La rivincita di Linux: da MS Windows TS ai client Linux embedded e xrdp. - Ro...
Lightning saml
1. 1
Autenticazione SAML
Alla base del Sistema Pubblico di Identità Digitale
SPID
Lightning Talk Linuxday 2017 Trieste
Daniele Albrizio daniele@albrizio.it
3. 3
Storia:
Backend di autenticazione (diretta)
● Ldap
– Transito della password o dell’hash sul frontend
– Autenticazione nativa Plaintext, md5, kerberos
– MSPPE/NTLMv2 ma con un “superaccount” sul
frontend
● Bisogna fidarsi della benevolenza del frontend
che non sempre è un angioletto (servizi
esternalizzati, siti web in cloud, ecc...)
4. 4
Autenticazione delegata
● SAML Security Assertion Markup Protocol (web)
– Redirezione verso un autenticatore della propria organizzazione che
restituisce l’esito dell’autenticazione al fornitore di servizi. Come
quando si effettua un pagamento con la carta di credito. Le credenziali
vengono immesse solo su un sito unico autorevole per l’utente
● Radius tunnel (network)
– L’autenticazione e le credenziali arrivano in maniera protetta e privata
fino al server dell’organizzazione di appartenenza dell’utente. Al
servizio arriva sono un Accept o un Reject
6. 29 Maggio 2009 Daniele Albrizio - albrizio@units.it 6
Identità digitaleIdentità digitale
● Per essere sicuri chePer essere sicuri che
un uomo o unaun uomo o una
macchinamacchina
in rete siano chiin rete siano chi
dicono didicono di
essere, abbiamoessere, abbiamo
bisognobisogno
di sistemi (entitàdi sistemi (entità
fidate) che nefidate) che ne
autentichino l'identitàautentichino l'identità
(The New Yorker, Vol. 69 (LXIX) no. 20,
page 61, July 5, 1993, by Peter Steiner)
7. 29 Maggio 2009 Daniele Albrizio - albrizio@units.it 7
Policy based Access ControlPolicy based Access Control
– PEPPEP oo PolicyPolicy EnforcementEnforcement PointPoint che chiedeche chiede
all'utente di identificarsi, passa le richiesta al PDP eall'utente di identificarsi, passa le richiesta al PDP e
fornisce il servizio o meno a seconda di quantofornisce il servizio o meno a seconda di quanto
risposto dal PDP.risposto dal PDP.
PDP
(Radius,
Shibboleth IdP,
middleware)
Provisioning
Run-time query
User
Client
Sql DB
Directory
(AD, LDAP)
PEP
(access point,
application server,
switch,
Shibboleth SP)
OK
8. 29 Maggio 2009 Daniele Albrizio - albrizio@units.it 8
Federazione di IdMFederazione di IdM
Per noi vuol dire:Per noi vuol dire:
● „„Unione” dei sistemi di gestione dell'identità inUnione” dei sistemi di gestione dell'identità in
modo da poter riconoscere anche gentemodo da poter riconoscere anche gente
(identità) di altre Organizzazioni e conoscere i(identità) di altre Organizzazioni e conoscere i
loroloro attributiattributi trasmessi contrasmessi con convenzioniconvenzioni
semantichesemantiche..
9. 29 Maggio 2009 Daniele Albrizio - albrizio@units.it 9
Autenticazione FederataAutenticazione Federata
Si basa su tre attori principali:Si basa su tre attori principali:
● Identity Provider (IdP)Identity Provider (IdP)
operato dalla home institution (Università, IdPoperato dalla home institution (Università, IdP
SPID)SPID)
● Service Provider (SP)Service Provider (SP)
operato dal fornitore di servizioperato dal fornitore di servizi
10. 29 Maggio 2009 Daniele Albrizio - albrizio@units.it 10
Identity Provider (IdP)Identity Provider (IdP)
● L'IdP mantiene una lista di attriuti collegati adL'IdP mantiene una lista di attriuti collegati ad
ID univoci. Gli attributi possono essere auto-ID univoci. Gli attributi possono essere auto-
assegnati dall'entità stessa o attributi e ruoliassegnati dall'entità stessa o attributi e ruoli
assegnati all'entità da altre entitàassegnati all'entità da altre entità
(organizzazioni).(organizzazioni).
● Autentica l'identità e rilascia attributi secondoAutentica l'identità e rilascia attributi secondo
policy definite dal soggetto epolicy definite dal soggetto e
dall'organizzazione.dall'organizzazione.
11. 29 Maggio 2009 Daniele Albrizio - albrizio@units.it 11
Service Provider (SP)Service Provider (SP)
● L'entità che „consuma” (usa) gli attributi eL'entità che „consuma” (usa) gli attributi e
l'autenticazione al fine di fornire o meno unl'autenticazione al fine di fornire o meno un
servizio.servizio.
● Spesso il servizio viene personalizzato in baseSpesso il servizio viene personalizzato in base
al valore degli attributi.al valore degli attributi.
12. 29 Maggio 2009 Daniele Albrizio - albrizio@units.it 12
(WAYF Where Are You from)(WAYF Where Are You from)
DS Discovery ServicesDS Discovery Services
● Servono agli utenti per selezionare il proprioServono agli utenti per selezionare il proprio
IdP (Home Institution)IdP (Home Institution) all’interno dellaall’interno della
Federazione o di più FederazioniFederazione o di più Federazioni
● IDEM è la Federazione della Ricerca eIDEM è la Federazione della Ricerca e
dell’Istruzione Italiana (WEB)dell’Istruzione Italiana (WEB)
● eduGAIN è la Federazione della Ricerca eeduGAIN è la Federazione della Ricerca e
dell’Istruzione mondiale (WEB)dell’Istruzione mondiale (WEB)
● SPID è la Federazione delle identità pubblicheSPID è la Federazione delle identità pubbliche
italiane (WEB)italiane (WEB)
13. 29 Maggio 2009 Daniele Albrizio - albrizio@units.it 13
https://wayf.idem.garr.it/WAYF/https://wayf.idem.garr.it/WAYF/
14. 29 Maggio 2009 Daniele Albrizio - albrizio@units.it 14
Discovery degli IdP su SPIDDiscovery degli IdP su SPID
15. 29 Maggio 2009 Daniele Albrizio - albrizio@units.it 15
●
Introducing the zoo of paper beasts - David Simonsen (WAYF)Introducing the zoo of paper beasts - David Simonsen (WAYF)
16. 16
Pagina di login della propria organizzazione
sul dominio della propria organizzazione
19. 29 Maggio 2009 Daniele Albrizio - albrizio@units.it 19
Trust per gli utenti:Trust per gli utenti:
ConsensoConsenso
Stiamo usando informazioni strettamenteStiamo usando informazioni strettamente
collegate all'utente, che lui considera sue.collegate all'utente, che lui considera sue.
Il consenso dell'utente DEVE essere:Il consenso dell'utente DEVE essere:
● Volontario (nessuna costrizione)Volontario (nessuna costrizione)
● Specifico (per ogni singolo scopo)Specifico (per ogni singolo scopo)
● Informato (le domande devono essere capibili)Informato (le domande devono essere capibili)
20. 29 Maggio 2009 Daniele Albrizio - albrizio@units.it 20
Principi per lo scambio dei datiPrincipi per lo scambio dei dati
TrasparenzaTrasparenza
Scopo legittimoScopo legittimo
ProporzionalitàProporzionalità
21. 29 Maggio 2009 Daniele Albrizio - albrizio@units.it 21
FederazioneFederazione
a Circle of Trusta Circle of Trust
SEOULMAN66 / Alexander (CC)
http://www.flickr.com/photos/wookiewookie/122305592/
22. 29 Maggio 2009 Daniele Albrizio - albrizio@units.it 22
Single Sign OnSingle Sign On
● Permette di effettuare il login una sola volta ePermette di effettuare il login una sola volta e
avere accesso automatico, senza reinserimentoavere accesso automatico, senza reinserimento
delle credenziali, su tutti i siti collegati.delle credenziali, su tutti i siti collegati.
23. 23
Multi Factor Authentication
● Qualcosa che uno sa
– Password, passphrase, pin
● Qualcosa che uno ha
– Chiave, Smartcard, Token OTP, Token card, bluetooth pairing,
NFC tag, tessera magnetica, sms su cellulare?, tessera
magnetica?
● Qualcosa che uno è
– Impronta digitale, retinica, vocale
– riconoscimento facciale, auricolare
– impronta della mano o del piede, ecc…
– Firma o calligrafia
– Stile della battitura sulla tastiera
24. 24
Quest'opera è stata rilasciata con licenza Creative Commons Attribuzione - Non
commerciale - Condividi allo stesso modo 3.0 Italia. Per leggere una copia della
licenza visita il sito web http://creativecommons.org/licenses/by-nc-sa/3.0/it/ o
spedisci una lettera a Creative Commons, PO Box 1866, Mountain View, CA 94042,
USA. Alcune immagini hanno licenze d’uso differenti e sono indicate sulle immagini
stesse.
Daniele Albrizio
daniele@albrizio.it