandachtspunten

- kip/ei probleem (zien = geloven)- complexiteit protocollen/produkten tov. de

gebruikte/benodigde functionaliteit- SAML 2.0 specifications ea.

- schaalbaarheid van het centrale model- initieel zeer goed

- implementatie bij IDP/SP- kennis en beschikbaarheid daarvan

- processen/procedures- wijziging keys/URL/metadata

- Web-based SSO -> web-services ++ features- protocol convergentie

(C) 2008 SURFnet B.V.19

Samenvatting

- Service Providers (SP) in de SURFfederatie, bieden diensten aan aan Identity Providers (IDPs) uit de SURFnet doelgroep

- Gebruikers worden geauthenticeerd/geautoriseerd met eigen credentials door IDPs

- Technisch: 1x technisch aansluiten voor afname meerdere diensten en leveranciers

- Contractueel: afname van individuele diensten bilateraal met SP, bijv. SURFdiensten

- Verschillende producten/implementaties voor koppelen mogelijk

(C) 2008 SURFnet B.V.20

SURFfederatiewww.surffederatie.nl

Federatie Beheerfederatie-beheer@surfnet.nl

PM• Eefje van der Harst• Sabita Behari

TPM• Joost van Dijk• Pieter van der Meulen• Remco Poortinga – van Wijnen

Contact

(C) 2008 SURFnet B.V.21

Vragen