Скачать презентацию Authentifizierung Autorisierung und Rechteverwaltung Einführung in den Service
89cfef72217014215ed175a72666974f.ppt
- Количество слайдов: 27
Authentifizierung, Autorisierung und Rechteverwaltung Einführung in den Service Provider Shibboleth-Workshop Freiburg, 12. Oktober 2005 Dr. Jochen Lienhard AAR Projekt UB Freiburg
Gliederung des Vortrags (I) • Einführung in den Service Provider – – – – Aufgaben Aufbau Funktionsweise Systemvoraussetzungen Installation von zusätzlichen Komponenten Installation des Service Providers Basiskonfiguration des Service Providers Java - Version • Konfiguration des Service Providers Dr. Jochen Lienhard, AAR Projekt, UB Freiburg 2
Aufgaben des Service Providers • Schutz der Ressourcen • Kontaktaufnahme zum Identity Provider (via WAYF) • Überprüfung der Zertifikate • Überprüfung der Attribute • Freigabe der Ressource Dr. Jochen Lienhard, AAR Projekt, UB Freiburg 3
Aufbau fragt Attribute bei der AA ab definiert, welche Attribute für den Zugriff auf die Ressourcen erforderlich sind Dr. Jochen Lienhard, AAR Projekt, UB Freiburg mod_shib (ACS) Ressource. Manager (RM) shibd Ressourcen Benutzer authentifiziert? Apache AAP kontrolliert den Zugriff auf die Ressourcen 4
Funktionsweise 1. Zugriff auf Ressource → Redirect zum WAYF oder Id. P durch ACS 2. Authentifizierungsbestätigung des Id. Ps → Weiterleitung der SAML vom Apache-Modul (ACS) zum Shibboleth-Dämon (shibd) → Anfrage vom Dämon an den AA bzgl Attribute 3. Attribute des AAs → Verifizierung der Attribute (AAP. xml) → Freigabe oder Sperrung der Ressource Dr. Jochen Lienhard, AAR Projekt, UB Freiburg 5
Systemvoraussetzungen (für C Version) • • • Apache 1. 3 oder 2 Quelldateien für entsprechenden Apache Open. SSL GCC (inklusive Entwicklungsumgebung für g++) libcurl • (für Windows) Visual Studio 6. 0 und alternativ IIS • (für MAC) ebenfalls Sourcecode vorhanden Dr. Jochen Lienhard, AAR Projekt, UB Freiburg 6
Zusätzliche Komponenten Die zusätzlichen Komponenten sind bei Internet 2 oder Apache verfügbar: Downloaden, auspacken, kompilieren, installieren! – log 4 cpp 0. 3. 5. rc 1 – xerces-c 2. 6. 1 – xml-security-c 1. 2. x – opensaml 1. 1 Dr. Jochen Lienhard, AAR Projekt, UB Freiburg 7
Service Provider (Installation) • Sourcecode downloaden, auspacken und konfigurieren. /configure … --with-apxs=
Service Provider (Basiskonfiguration) • Einbinden der apache. config • Startvorgang von shibd einrichten • shibboleth. xml konfigurieren – WAYF eintragen – Zertifikate eintragen – Name des Service Providers – metadata. xml herunterladen • Apache neu starten Zugriff mit Shibboleth geschützt Dr. Jochen Lienhard, AAR Projekt, UB Freiburg 9
Service Provider (Java-Version) • Noch keine offizielles Release • Systemvoraussetzung: Tomcat 4. x besser 5. x sowie entsprechende Java-Version • Sourcen: – 1 zip File oder – Sourcecode aus dem CVS von Internet 2 • Dokumentation: für Eclipse unter Windows • Vorteile / Nachteile Dr. Jochen Lienhard, AAR Projekt, UB Freiburg 10
Gliederung des Vortrags (II) • Einführung in den Service Provider • Konfiguration des Service Providers – shibboleth. xml im Detail – Schutz der Ressourcen – AAP. xml Verifizierung der Attribute – Anbindung an existierende Systeme – Einbindung in mehrere Föderationen – Attribute: Beispiele Dr. Jochen Lienhard, AAR Projekt, UB Freiburg 11
shibboleth. xml im Detail • • SPConfig (Rahmen der XML-Datei) Global Local Applications – Sessions – Metadata – Application • Credentials Dr. Jochen Lienhard, AAR Projekt, UB Freiburg 12
SPConfig
-
Applications
Applications (Sessions)
Application • notwendig, wenn individuelle – Attribute – Session-Settings – Metadaten benötigt werden. • Analog zu Applications • kann auch separaten WAYF enthalten Dr. Jochen Lienhard, AAR Projekt, UB Freiburg 19
Schutz der Ressourcen (am Beispiel von Apache) • Rechteserver • Konfiguration des Apache
AAP. xml Abbildung der Attribute • „Default-Attribute“: Identity Provider • Empfangene Attribute müssen abgebildet und gefiltert werden
Anbindung existierende Systeme • Bisheriger Schutz der Ressourcen? – Apache – Tomcat –… • Existiert ein Sessionmanagement? – Kann dieses verwendet werden? (z. B. durch Erstellen eines Tickets mittels Shibboleth) eventuell Änderungen am System Dr. Jochen Lienhard, AAR Projekt, UB Freiburg 23
Beispiel: Re. DI als SP • Sessionmanagement vorhanden • Re. DI-Session wird durch zentrales login-Script erzeugt → Anpassen des Scriptes, so dass externe Authentifizierungen akzeptiert werden → Abbilden der akzeptieren Authentifizierung auf Re. DISessions Dr. Jochen Lienhard, AAR Projekt, UB Freiburg 24
Einbindung in mehrere Föderationen • notwendig für internationale Anbieter, falls nur länderspezifischen Föderationen existieren. – alternativ: eigene Föderation • Realsierbar durch mehrere Applications • Verschiedene URLs definieren und schützen • Zugriff auf verschiedene WAYFs – ein metadata. xml Dr. Jochen Lienhard, AAR Projekt, UB Freiburg 25
Attribute • edu. Person – Schemata – edu. Person. Scoped. Affiliation Beispiel: member@uni-freiburg. de – edu. Person. Entitlement Beispiele: urn: mace: incommon: entitlement: common: 1 urn: mace: aar: entitlement: redi: unifr: jura urn: mace: aar: entitlement: ezb: unirb: admin – edu. Person. Principal. Name Beispiel: lienhard@uni-freiburg. de – edu. Person. Targeted. ID Dr. Jochen Lienhard, AAR Projekt, UB Freiburg 26
Fragen, Probleme, Anregungen?