Identity Management - Bevezető

660 views

Published on

2008

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
660
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Identity Management - Bevezető

  1. 1. Identity Management (IdM) - Bevezető avagy bambuszvágó késsel a rövidítések dzsunglében Szalai Ferenc – Web Service Bricks (szferi@wsbricks.com)
  2. 2. Mi a szösz az a IdM? <ul><li>A digitális személyazonoság (identity) kezelésével kapcsolatos technolólógiák, szabályok és folyamatok gyűjteménye. </li></ul><ul><li>Célja, hogy meghatározza az információhoz való hozzáférés szabályozásának egységes és standard módszertanát. </li></ul>
  3. 3. Mi a probléma? <ul><li>“Van egységes információs rendszerünk, több is!” </li></ul><ul><li>Szervezeten belüli tetszőleges információs rendszerhez való hozzáférés egységes szabályozása. </li></ul><ul><li>A szervezeti és személyi változások hatékony követése. </li></ul><ul><li>Hatékony és biztonságos együttműködés más szervezetekkel. </li></ul>
  4. 4. IdM fő területei <ul><li>Digitális személyazonosság-kezelés és azonosítás: </li></ul><ul><ul><li>hogy azonosítjuk?, milyen attribútumai vannak?, ki milyen attribútumokhoz férhet hozzá?, SSO </li></ul></ul><ul><li>Jogosultság-kezelés: </li></ul><ul><ul><li>kinek mihez van milyen joga? </li></ul></ul><ul><li>Felhasználó életciklusának kezelése: </li></ul><ul><ul><li>belép, elmegy, munkakört vált, szervezet változik, folyamatok változnak stb. </li></ul></ul>
  5. 5. IdM fő területei <ul><li>Audit, Accounting: </li></ul><ul><ul><li>ki mit csinált mikor? </li></ul></ul><ul><li>Federáció: </li></ul><ul><ul><li>bizalom alapú kapcsolat önálló szervezeti egyégek között </li></ul></ul><ul><li>Önkiszolgálás – self-service: </li></ul><ul><ul><li>jelszóújítás és -emlékeztető, bizonyos attribútumok szerkesztése (profil) </li></ul></ul>
  6. 6. Single Sign On <ul><li>Kedetben vala az LDAP/Directory: egy felhasználónév és jelszó mindenhova. De miért kell ezt mindig bepötyögni? </li></ul><ul><li>IdP: Identity Provider </li></ul><ul><ul><li>ahol azonosítjuk magunkat és aki az attribútumainkat birtokolja </li></ul></ul><ul><li>RP/SP: Relaying Party, Service Provider </li></ul><ul><ul><li>akinek szüksége van az azonosításra </li></ul></ul><ul><li>SSO Protokollok: Az IdP és RP közötti kommunikáció </li></ul>
  7. 7. F(e)öderáció <ul><li>Független szervezetek (security domains) közötti biztonságos azonosság-csere </li></ul><ul><li>Nincs szükség redundáns felhasználói adatok felvételére. </li></ul><ul><li>Bizalom alapú (praktice X509 cert csere) </li></ul><ul><li>Jogi keretrendszer is szükséges hozzá. </li></ul><ul><li>Technológia már rendelkezésre áll, csak használni kell! </li></ul>
  8. 8. <ul><li>IdP </li></ul><ul><li>RP </li></ul><ul><li>token </li></ul><ul><li>token </li></ul>
  9. 9. SAML <ul><li>Security Assertion Markap Language </li></ul><ul><li>Igazolások (assertion) leírásának nyelve </li></ul><ul><ul><li>kire vonatkozik?, kinek szól?, meddig érvényes?, attribútumok </li></ul></ul><ul><li>IdP és RP közötti protokoll-profilok </li></ul><ul><ul><li>pl.: WebSSO </li></ul></ul><ul><li>Bindings: hogyan kell SAML igazolást küldeni pl. SOAP üzenetben </li></ul><ul><li>Metadata: az IdP és RP leírása XML-ben </li></ul><ul><li>Profilok: az elfogadott attribútumok specifikációja </li></ul>
  10. 10. WS-* <ul><li>WS-Policy: kommuniáció előfeltételeinek meghatározása (algoritmus, elvárt tokenváltozat stb.) </li></ul><ul><li>WS-Trust: fő komponense az STS (Security Token Service) – általános keret (Username, Kerberos, X509, stb.) tokenek biztonságos továbbítására </li></ul><ul><li>WS-Federation: AuthN, AuthZ, Attribútum, Pseudonym szolgáltatások integrációja WS-Trust alapon </li></ul>
  11. 11. Felhasználóközpontú IdM <ul><li>Felhasználó dönt, milyen információt ad ki magáról kinek </li></ul><ul><li>Csak azt az információt kell kiadni, ami feltetlenül szükséges a szolgáltatás igénybevételéhez. </li></ul><ul><li>A felhasználó dönt, hogy milyen harmadik szervet von be a műveletekbe (pl.: IdP). </li></ul><ul><li>Pseudonymity </li></ul><ul><li>Független a technológiától és annak üzemeltetőjétől </li></ul><ul><li>Adathalászat ellenes (Anti-phishing) </li></ul><ul><li>Minden körülmények között hasonló élményt nyújtson a felhasználónak. </li></ul>
  12. 13. OpenID <ul><li>Azonosító: URL (https://szferi.myopenid.com) </li></ul><ul><li>Az azonosítás nem automatikus, azt minden esetben SP oldalról kezdeményezni kell. </li></ul><ul><li>Nincs bizalmi viszony az IdP és SP között. </li></ul><ul><li>Attribútumcsere szabványos 2.0 óta. </li></ul><ul><li>Nagy szolgáltatók támogatják: AOL, Yahoo, Google, MS, stb. </li></ul><ul><li>Független IdP-k pl.: myopenid.com </li></ul><ul><li>OpenID IdP-k integrációs pontok más technológiákkal. </li></ul><ul><li>Rengeteg probléma vár megoldásra pl.: phishing </li></ul>
  13. 14. iName/XRI/XDI <ul><li>XRI (eXtensible Resource Identifier): Dolgok (ember, szervezet, stb.) elnevezésének módja A IP cím <> DNS összekapcsolást általánosítja. </li></ul><ul><li>XDI (XDI Data Interchange): két XRI név közötti állandóan engedélyezett kapcsolat leírása </li></ul><ul><li>XRD: eXtensible Resource Description </li></ul><ul><li>OASIS standard </li></ul><ul><li>=Mary.Jones </li></ul><ul><li>+phone.number/(+area.code) </li></ul><ul><li>@Jones.and.Company/((+phone.number)/(+area.code)) </li></ul>
  14. 15. XRD példa <ul><li><xrds:XRDS </li></ul><ul><li>xmlns:xrds=&quot;xri://$xrds&quot; </li></ul><ul><li>xmlns:openid=&quot;http://openid.net/xmlns/1.0&quot; </li></ul><ul><li>xmlns=&quot;xri://$xrd*($v*2.0)&quot;> </li></ul><ul><li><XRD> </li></ul><ul><li><Service priority=&quot;0&quot;> </li></ul><ul><li><Type>http://specs.openid.net/auth/2.0/signon</Type> </li></ul><ul><li><Type>http://openid.net/sreg/1.0</Type> </li></ul><ul><li><Type>http://openid.net/extensions/sreg/1.1</Type> </li></ul><ul><li><Type>http://schemas.openid.net/pape/policies/2007/06/phishing-resistant</ </li></ul><ul><li>Type> </li></ul><ul><li><Type>http://openid.net/srv/ax/1.0</Type> </li></ul><ul><li><URI>https://www.myopenid.com/server</URI> </li></ul><ul><li><LocalID>https://szferi.myopenid.com/</LocalID> </li></ul><ul><li></Service> </li></ul><ul><li></XRD> </li></ul><ul><li></xrds> </li></ul>
  15. 16. Yadis <ul><li>Hogyan találjuk meg a jó IdP-t? </li></ul><ul><li>URI/XRI alapú IdP-felfedezési protokoll </li></ul><ul><li>Elfogadott azonosító formátumok: OpenID URL, XRI, LID, Sxip ID </li></ul><ul><li>X-XRDS-Location: https://szferi.myopenid.com/xrds </li></ul>
  16. 17. InfoCard/CardSpace <ul><li>Felejtsük el végre a jelszót! </li></ul><ul><li>A valós személyazonosító kártyákat mintázza. </li></ul><ul><li>Minden kártyának globális egyedi azonosítója van. </li></ul><ul><li>Saját kibocsátású (Self-issued) és IdP által kibocsátott kártyákat is kezel. </li></ul><ul><li>WS-* protokollokra és SAML igazolásokra épül. </li></ul>
  17. 18. Hova tovább, hovatovább? <ul><li>Konszolidáció </li></ul><ul><ul><li>az elburjánzó felhasználói azonosítók felszámolása, egységesítése </li></ul></ul><ul><ul><li>központosított felhasználó életciklus-kezelés </li></ul></ul><ul><li>Adaptáció </li></ul><ul><ul><li>azonosítási eljárás kiválasztása (nem fejlesztünk sajátot!) </li></ul></ul><ul><ul><li>IdP telepítése </li></ul></ul><ul><li>Integráció, együttműködés </li></ul><ul><ul><li>technológiák között </li></ul></ul><ul><ul><li>kivel akarsz federációba lépni, miért, hogyan? </li></ul></ul><ul><li>Tréning, felhasználó-támogatás, dokumentáció </li></ul>

×