27/7/2011 SURFfederatie Een overzicht. (C) 2008 SURFnet B.V.1 Overzicht 1.SURFnet 2.Authenticatie, Autorisatie 3.Federaties 4.SURFfederatie 5.Diensten.

Slides:



Advertisements
Verwante presentaties
Multi-factor authenticatie voor cloudapplicaties via surfconext
Advertisements

#Exactlive12 / #livesessie8 Wel of niet naar de cloud?
De zin en onzin van escrow
Haalbaarheidsstudie dienst virtuele applicaties 19 januari Workshop saMBO-ICT ConferentieBregtje Visser, projectleidster Remco Rutten, account adviseur.
Onderwerpen Oude situatie Eerste aanpak en problemen
Toegang en identiteitsmanagement
De toekomst van de betaalinstrumenten
Aansluiting van het Hoger Onderwijs bij MedischOnderwijs.nl 2 november 2007 Aansluiting van het Hoger Onderwijs bij MedischOnderwijs.nl P.M.Bloemendaal.
Server Management Framework
Organisatie en sourcing van de DLWO Jacco Jasperse Informatie- en procesmanager Manager Dienst Informatievoorziening en Automatisering.
Mailoplossingen voor het onderwijs
Metasearch wat is het probleem bij de oplossing? welke oplossing bij welk probleem?
Een introductie. Open source Betere kwaliteit Hoge innovatiesnelheid Betere prijs/kwaliteit verhouding Vrijheid in keuze van leverancier Gedreven door.
GigaPortGigaPort Klaas Wierenga 14 Maart 2001.
EduRoam en beveiliging
Hoogwaardig internet voor hoger onderwijs en onderzoek Utrecht, 29 maart 2006 nieuwe technische ontwikkelingen m.b.t. eduroam eduroam voorwaarts! Paul.
State-of-the-Art beveiliging met Windows Identity Foundation
Programma ULCN-3 Drs. Patrick Klaassen Programma Manager ULCN-3.
The vision at work Batteries included Ervaringen van een ISV op hosting avontuur Sven Middelkoop Corporate ICT Manager Exact Holding N.V.
27 januari 2011.
Databases I (H. 1) Wiebren de Jonge Vrije Universiteit, Amsterdam Voorlopige versie 2003.
1 OMI Technisch ontwerp. 2 Technisch ontwerp ‘content’ Veel breder dan business portals (Carlson) Verschillende aspecten / aandachtspunten:
Wouter Jansweijer, 16 September, Literatuur zoeken Project informatiewetenschappen october 2002.
De SURF familie De samenwerkingsorganisatie De intermediair tussen
Breedband in het OV: architectuur 11 Mei 2005 GVB, Amsterdam.
Eduroam BELnet bezoek, 18 juli 2005
SURFnet en IEEE 802.1X Amsterdam, 8&9 Mei 2003.
Hoogwaardig internet voor hoger onderwijs en onderzoek Federatieve netwerk toegang: eduroam Federatiedagen, Utrecht, 29 Maart 2006
Hoogwaardig internet voor hoger onderwijs en onderzoek eduroam BELNET, Brussel, 29 September 2005
SURFnet Relatiedagen, Noordwijkerhout, 30 mei 2006 Altijd en overal online iPass Klaas Wierenga
SURFnet en draadloze technologie SURFnet Relatiedagen, 8 December 2004
SURFnet introductie, 1 juni 2005
CvDUR/COMIT WLAN en samenwerking CvDUR/COMIT
Universele toegang: over federaties
EduRoam SEC seminar, 22 februari 2005
Hoogwaardig internet voor hoger onderwijs en onderzoek Utrecht, 27 oktober 2005 Wireless LAN beveiliging Paul Dekkers.
Your GateWay to the Finest Academic Research papers in the Netherlands Technische aspecten: de ARNO archive server Thomas Place KUB.
M A K E Y O U R N E T W O R K S M A R T E R July, Middag programma.
Service Oriented Architecture
Service Oriented Architecture
Minicollege Service Oriented Architecture
OneAccess. Wat is OneAccess? Sterke toegang authenticatie Single Sign-on oplossing Eenduidige totaal oplossing.
Open Standaarden in het onderwijs Holland Open Netwerk Borrel 19 december 2006 Jan Kees Meindersma
Naam van de Auteur 7 januari 2008 Kennisnet Videodienstverlening Open source, open content Pieter Varekamp November 2008.
3D Topografie bij Rijkswaterstaat Paul van Asperen (RWS-AGI) Louise de Jong (RWS-AGI) Edward Verbree (TU Delft) Jeroen van Winden (ESRI NL) GIN studiedag.
Technische Architectuur
Student Advantage SLBdiensten & APS IT-diensten Charles Stork
Inrichten van een dienst Weblectures
STERKE AUTHENTICATIE VOOR CLOUDAPPLICATIES VIA SURFCONEXT Business model SuaaS Eefje van der Harst – Productmanager SURFconext.
Beveiligingsaspecten van draadloze hotspots Toepassing van 802.1x met FreeRADIUS Steven Wittevrouw Bachelor Elektronica - ICT 3ICT
Govroam Presentatie tijdens DSA-bijeenkomst over Public WiFi 3 juni 2014, door Paul Francissen.
Sterke authenticatie via SURFconext Eefje van der Harst 24 maart 2015.
SURFconext & autorisatie
Groepen voor internationale samenwerking Bas Zoetekouw What’s next at SURFconext? 24 maart 2015.
Resultaten en Roadmap SURFconext
Kennisnet – Copacabana Van Dienst naar Service.
©2016 Avanade Inc. All Rights Reserved. RAI Community Technische Implementatie Rob Bakkers
Informatiseringscentrum Marijke Vandecappelle Tormo van Schuppen 5 december 2012 UvA IDM in 15 minuten.
In het hoger onderwijs Identity Management. partner in IGI Group Peter Jurg.
EHerkenning en Federatie Menno Gresnigt (GCOS) 28 november 2011 Stand van zaken toegang tot GCOS.
SSO demo Peter Mesker. Imprivata OneSign Platform A Converged Identity and Access Management platform that enforces secure and compliant employee access.
Ministerie van BZK – 3 november 2016
Office365 & SURFconext.
Het eHealth-platform ICT InfoDay 2 maart 2011
Identication & Authentication
Office365 & SURFconext.
The Hybrid Workspace Gino van Essen Technical Consultant.
BDL Implementatie keten wijzigingen 2017
GEU – PO - ENTREE Edu-K H-P Köhler, domeinmanager.
Case: Nieuwe website Anne Heining (M&C
Transcript van de presentatie:

27/7/2011 SURFfederatie Een overzicht

(C) 2008 SURFnet B.V.1 Overzicht 1.SURFnet 2.Authenticatie, Autorisatie 3.Federaties 4.SURFfederatie 5.Diensten 6.Samenvatting/Vragen

(C) 2008 SURFnet B.V.2 SURFnet -National Research and Education Network (NREN) -ISP, innovatie centrum, service provider -Hoger onderwijs en onderzoek -> 160 instellingen -> studenten en medewerkers -Focus: van netwerk naar middleware en diensten infrastructuur -Federatief IdM/SURFfederatie als speerpunt voor Samenwerking met andere NRENs, TERENA, europsese projecten (GEANT2)

(C) 2008 SURFnet B.V.3 Authenticatie en Autorisatie Infrastructuren (AAI) -Authenticatie -“wie ben je” - bewijs wie je bent: ja/nee -Autorisatie -“wat mag je” - gebruikerskenmerken: attributen -Single Login -Gebruik dezelfde credentials gebruik op meerdere plekken -Single-Signon (SSO) -= Single-Login + zonder opnieuw in te loggen -Provisioning -Geautomatiseerd account beheer/rechten toekennen (dienstaanbieder)

(C) 2008 SURFnet B.V.4 (AAI) Federaties -Algemeen: samenwerkingsverbanden -In deze context: AAI Federaties/federatief IdM -Inloggen/authenticeren/autoriseren met je instellingsaccount bij internet diensten -2 of 3 rollen: -Identity Provider (IDP): user accounts -Service Provider (SP): dienst/content -+ soms: centrale infrastructuur (CFC) -Voor SPs: -“out-sourcing” van AA op basis van “pre- established trust” -Voor IDPs: -“binnenshuis” authenticeren/autoriseren

(C) 2008 SURFnet B.V.5 SURFfederatie: history Studenten Chipcard: authenticatie A-Select: intra-organisatie web-SSO DigiD: overheids eID gebaseerd op A-Select Federatief AAI, A-Select (open source) FIdM dienst (gateway) in productie Elsevier, EBSCO, Google Apps

(C) 2008 SURFnet B.V.6 SURFfederatie (1) -Doel: het bevorderen van de samenwerking over instellingsgrenzen heen -AAI federatie voor de SURFnet community -Instellingen leveren identiteiten (IDP) en diensten (SP) -Externe partijen leveren diensten (SP) -inloggen (AA) met je instellingsaccount bij derden -je credentials verlaten de instelling niet -op een gestandaardiseerde manier autorisatie gegevens uitwisselen: attributen schema -Bijv: “sn”: achternaam, eduPersonAffiliation: rol

(C) 2008 SURFnet B.V.7 FederatiefExtern Lokaal Authenticatie -> FIdM DB HTTP LDAP SAML (HTTP) IDP DB IDP SP B BB HTTP

(C) 2008 SURFnet B.V.8 FIDM protocollen/produkten -Secure Assertion Markup Language (SAML) -SAML 1.x (geen SP-initiated) (OASIS) -IDFF 1.x (SP-initiated) (Liberty) -WS-Federation/ADFS 1.x/2.x (IBM/Microsoft) -SAML 2.0 (OASIS, Liberty) -A-Select cross protocol 1.4.2/1.5.x -geen LDAP/Radius => wel in backend -Producten oa: -HP/Oracle/Novell/IBM/Microsoft/… -Shibboleth/A-Select/SimpleSAMLphp -PingFederate (SURFnet)

(C) 2008 SURFnet B.V.9 Federatie Modellen Business VS: SAML 1.x -de-facto -NxN -Shared trust, pt2pt -Education VS/Europa -Shibboleth -2xN -Centrale gateway (CFC) -Nieuw(?) paradigma protocol translatie -SURFfederatie SURFnet = CFC, IDP, SP IDPSP IDPSP IDPSP IDPSP IDPSP IDPSP IDPSP CFC

(C) 2008 SURFnet B.V.10 SURFfederatie (2) -(A) een set met afspraken -Contracten, policies, attributen schema -(B) een technische infrastructuur -Centraal georganizeerd (!) -Technisch; dienstencontract=bilateraal -Focus op web-based Single-Signon -Browser applicaties/services -Toekomstige extensies mogelijk (Webservices, netwerk toegang) -SURFnet als Trusted Third Party / central authority -Protocol translatie (!!) -Gevolg: grootst gemene deler aan functionaliteit… (geen nadeel)

(C) 2008 SURFnet B.V.11 Functional View since 1 august 2008 Central Federation Components A-Select Cross Shibboleth SAML 2.0 WS-Fed / ADFS SAML 2.0 WS-Fed / ADFS Identity ProvidersService ProvidersSURFfederatie CORE Applications Credentials

(C) 2008 SURFnet B.V.12 Authenticatie Redirect Flow SPSFSIDP web service authentication backend browser request auth request SSO 1 request 2 SSO 2 request LDAP/Radius/.. access & attributes SSO 1 response 2 SSO 2 response auth response

(C) 2008 SURFnet B.V.13 Voordelen (1) - IDP -Hergebruik van authenticatie oplossing(en) -credentials + techniek, intern,instellingsspecifiek=>extern -Autorisatie/RBAC/ABAC -Fijnmaziger, correcter toegang verlenen -Security/controle/herleidbaarheid -gebruik credentials alleen *binnen* domein -Integratie: eigen systemen/IdM/rollen/rechten -Efficientie/kostenbesparing: infra, support, licenties (!) -Eenvoud: 1x technisch aansluiten voor meerdere diensten -Toekomstperspectieven: SAAS, online internet applicaties -Gebruikerservaring: betere service

(C) 2008 SURFnet B.V.14 Voordelen (2) - SP -Schaalbaarheid -User-account database, enrollment -Integriteit -Verificatie, synchronisatie, up-to-date -Autorisatie -Fijnmazig, correct, betere implementatie van licentie voorwaarden -Kostenbesparing -Infrastructuur en support (!) -Eenvoud -1x aansluiten voor meerdere IDPs (protocollen) -Efficientie -Sneller op de markt zetten door hergebruik

(C) 2008 SURFnet B.V.15 Voordelen (3) - Users -Privacy -Persoonlijke data op 1 plaats opgeslagen -Veiligheid -Contractuele afspraken tussen IDPs en SPs over gebruik van persoonsgegevens -Single-Login -Beperken digitale sleutelbos -> veiligheid -Single-Signon -1x inloggen: meerdere diensten benaderen

(C) 2008 SURFnet B.V.16 Diensten -SURFspot (SURFdiensten), ICT webwinkel -Dashboard/Rapportage/Demo (SURFnet) -ScienceDirect (Elsevier), wetenschappelijke artikelen -EBSCOhost (EBSCO), research database -EduPoort (EduPoort), educatieve content -PiCarta (OCLC Leiden), informatie/catalogi -Ellips (member RUG), oefenomgeving taalvaardigheid -ZOEP (RUG), video zoek engine -SURFmedia (SURFnet), video integratie project -Google Apps for Education (Google), web apps) -SURFconext

(C) 2008 SURFnet B.V.17 Aandachtspunten -kip/ei probleem (zien = geloven) -complexiteit protocollen/produkten tov. de gebruikte/benodigde functionaliteit -SAML 2.0 specifications ea. -schaalbaarheid van het centrale model -initieel zeer goed -implementatie bij IDP/SP -kennis en beschikbaarheid daarvan -processen/procedures -wijziging keys/URL/metadata -Web-based SSO -> web-services ++ features -protocol convergentie

(C) 2008 SURFnet B.V.18 Samenvatting -Service Providers (SP) in de SURFfederatie, bieden diensten aan aan Identity Providers (IDPs) uit de SURFnet doelgroep -Gebruikers worden geauthenticeerd/geautoriseerd met eigen credentials door IDPs -Technisch: 1x technisch aansluiten voor afname meerdere diensten en leveranciers -Contractueel: afname van individuele diensten bilateraal met SP, bijv. SURFdiensten -Verschillende producten/implementaties voor koppelen mogelijk

(C) 2008 SURFnet B.V.19 SURFfederatie Federatie Beheer PM • Eefje van der Harst • Sabita Behari TPM • Joost van Dijk • Pieter van der Meulen • Remco Poortinga – van Wijnen Contact

(C) 2008 SURFnet B.V.20 Vragen