Lite fina ord på vägen... Identitetsfederationer SWAMI Shibboleth Federationstjänster 060927 Lite fina ord på vägen... Identitetsfederationer SWAMI Shibboleth | Conny Richardson SUB | conny.richardson@sub.su.se |
Vad är en Identitetsfederation? En sammanslutning av organisationer som utbyter information om användare och resurser. Vilka federationer finns idag? Finland har HAKA, Norge har FEIDE, Schweiz har SWITCH, USA har bl.a Incommon...
Vad ÄR och GÖR SWAMI? -SWAMI står för: ”Swedish Alliance for Middleware” -SWAMI-projektet finansieras av Sunet. -SWAMI har till uppgift är att ta fram gemensamma middleware-lösningar för: autentisering, identitetshantering, behörighetskontroll, LDAP och PKI. Inom SWAMI finns olika delgrupper: -Eduroam, för sammankoppling av trådlösa nät. -CWAA, användas för NyA + Wifi. -SWUPKI, Certificate Authority för svenska univ. -SWAMID, Id-Fed som bygger på Shibboleth. Vilka är med? 13st idag. LTH, UU, LIU, SU, KI, UU, KTH, Chalmers, GU, LU, VXU,KAU,Sunet.
Bakgrund till Identitetsfederationer De flesta organisationer har idag någon form av central inloggningstjänst (Single Sign-On). Till denna inloggning kopplas sedan olika tjänster ex. portaler,webmail,proxylogin m.m. Men säg att en student på LHS även läser på SU, kan man då göra så att studenten får tillgång till sina resurser på LHS genom att logga in med sitt SU-konto...? ...jo, är det webbtjänster vi pratar om så går det med hjälp av SHIBBOLETH.
SHIBBOLETH -Shibboleth är en middlewareprodukt utvecklad av Internet2. -Shibboleth ger säker identifiering av användarna, inga lösenord flyttas över nätet! -Den egna högskolans lokala system sköter helt om kontroll av lösenord etc. -Webbtjänsten får bara en verifikation på att identifikationen lyckades. -Shibboleth kan vidarebefordra information om lyckad identifiering till en annan tjänst. -En enda inloggning krävs (fastän man utnyttjar olika/flera tjänster). -Tekniken ger också möjligheter till behörighetskontroll! Ex. så kan tjänsten enligt överenskommelse få uppgifter om t.ex. användarens roll vid högskolan (personal, studerande) eller om andra attribut som lagrats i den egna högskolans LDAP katalog.
Användningsområden... E-resurser: Inom biblioteksvärlden så har Shibboleth börjat bli riktigt stort pga: -Leverantörer av e-resurser ställer högre krav på användare. -Ipnummer kontroll av e-resurser är ett gammalt och dåligt sätt! -Proxyservrar fungerar si så där... Andra scenarion: -LHS-studenter som även läser på SU vill kunna komma åt sin studentportal och slippa behöva ha dubbla konton. (något vi tittar på nu...) Organisationer som har stora volymer av användarkonton ex. IIS som har hand om .se vill ha en effektivare och enklare kontoadministration.
Så funkar det... Lokala användare --> Hemorganisation --> SWAMI --> Flera tjänster (service providers) 1. Den lokala campusanvändaren loggar in med ex SU-konto. 2. Hemorg. (SU) är s.k “Identity Provider” levererar creds om användaren till SWAMID. 3. SWAMID är navet i mitten som har koll på vilket data som kan skeppas och tas emot mellan medlemmar. 4. SP får data om användaren levererat genom/av SWAMID. Detta data godkänns av SP och används för verifiering av användaren (attribut). 5. Användaren kan komma åt önskad resurs.
Åt andra hållet...vad vinner en som levererar en tjänst (SP) Omvänt så kan en ServiceProvider som är med i federationen : -Göra sin tjänst tillgänglig för alla medlemmar på en gång. -Ställa höga krav på hemorganisationen när det gäller hantering av anv+pwd. -Auktorisation, det är SP:n som kan kräva att endast vissa grupper ex. forskare / staff får tillgång till tjänsten.
Lite mer tekniskt om SWAMID och SHIBBOLETH -Har tagit fram en policy som beskriver vilka krav som finns på en organisation att gå med. -Ansvarar för att ta fram metadata om varje medlem. -Ser till så att varje medlem använder certifikat signerade av betrodd CA. -Ansvarar för ARP:s (attribute release policy) = vilka attribut som kan förväntas? -Tillhandahåller en WAYF (where are you from)-tjänst, ungefär som cwaa-wifi-tjänsten.
Finns det andra produkter än Shibboleth? Ja, Microsoft har släppt sina Federated Services för win2k3. Infocard för Vista...? SUN, Oracle,HP,IBM har också egna federationstjänster på gång. Funkar alla dessa ihop då? Det finns hopp. Alla använder sig av samma väldefinierade standard som kalla SAML... SAML (security assertion markup lang.) är ett xml-baserat ramverk framtagit av OASIS. SAML är till för att på ett säkert sätt kunna utbyta information om: -autentisering -auktorisation mellan olika organisationer. -Aktuell version av SAML är 1.1. Version 2 är under utveckling.
www.swami.se shibboleth.internet2.edu Frågor?