27/7/2011 SURFfederatie Een overzicht
(C) 2008 SURFnet B.V.1 Overzicht 1.SURFnet 2.Authenticatie, Autorisatie 3.Federaties 4.SURFfederatie 5.Diensten 6.Samenvatting/Vragen
(C) 2008 SURFnet B.V.2 SURFnet -National Research and Education Network (NREN) -ISP, innovatie centrum, service provider -Hoger onderwijs en onderzoek -> 160 instellingen -> studenten en medewerkers -Focus: van netwerk naar middleware en diensten infrastructuur -Federatief IdM/SURFfederatie als speerpunt voor Samenwerking met andere NRENs, TERENA, europsese projecten (GEANT2)
(C) 2008 SURFnet B.V.3 Authenticatie en Autorisatie Infrastructuren (AAI) -Authenticatie -“wie ben je” - bewijs wie je bent: ja/nee -Autorisatie -“wat mag je” - gebruikerskenmerken: attributen -Single Login -Gebruik dezelfde credentials gebruik op meerdere plekken -Single-Signon (SSO) -= Single-Login + zonder opnieuw in te loggen -Provisioning -Geautomatiseerd account beheer/rechten toekennen (dienstaanbieder)
(C) 2008 SURFnet B.V.4 (AAI) Federaties -Algemeen: samenwerkingsverbanden -In deze context: AAI Federaties/federatief IdM -Inloggen/authenticeren/autoriseren met je instellingsaccount bij internet diensten -2 of 3 rollen: -Identity Provider (IDP): user accounts -Service Provider (SP): dienst/content -+ soms: centrale infrastructuur (CFC) -Voor SPs: -“out-sourcing” van AA op basis van “pre- established trust” -Voor IDPs: -“binnenshuis” authenticeren/autoriseren
(C) 2008 SURFnet B.V.5 SURFfederatie: history Studenten Chipcard: authenticatie A-Select: intra-organisatie web-SSO DigiD: overheids eID gebaseerd op A-Select Federatief AAI, A-Select (open source) FIdM dienst (gateway) in productie Elsevier, EBSCO, Google Apps
(C) 2008 SURFnet B.V.6 SURFfederatie (1) -Doel: het bevorderen van de samenwerking over instellingsgrenzen heen -AAI federatie voor de SURFnet community -Instellingen leveren identiteiten (IDP) en diensten (SP) -Externe partijen leveren diensten (SP) -inloggen (AA) met je instellingsaccount bij derden -je credentials verlaten de instelling niet -op een gestandaardiseerde manier autorisatie gegevens uitwisselen: attributen schema -Bijv: “sn”: achternaam, eduPersonAffiliation: rol
(C) 2008 SURFnet B.V.7 FederatiefExtern Lokaal Authenticatie -> FIdM DB HTTP LDAP SAML (HTTP) IDP DB IDP SP B BB HTTP
(C) 2008 SURFnet B.V.8 FIDM protocollen/produkten -Secure Assertion Markup Language (SAML) -SAML 1.x (geen SP-initiated) (OASIS) -IDFF 1.x (SP-initiated) (Liberty) -WS-Federation/ADFS 1.x/2.x (IBM/Microsoft) -SAML 2.0 (OASIS, Liberty) -A-Select cross protocol 1.4.2/1.5.x -geen LDAP/Radius => wel in backend -Producten oa: -HP/Oracle/Novell/IBM/Microsoft/… -Shibboleth/A-Select/SimpleSAMLphp -PingFederate (SURFnet)
(C) 2008 SURFnet B.V.9 Federatie Modellen Business VS: SAML 1.x -de-facto -NxN -Shared trust, pt2pt -Education VS/Europa -Shibboleth -2xN -Centrale gateway (CFC) -Nieuw(?) paradigma protocol translatie -SURFfederatie SURFnet = CFC, IDP, SP IDPSP IDPSP IDPSP IDPSP IDPSP IDPSP IDPSP CFC
(C) 2008 SURFnet B.V.10 SURFfederatie (2) -(A) een set met afspraken -Contracten, policies, attributen schema -(B) een technische infrastructuur -Centraal georganizeerd (!) -Technisch; dienstencontract=bilateraal -Focus op web-based Single-Signon -Browser applicaties/services -Toekomstige extensies mogelijk (Webservices, netwerk toegang) -SURFnet als Trusted Third Party / central authority -Protocol translatie (!!) -Gevolg: grootst gemene deler aan functionaliteit… (geen nadeel)
(C) 2008 SURFnet B.V.11 Functional View since 1 august 2008 Central Federation Components A-Select Cross Shibboleth SAML 2.0 WS-Fed / ADFS SAML 2.0 WS-Fed / ADFS Identity ProvidersService ProvidersSURFfederatie CORE Applications Credentials
(C) 2008 SURFnet B.V.12 Authenticatie Redirect Flow SPSFSIDP web service authentication backend browser request auth request SSO 1 request 2 SSO 2 request LDAP/Radius/.. access & attributes SSO 1 response 2 SSO 2 response auth response
(C) 2008 SURFnet B.V.13 Voordelen (1) - IDP -Hergebruik van authenticatie oplossing(en) -credentials + techniek, intern,instellingsspecifiek=>extern -Autorisatie/RBAC/ABAC -Fijnmaziger, correcter toegang verlenen -Security/controle/herleidbaarheid -gebruik credentials alleen *binnen* domein -Integratie: eigen systemen/IdM/rollen/rechten -Efficientie/kostenbesparing: infra, support, licenties (!) -Eenvoud: 1x technisch aansluiten voor meerdere diensten -Toekomstperspectieven: SAAS, online internet applicaties -Gebruikerservaring: betere service
(C) 2008 SURFnet B.V.14 Voordelen (2) - SP -Schaalbaarheid -User-account database, enrollment -Integriteit -Verificatie, synchronisatie, up-to-date -Autorisatie -Fijnmazig, correct, betere implementatie van licentie voorwaarden -Kostenbesparing -Infrastructuur en support (!) -Eenvoud -1x aansluiten voor meerdere IDPs (protocollen) -Efficientie -Sneller op de markt zetten door hergebruik
(C) 2008 SURFnet B.V.15 Voordelen (3) - Users -Privacy -Persoonlijke data op 1 plaats opgeslagen -Veiligheid -Contractuele afspraken tussen IDPs en SPs over gebruik van persoonsgegevens -Single-Login -Beperken digitale sleutelbos -> veiligheid -Single-Signon -1x inloggen: meerdere diensten benaderen
(C) 2008 SURFnet B.V.16 Diensten -SURFspot (SURFdiensten), ICT webwinkel -Dashboard/Rapportage/Demo (SURFnet) -ScienceDirect (Elsevier), wetenschappelijke artikelen -EBSCOhost (EBSCO), research database -EduPoort (EduPoort), educatieve content -PiCarta (OCLC Leiden), informatie/catalogi -Ellips (member RUG), oefenomgeving taalvaardigheid -ZOEP (RUG), video zoek engine -SURFmedia (SURFnet), video integratie project -Google Apps for Education (Google), web apps) -SURFconext
(C) 2008 SURFnet B.V.17 Aandachtspunten -kip/ei probleem (zien = geloven) -complexiteit protocollen/produkten tov. de gebruikte/benodigde functionaliteit -SAML 2.0 specifications ea. -schaalbaarheid van het centrale model -initieel zeer goed -implementatie bij IDP/SP -kennis en beschikbaarheid daarvan -processen/procedures -wijziging keys/URL/metadata -Web-based SSO -> web-services ++ features -protocol convergentie
(C) 2008 SURFnet B.V.18 Samenvatting -Service Providers (SP) in de SURFfederatie, bieden diensten aan aan Identity Providers (IDPs) uit de SURFnet doelgroep -Gebruikers worden geauthenticeerd/geautoriseerd met eigen credentials door IDPs -Technisch: 1x technisch aansluiten voor afname meerdere diensten en leveranciers -Contractueel: afname van individuele diensten bilateraal met SP, bijv. SURFdiensten -Verschillende producten/implementaties voor koppelen mogelijk
(C) 2008 SURFnet B.V.19 SURFfederatie Federatie Beheer PM • Eefje van der Harst • Sabita Behari TPM • Joost van Dijk • Pieter van der Meulen • Remco Poortinga – van Wijnen Contact
(C) 2008 SURFnet B.V.20 Vragen