Federated Authentication Benchmarking Framework

Slides:



Advertisements
Verwante presentaties
#Exactlive12 / #livesessie8 Wel of niet naar de cloud?
Advertisements

Drupal Security Awareness (2). Disclaimer De informatie in deze cursus is bedoeld om veiligere Drupal websites te bouwen, niet om andere Drupal websites.
Toegang en identiteitsmanagement
WapliX Contact Center New generations of applications.
FOLLOW ME WORKPLACE flexibele toegang tot uw bedrijfstoepassingen en –documenten vanop elke locatie, vanop elk toestel.
Server Management Framework
Mobile Device Management (MDM)
Windows Server 2012 Optimaliseer uw IT. Ready for the Future.
voor financiële rapportages
Alex Bausch Evert Jan Westera Dinsdag, 22 april Microsoft event VeiligMobiel werken.
SSL, HTTPS en SSH Johnny Schaap.
11 Infrastructuur Optimalisatie: Waarom een op voorzieningen gebaseerd platform de betere keuze is.
State-of-the-Art beveiliging met Windows Identity Foundation
Presentatie Clubmiddag 21 mei 2014 door Henk Kesting soorten en instellingen.
Installeren, configureren en onderhouden
1 Belcotax on web Belcotax on web De eID configureren De eID configureren.
Basic Web Services Technology Matthijs Smith & Roel Arents tbv ISS 2005/2006.
Remote Lab Netwerkbeveiliging Webapplicatie met PHP en MySQL Njotea Robin.
Eduroam BELnet bezoek, 18 juli 2005
SURFnet en IEEE 802.1X Amsterdam, 8&9 Mei 2003.
Hoogwaardig internet voor hoger onderwijs en onderzoek Federatieve netwerk toegang: eduroam Federatiedagen, Utrecht, 29 Maart 2006
Hoogwaardig internet voor hoger onderwijs en onderzoek eduroam BELNET, Brussel, 29 September 2005
SURFnet introductie, 1 juni 2005
Universele toegang: over federaties
EduRoam SEC seminar, 22 februari 2005
Hoogwaardig internet voor hoger onderwijs en onderzoek Utrecht, 27 oktober 2005 Wireless LAN beveiliging Paul Dekkers.
Deel XXI 1 Internetapplicaties Internetprogrammeren Capita Selecta.
Direct Access Framework
Windows Applicaties Bouwen met Visual Studio.NET Sijmen Koffeman Development Consultant Microsoft.
OneAccess. Wat is OneAccess? Sterke toegang authenticatie Single Sign-on oplossing Eenduidige totaal oplossing.
MCSA traject Leerjaar 4 H /10 Agenda Samenvatting H1.
Technische Architectuur
WapliX CRM New generations of applications. Wat is WapliX CRM?  Contact Information Management Organisaties, contactpersonen en projecten worden beheerd.
Onsight Managed Security Services
MVC in de praktijk Jeroen Swart.NET architect, Quintor
What’s in the cloud for testing de mogelijkheden voor het testvak 12 mei 2010.
©2010 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice 1 Dick van Gaalen Program Manager.
Belastingen Homcom Belastingen Papier of on-line? – Papier tot 26 juni – Online tot 16 juli On-line – Eid – Token – Wie voor online koos krijgt.
Hoofdstuk 6 ICT en management h6.
Wat te kiezen.  POP3  Kopieert alle mail op de pc van de cliënt  Outlook (express) / Windows Live / Outlook  Verwijdert standaard alle mails van.
Van data naar kennis. Customer Case – Robeco Forms naar Apex Migratie.
APP Platform Rivium, 5 maart 2013 Rik Vietsch.
Behind Interactive Media. Agenda 1.Huiswerk doornemen 2.Server side & Client side 3.Quiz 4.Huiswerk.
Fedict Identity Authentication & Authorisation Informatievergadering M1016 – OPEN OFFERTEAANVRAAG VOOR DIENSTEN E-GOVERNMENT FEDICT PLATFORM.
Mobile Life onderdeel van minor voor DINF3 George Pluimakers Studiejaar
1 Sophos en Cyberoam Presentatie: Thierry Brandjes Hilbrand Wouters, Cyberoam Channel Manager Sophos Ratho Inspiratiemiddag, 6 november 2015 Netwerkbeveiliging.
Het HiSPARC project Het HiSPARC project meet kosmische straling en is een samenwerkingsproject van een groot aantal scholen en diverse Universiteiten.
ENF collector Mustafa Karci Kilian Siem Sander van Schie Olivier Bootsma Feroz Rameswar.
Informatiseringscentrum Marijke Vandecappelle Tormo van Schuppen 5 december 2012 UvA IDM in 15 minuten.
1 Bart van Muijen – Sales & Operations Manager UPDATE PV.
wordPress  Het meest flexibele CMS CMS= Content Management System.
Klassikale opleiding 01/03/2016
Het chaotische samenwerk spel! Bram Adriaensen Mathieu Maas Martijn Wiendels Jonique Raemakers.
Het chaotische samenwerk spel!. Samen tegen de klok Business model Spellen Uit te breiden Demo.
Technische Architectuur. p. 2 Instellingen Q WS SSL Certificaat voor digitale handtekening Cert SSL client certificaat Web service Consumer SSL server.
SSO demo Peter Mesker. Imprivata OneSign Platform A Converged Identity and Access Management platform that enforces secure and compliant employee access.
Ervaringen Edukoppeling Lessons learned uit BPV Optimalisatie en implementatie nummervoorziening.
Gids door Doccle Doccle. De Cloud 2 1.Wat is de Cloud? 2.Voordelen van de Cloud 3.Nadelen van de Cloud 4.Doccle is geen cloudapplicatie.
eHealth Certificaten van aanvraag tot installatie
Identication & Authentication
The Hybrid Workspace Gino van Essen Technical Consultant.
The Hybrid Workspace Commercial Value Proposition
GEU – PO - ENTREE Edu-K H-P Köhler, domeinmanager.
Kerberos Authenticatie
Michaël Hompus Principal developer,
ASP.NET MVC Web Development
Service Virtualisatie met gratis Virtualize Community Edition!
Microsoft Operations Management Suite (MOMS)
– Software development fundamentals
Transcript van de presentatie:

Federated Authentication Benchmarking Framework 18/04/2017 Federated Authentication Benchmarking Framework Tom Dierckx en Ward Gubbi 15 juni 2015 Wij gaan het hebben over de FAB ook wel Federated Authentication Benchmarking Framework

18/04/2017 http://bit.do/FABF Tom

Inhoud IS4U Inleiding Opdracht Authenticatie Modules Data Monitoring 18/04/2017 Inhoud IS4U Inleiding Opdracht Authenticatie Modules Gebruikersnaam & Wachtwoord SAML 2.0 OAuth 2.0 eID Data Monitoring Demo

IS4U Identity & Access Management Competence Center Focust op 18/04/2017 IS4U Identity & Access Management Competence Center Focust op Identity Management Access Management Security Problematiek (Penetration Testing) Certificaten CISSP CEH GPEN WARD IS4U is het Identity en Access Management competence center binnen de Cronos Group. Het is een groeiende groep die zich focust op Identity & Access Management, en security problematiek. Hieronder verstaan we alles wat Identity en Access management aanbelangt, maar ook penetration testing. Alle mensen binnen IS4U zijn in het bezit van relevante certificaten (CISSP, CEH, ECSA/LPT, GPEN, product certificaten) waardoor ze alle problemen in het domein op kunnen lossen en nieuwe evoluties en producten op de markt snel in zich op kunnen nemen. Certified Information Systems Security Professional  ethiek van ISC² Certified Ethical Hacker Certified Security Analyist Giac Penetration Testing GIAC Exploit Researcher and Advanced Penetration Tester   Klanten die een IAM project voor de boeg hebben kunnen bij IS4U terecht voor het volledige traject.

18/04/2017 IS4U IS4U heeft voor al deze klanten voor een implementatie of security oplossing gezorgd.   IS4U maakt integraal deel uit van de Cronos Groep.

Inhoud IS4U Inleiding Opdracht Authenticatie Modules Data Monitoring 18/04/2017 Inhoud IS4U Inleiding Opdracht Authenticatie Modules Gebruikersnaam & Wachtwoord SAML 2.0 OAuth 2.0 eID Data Monitoring Demo WARD

Inleiding Access Management Federated Identificatie Toegang resources 18/04/2017 Inleiding Access Management Identificatie Toegang resources Cloud Federated Wat houd Access management eigenlijk in Identificatie + toegang tot resources Federated: gebruik maken van 1 enkel digitaal account op verschillende

Inleiding Meerdere authenticatie standaarden 18/04/2017 Inleiding Meerdere authenticatie standaarden Meerdere configuraties per standaard Performantie opmeten moeilijk Men ziet de bomen niet door het bos Nood aan een oplossing TOM Authenticatie uitleggen

Inhoud IS4U Inleiding Opdracht Authenticatie Modules Data Monitoring 18/04/2017 Inhoud IS4U Inleiding Opdracht Authenticatie Modules Gebruikersnaam & Wachtwoord SAML 2.0 OAuth 2.0 eID Data Monitoring Demo

Opdracht Basisfunctionaliteit Uitvoeren authenticaties 18/04/2017 Opdracht Basisfunctionaliteit Uitvoeren authenticaties Benchmarken authenticaties Statistieken weergeven Uitbreidingen Uitwerking meerdere configuraties WARD Basis opdrachtbeschrijving Schrijven van een framework met een aantal basisfunctionaliteiten. Het moet een aantal volledige authenticaties succesvol kunnen voltooien. Hierbovenop moet men ook load kunnen testen door een groter aantal requests parallel te laten gebeuren. En uiteraard een duidelijke representatie te geven van data om makkelijker conclusies te trekken. Later toegevoegde uitbreidingen Testen op meerdere bindings bij authenticatie met gebruik van SAML 2.0 Het beëindigen van een sessie is ook toegevoegd bij onder andere SAML 2.0

Opdracht Testomgeving: CentOS Framework Update Apache Tomcat 18/04/2017 Opdracht Testomgeving: CentOS Framework Update Apache Tomcat Applicatie: Java GUI OpenAM SAML 2.0 Modules OAuth 2.0 SAML 2.0 eID OAuth 2.0 User/Pass eID WARD Framework is geschreven in java => platform onafhankelijk We draaien 2 servers in VM. Deze maakte de simulatie van het hebben van 2 verschillende IdP en SP beter. Op elke server hebben wij een OpenAM instantie draaien. User/Pass Monitoring

Inhoud IS4U Inleiding Opdracht Authenticatie Modules Data Monitoring 18/04/2017 Inhoud IS4U Inleiding Opdracht Authenticatie Modules Gebruikersnaam & Wachtwoord SAML 2.0 OAuth 2.0 eID Data Monitoring Demo Bespreking verschillende modules

Gebruikersnaam & Wachtwoord 18/04/2017 Gebruikersnaam & Wachtwoord HTTP-POST Gebruikersnaam Wachtwoord Extra elementen Volg redirect WARD De gebruiker wenst toegang tot een resource, dient zich eerst aan te melden. Doet een HTTP POST met de user credentials en mogelijke extra elementen die aanwezig zijn op de pagina. Eenmaal aangemeld wordt de resource weergegeven. Niet meer, niet minder Performant door korte procedure

Inhoud IS4U Inleiding Opdracht Authenticatie Modules Data Monitoring 18/04/2017 Inhoud IS4U Inleiding Opdracht Authenticatie Modules Gebruikersnaam & Wachtwoord SAML 2.0 OAuth 2.0 eID Data Monitoring Demo Bespreking verschillende modulles

SAML 2.0 Corporate Network Cloud Application ( Service Provider ) Identity provider Identity Provider User Corporate Network

SAML 2.0 Service Provider: De Morgen Identity Provider: Media ID 18/04/2017 SAML 2.0 WARD Security Assertion Markup Language Bij SAML 2.0 spreken we over een Service Provider en een Identity Provider. We willen aanmelden bij Sevice Provider De Morgen, maar we willen geen nieuwe account aanmaken. Gelukkige hebben zij de mogelijkheid om dit te doen via Media ID een SAML 2.0 Identity Provider. Daar hebben we een account, dus loggen we daar mee in. Eenmaal aangemeld zullen zij relevante data doorsturen naar De Morgen, zoals bijvoorbeeld mijn naam. Zonder extra informatie te moeten geven aan De Morgen weten ze toch wie ik ben, maar m’n gebruikersnaam en wachtwoord kennen ze niet. Service Provider: De Morgen Identity Provider: Media ID

SAML 2.0 Corporate Network 18/04/2017 Cloud Application ( Service Provider ) Identity provider Identity Provider User Corporate Network Wat we extra hebben toegevoegd bij SAML zijn de bindings. Kort uitgelegd: de verschillende manieren waarop de SAML Assertions uitgewisseld kunnen worden tussen Service- en Identity Provider.

18/04/2017 SAML 2.0 WARD SAML 2.0 is vooral achter de schermen geïmplementeerd bij verscheidene diensten. Enkele diensten, zoals een MediaID zijn specifiek consument gericht. De meesten zijn echter bedoeld voor op de werkvloer.

Inhoud IS4U Inleiding Opdracht Authenticatie Modules Data Monitoring 18/04/2017 Inhoud IS4U Inleiding Opdracht Authenticatie Modules Gebruikersnaam & Wachtwoord SAML 2.0 OAuth 2.0 eID Data Monitoring Demo Bespreking verschillende modulles

18/04/2017 OAuth 2.0 Tom

OAuth 2.0 Client: Candy Crush 18/04/2017 OAuth 2.0 TOM Bij OAuth 2.0 spreken we over een Client, een Resource Owner, een Authorization server en een Resource Server. We willen gebruik maken van de Candy Crush Saga app, de client. Om het spel beter te kunnen spelen, willen zij onze gegevens van Facebook. De resource owner, ik, moet zijn akkoord geven om bepaalde data over te dragen. Eens ik mijn akkoord geef zal de Authorization Server, Facebook, een Authorization Token opzetten. Met die token kan Client Candy Crush de data ophalen bij de Resource Server, in dit geval ook Facebook. Client: Candy Crush Authorization- & Resource Server: Facebook

18/04/2017 OAuth 2.0 TOM OAuth 2.0 heeft een groot draagvlak bij internetbedrijven. Zij waren ook een grote vragende partij en ondersteunen het project dus ook sterk.

Gegevens in SAML Assertion 18/04/2017 SAML 2.0 vs OAuth 2.0 SAML 2.0 OAuth 2.0 SSO Autorisatie Enterprise Internet & API Gegevens in SAML Assertion Toegang tot gegevens via Access Token Kort enkele van de belangrijkste verschillen tussen SAML 2.0 en OAuth 2.0

Inhoud IS4U Inleiding Opdracht Authenticatie Modules Data Monitoring 18/04/2017 Inhoud IS4U Inleiding Opdracht Authenticatie Modules Gebruikersnaam & Wachtwoord SAML 2.0 OAuth 2.0 eID Data Monitoring Demo TOM Bespreking verschillende modulles

eID 2 WAY ssl authentication Testomgeving Client 18/04/2017 eID 2 WAY ssl authentication Testomgeving Certificaat voor verbinding Authenticatie via eID Truststore Belgium Root CA Client Truststore  certificaat van server Keystore  eID TOM Beveiligde HTTPS verbinding tussen server client met in ons geval selfsigned certificaten Authenticatie gebeurd door de keystore op client side te laden vanuit de eID. De truststore op client side is het selfsigned certificaat van de server.

Client Server Request Protected Resource Keystore Keystore Truststore 18/04/2017 Client Server Request Protected Resource Keystore Truststore Keystore Truststore TOM

Inhoud IS4U Inleiding Opdracht Authenticatie Modules Data Monitoring Gebruikersnaam & Wachtwoord SAML 2.0 OAuth 2.0 eID Data Monitoring Demo

Data monitoring Log files JSON Elasticsearch Logstash Kibana 18/04/2017 Data monitoring Log files JSON Elasticsearch Logstash Kibana TOM Data over authenticatie loggen en duidelijk weergeven aan de user. Gebruik maken van standaard logfiles in JSON formaat. Deze zijn opgebouwd doormiddel van log4j Deze worden in onze omgeving door logstash uitgelezen aan elasticsearch doorgegeven. Hieruit kunnen we met Kibana een duidelijk overzicht geven. Logging data: tijd voor voltooing + Succes fail van authenticatie De data die we nu loggen is de tijd per authenticatie om te voltooien in het message field. En of deze succesvol verlopen is of niet.

Kibana Dashboard 18/04/2017 Tom uitleg over hoe fancy Voorlopige uitslagen van de authenticaties => eID eruit gelaten omdat de gebruikershandelingen pin code er niet uitgeknipt kon worden

Kibana Dashboard 18/04/2017 TOM Ook nog mogelijkheid om de verschillende authenticaties te doen met verschillende configuraties

DEMO

Bedankt voor uw aandacht Zijn er nog vragen? Tom Dierckx en Ward Gubbi