Federated Authentication Benchmarking Framework 18/04/2017 Federated Authentication Benchmarking Framework Tom Dierckx en Ward Gubbi 15 juni 2015 Wij gaan het hebben over de FAB ook wel Federated Authentication Benchmarking Framework
18/04/2017 http://bit.do/FABF Tom
Inhoud IS4U Inleiding Opdracht Authenticatie Modules Data Monitoring 18/04/2017 Inhoud IS4U Inleiding Opdracht Authenticatie Modules Gebruikersnaam & Wachtwoord SAML 2.0 OAuth 2.0 eID Data Monitoring Demo
IS4U Identity & Access Management Competence Center Focust op 18/04/2017 IS4U Identity & Access Management Competence Center Focust op Identity Management Access Management Security Problematiek (Penetration Testing) Certificaten CISSP CEH GPEN WARD IS4U is het Identity en Access Management competence center binnen de Cronos Group. Het is een groeiende groep die zich focust op Identity & Access Management, en security problematiek. Hieronder verstaan we alles wat Identity en Access management aanbelangt, maar ook penetration testing. Alle mensen binnen IS4U zijn in het bezit van relevante certificaten (CISSP, CEH, ECSA/LPT, GPEN, product certificaten) waardoor ze alle problemen in het domein op kunnen lossen en nieuwe evoluties en producten op de markt snel in zich op kunnen nemen. Certified Information Systems Security Professional ethiek van ISC² Certified Ethical Hacker Certified Security Analyist Giac Penetration Testing GIAC Exploit Researcher and Advanced Penetration Tester Klanten die een IAM project voor de boeg hebben kunnen bij IS4U terecht voor het volledige traject.
18/04/2017 IS4U IS4U heeft voor al deze klanten voor een implementatie of security oplossing gezorgd. IS4U maakt integraal deel uit van de Cronos Groep.
Inhoud IS4U Inleiding Opdracht Authenticatie Modules Data Monitoring 18/04/2017 Inhoud IS4U Inleiding Opdracht Authenticatie Modules Gebruikersnaam & Wachtwoord SAML 2.0 OAuth 2.0 eID Data Monitoring Demo WARD
Inleiding Access Management Federated Identificatie Toegang resources 18/04/2017 Inleiding Access Management Identificatie Toegang resources Cloud Federated Wat houd Access management eigenlijk in Identificatie + toegang tot resources Federated: gebruik maken van 1 enkel digitaal account op verschillende
Inleiding Meerdere authenticatie standaarden 18/04/2017 Inleiding Meerdere authenticatie standaarden Meerdere configuraties per standaard Performantie opmeten moeilijk Men ziet de bomen niet door het bos Nood aan een oplossing TOM Authenticatie uitleggen
Inhoud IS4U Inleiding Opdracht Authenticatie Modules Data Monitoring 18/04/2017 Inhoud IS4U Inleiding Opdracht Authenticatie Modules Gebruikersnaam & Wachtwoord SAML 2.0 OAuth 2.0 eID Data Monitoring Demo
Opdracht Basisfunctionaliteit Uitvoeren authenticaties 18/04/2017 Opdracht Basisfunctionaliteit Uitvoeren authenticaties Benchmarken authenticaties Statistieken weergeven Uitbreidingen Uitwerking meerdere configuraties WARD Basis opdrachtbeschrijving Schrijven van een framework met een aantal basisfunctionaliteiten. Het moet een aantal volledige authenticaties succesvol kunnen voltooien. Hierbovenop moet men ook load kunnen testen door een groter aantal requests parallel te laten gebeuren. En uiteraard een duidelijke representatie te geven van data om makkelijker conclusies te trekken. Later toegevoegde uitbreidingen Testen op meerdere bindings bij authenticatie met gebruik van SAML 2.0 Het beëindigen van een sessie is ook toegevoegd bij onder andere SAML 2.0
Opdracht Testomgeving: CentOS Framework Update Apache Tomcat 18/04/2017 Opdracht Testomgeving: CentOS Framework Update Apache Tomcat Applicatie: Java GUI OpenAM SAML 2.0 Modules OAuth 2.0 SAML 2.0 eID OAuth 2.0 User/Pass eID WARD Framework is geschreven in java => platform onafhankelijk We draaien 2 servers in VM. Deze maakte de simulatie van het hebben van 2 verschillende IdP en SP beter. Op elke server hebben wij een OpenAM instantie draaien. User/Pass Monitoring
Inhoud IS4U Inleiding Opdracht Authenticatie Modules Data Monitoring 18/04/2017 Inhoud IS4U Inleiding Opdracht Authenticatie Modules Gebruikersnaam & Wachtwoord SAML 2.0 OAuth 2.0 eID Data Monitoring Demo Bespreking verschillende modules
Gebruikersnaam & Wachtwoord 18/04/2017 Gebruikersnaam & Wachtwoord HTTP-POST Gebruikersnaam Wachtwoord Extra elementen Volg redirect WARD De gebruiker wenst toegang tot een resource, dient zich eerst aan te melden. Doet een HTTP POST met de user credentials en mogelijke extra elementen die aanwezig zijn op de pagina. Eenmaal aangemeld wordt de resource weergegeven. Niet meer, niet minder Performant door korte procedure
Inhoud IS4U Inleiding Opdracht Authenticatie Modules Data Monitoring 18/04/2017 Inhoud IS4U Inleiding Opdracht Authenticatie Modules Gebruikersnaam & Wachtwoord SAML 2.0 OAuth 2.0 eID Data Monitoring Demo Bespreking verschillende modulles
SAML 2.0 Corporate Network Cloud Application ( Service Provider ) Identity provider Identity Provider User Corporate Network
SAML 2.0 Service Provider: De Morgen Identity Provider: Media ID 18/04/2017 SAML 2.0 WARD Security Assertion Markup Language Bij SAML 2.0 spreken we over een Service Provider en een Identity Provider. We willen aanmelden bij Sevice Provider De Morgen, maar we willen geen nieuwe account aanmaken. Gelukkige hebben zij de mogelijkheid om dit te doen via Media ID een SAML 2.0 Identity Provider. Daar hebben we een account, dus loggen we daar mee in. Eenmaal aangemeld zullen zij relevante data doorsturen naar De Morgen, zoals bijvoorbeeld mijn naam. Zonder extra informatie te moeten geven aan De Morgen weten ze toch wie ik ben, maar m’n gebruikersnaam en wachtwoord kennen ze niet. Service Provider: De Morgen Identity Provider: Media ID
SAML 2.0 Corporate Network 18/04/2017 Cloud Application ( Service Provider ) Identity provider Identity Provider User Corporate Network Wat we extra hebben toegevoegd bij SAML zijn de bindings. Kort uitgelegd: de verschillende manieren waarop de SAML Assertions uitgewisseld kunnen worden tussen Service- en Identity Provider.
18/04/2017 SAML 2.0 WARD SAML 2.0 is vooral achter de schermen geïmplementeerd bij verscheidene diensten. Enkele diensten, zoals een MediaID zijn specifiek consument gericht. De meesten zijn echter bedoeld voor op de werkvloer.
Inhoud IS4U Inleiding Opdracht Authenticatie Modules Data Monitoring 18/04/2017 Inhoud IS4U Inleiding Opdracht Authenticatie Modules Gebruikersnaam & Wachtwoord SAML 2.0 OAuth 2.0 eID Data Monitoring Demo Bespreking verschillende modulles
18/04/2017 OAuth 2.0 Tom
OAuth 2.0 Client: Candy Crush 18/04/2017 OAuth 2.0 TOM Bij OAuth 2.0 spreken we over een Client, een Resource Owner, een Authorization server en een Resource Server. We willen gebruik maken van de Candy Crush Saga app, de client. Om het spel beter te kunnen spelen, willen zij onze gegevens van Facebook. De resource owner, ik, moet zijn akkoord geven om bepaalde data over te dragen. Eens ik mijn akkoord geef zal de Authorization Server, Facebook, een Authorization Token opzetten. Met die token kan Client Candy Crush de data ophalen bij de Resource Server, in dit geval ook Facebook. Client: Candy Crush Authorization- & Resource Server: Facebook
18/04/2017 OAuth 2.0 TOM OAuth 2.0 heeft een groot draagvlak bij internetbedrijven. Zij waren ook een grote vragende partij en ondersteunen het project dus ook sterk.
Gegevens in SAML Assertion 18/04/2017 SAML 2.0 vs OAuth 2.0 SAML 2.0 OAuth 2.0 SSO Autorisatie Enterprise Internet & API Gegevens in SAML Assertion Toegang tot gegevens via Access Token Kort enkele van de belangrijkste verschillen tussen SAML 2.0 en OAuth 2.0
Inhoud IS4U Inleiding Opdracht Authenticatie Modules Data Monitoring 18/04/2017 Inhoud IS4U Inleiding Opdracht Authenticatie Modules Gebruikersnaam & Wachtwoord SAML 2.0 OAuth 2.0 eID Data Monitoring Demo TOM Bespreking verschillende modulles
eID 2 WAY ssl authentication Testomgeving Client 18/04/2017 eID 2 WAY ssl authentication Testomgeving Certificaat voor verbinding Authenticatie via eID Truststore Belgium Root CA Client Truststore certificaat van server Keystore eID TOM Beveiligde HTTPS verbinding tussen server client met in ons geval selfsigned certificaten Authenticatie gebeurd door de keystore op client side te laden vanuit de eID. De truststore op client side is het selfsigned certificaat van de server.
Client Server Request Protected Resource Keystore Keystore Truststore 18/04/2017 Client Server Request Protected Resource Keystore Truststore Keystore Truststore TOM
Inhoud IS4U Inleiding Opdracht Authenticatie Modules Data Monitoring Gebruikersnaam & Wachtwoord SAML 2.0 OAuth 2.0 eID Data Monitoring Demo
Data monitoring Log files JSON Elasticsearch Logstash Kibana 18/04/2017 Data monitoring Log files JSON Elasticsearch Logstash Kibana TOM Data over authenticatie loggen en duidelijk weergeven aan de user. Gebruik maken van standaard logfiles in JSON formaat. Deze zijn opgebouwd doormiddel van log4j Deze worden in onze omgeving door logstash uitgelezen aan elasticsearch doorgegeven. Hieruit kunnen we met Kibana een duidelijk overzicht geven. Logging data: tijd voor voltooing + Succes fail van authenticatie De data die we nu loggen is de tijd per authenticatie om te voltooien in het message field. En of deze succesvol verlopen is of niet.
Kibana Dashboard 18/04/2017 Tom uitleg over hoe fancy Voorlopige uitslagen van de authenticaties => eID eruit gelaten omdat de gebruikershandelingen pin code er niet uitgeknipt kon worden
Kibana Dashboard 18/04/2017 TOM Ook nog mogelijkheid om de verschillende authenticaties te doen met verschillende configuraties
DEMO
Bedankt voor uw aandacht Zijn er nog vragen? Tom Dierckx en Ward Gubbi