ADFS 2.0 ja Shibboleth IdP ja SP Haka- ja Virtu -seminaari 9.2.2011 Jukka Lauhia Suomalainen tietoturvaan erikoistunut konsulttiyritys Tehokasta tietoturvaa älykkäästi Tietoturvan erikoisosaamisemme: • Tehokas tietojärjestelmien pääsynhallinta • Helppo käyttäjätietojen hallinta • Turvallinen kumppaniverkostojen hallinta • Älykäs tietoturvariskien hallinta • Säädösten mukainen tietoturva • Kattava tietoverkkojen tietoturva Palvelumme: • Konsultointi • IT-hanke- ja -projektijohtaminen • Valmisohjelmistot • Koulutus ja tekninen tuki • IAM-ulkoistus Perustettu: 2003 Liikevaihto: 5,4 M€ (2010) Henkilöstö: 28 Palvelee: suuria ja keskisuuria eri toimialojen asiakkaita ja julkishallinnon yksiköitä Trusteq on Suomen suurin käyttäjätietoturvan ja pääsynhallinnan osaamiskeskittymä )"!!!"#" ("!!!"#" '"!!!"#" &"!!!"#" %"!!!"#" $"!!!"#" !"#" %!!&" %!!'" %!!(" %!!)" %!!*" %!!+" %!!," %!$!" ADFS ja Shibboleth - termistöä ADFS Shibboleth Selitys Security Token Assertion Käyttäjää kuvaava pala XML:ää. Claims provider Identity Provider (IdP) Käyttäjätietojen lähde federaatiossa Relying Party Service Provider (SP) Palvelu federaatiossa, käyttäjätiedon kohde Claims Assertion Attributes Security tokenin sisältä löytyvä, käyttäjän jotain tietuetta kuvaava XMLpalanen Yhteensopivuus, ohjelmistot • ADFS2.0:lla pystyy liittymään Shibboleth 2 (SAML 2) federaatioon joko Identity Provider-roolissa tai Service Provider -roolissa • Windows Server 2008 R2 – Vanhemmissa versioissa ongelmia, ei voi suositella tuotantoon ilman pätsäämistä • IIS 6 + tarpeelliset moduulit – + Management compatibility role services (ohjelmointirajapinta AD:n kanssa jutteluun) • Shibbolethin uusin versio + Java > 1.5 Yhteensopivuus, konfiguraatiot • Verkkoyhteydet ja DNS • Kellojen synkronointi • SSL ja sertifikaatit – myös Windowsin pitää luottaa federaation sertifikaatteihin (ADFS on käyttöjärjestelmän palvelu!) • (funet)EduPerson – skeema ei ole AD:n tukema, (oletusarvoisesti) joten fEP-attribuutit pitää luoda muuntamalla ne ADFS 2.0 Custom Rule Languagesäännöillä Yhteensopivuus, attribuutit • Shibbolethin vastaanottamien ja ADFS 2.0:n julkaisemien attribuuttien oletusarvoinen nimeämisformaatti on eri: – Shibboleth: • urn:oasis:names:tc:SAML:2.0:attrname-format:uri – ADFS: • urn:oasis:names:tc:SAML:2.0:attrnameformat:unspecified • ADFS tarjoaa hyvät perustyökalut muunnosten tekemiseen. (Ei tarvitse ohjelmoida) Yhteensopivuus, federaation metatiedot • ADFS 2.0 IdP ei julkaise metadatassaan scopea • Tämä tuki on Shibbolethissä käytössä oletusarvoisesti ja sitä käytetään valtuutuksessa (esim. Verrataan, että user.name@scope :ssa scope vastaa IDP:n scopea) • ADFS IdP:n generoimaa metadatakuvausta itsestään ei voi muuttaa, joten ADFS:n metadataa joudutaan muokkaamaan scopen osalta käsin. Windows-sovellukset ja valtuustiedot • Unixeissa Shibbolethin kuljettamat valtuustiedot viedään Service Providerin sovellukselle (tyypillisesti) ympäristömuuttujissa. • Windowsissa voi tehdä samoin, mutta Windows Identity Foundation (WIF) on todella vahva työkalu. • WIF:llä koko käyttövaltuutuksen logiikan voi käsitellä sovelluksen ulkopuolella, ts. Esim. Kaikki työaseman sovellukset voivat ymmärtää samaa kirjautumista • Käytännössä siis ADFS2.0 ja WIF mahdollistaa federaation kautta tapahtuvan kirjautumisen Windowstoimialueeseen (ei enää vain web-sovelluksiin). Kysymyksiä ? Jukka Lauhia, Trusteq Oy jukka.lauhia@trusteq.com 050-62301
© Copyright 2024