Middleware/Infraservices
Download
Report
Transcript Middleware/Infraservices
Infraservices (AA Middleware)
TREFpunkt, 20—21 oktober 2004
Torbjörn Wiberg
CIO, UmU
031216
T Wiberg, UmU
1
Innan vi börjar:
Infraservice?
Infraservice = Infrastrukturell Nättjänst
AA Middleware
AA = Autentisering o Auktorisation
Middleware kan vara mycket mer
Infrastrukturell = av intresse och betydelse
för många applikationer
En tjänst för få kan utvecklas till att bli en del
av infrastrukturen.
jfr e-post och OH-apparater
031216
T Wiberg, UmU
2
Några observationer och
trender som rör området
Flera IT-system är verksamhetskritiska
datornätet (med DNS), e-postsystemet, webben,
nya: katalogen, autentiseringstjänsten
”Varje” student och ”varje” anställd blir
användare i våra system
reseräkning, kalender, lokalbokning
Vi får alltfler ”småsystem” med många användare
Klientdatorerna är servrar
eBusiness är en självklarhet för nya studenter
Dom besitter en hög grad av eReadyness
031216
T Wiberg, UmU
3
Relevanta IT-strategier
Webben är vår främsta informationskanal
Centralisera för högre effektitet och
kvalitet
Inför Informationssamhället på UmU
papper, processer, ärenden mm
Samarbeta organiserat med likasinnade
Använd och jobba med Open Source
031216
T Wiberg, UmU
4
Relevanta IT-strategier
Interninformation ska spridas genom personliga
portaler
uPortal
kalender, webbmail, fillagring
planeringsverktyg
tjänster
Elektroniska identiteter ska införas och användas
EN elektronisk identitet
på objekt och personer
031216
T Wiberg, UmU
5
Elektroniska identiteter
eFörvaltning samverkande system
mellan myndigheter och inom (integration)
av säkerhetsskäl måste systemkomponenterna
identifiera sig för varandra
servrarna registreras i en Koncernkatalog
SwUPKIs servercertifikat
Personerna i en koncernkatalog
identitet - först användarnamn/lösenord, sen certifikat
effektivitetsvinster i att utnyttja en koncernkatalog
031216
T Wiberg, UmU
6
Hur arbetar jag med dessa
strategier? Ja t.ex
Inför elektroniska identiteter som kan
användas i många sammanhang (EN eID)
Se till att de harmonierar/interoperar
... över Sverige, Norden, Europa, Nordamerika
Samverka kring Infraservice software,
harmonisering, införande och anpassning av
applikationer
031216
T Wiberg, UmU
7
Sunets uppdrag till UmU
... att verka för att en harmoniserad
Infraservice- infrastruktur införs vid svenska
högskolor (från 040401)
helst en som harmonierar med Norden, Europa och USA
också
det finns ett scenario som ledstjärna (för övrigt samma
scenario som satts som mål i ett delprojekt i GEANT2):
Det finns ett förslag att utöka omfattningen – jag
beskriver senare hur jag vill arbeta med det
utökade uppdraget
031216
T Wiberg, UmU
8
Scenarios to Support
It shall be possible for
an employee from UmU visiting Oslo University to be given access
to local resources (network, library ...) after being authenticated
at home.
a student from Oslo University taking a course at UmU to, after
registering on the course, automatically be given access to library
data bases and be authorised to work in Ping-Pong, our LMS
the members of a cooperative project (between UmU and several
other universities) to be authorised to work in our project support
software
a newly appointed Prefekt to automatically be authorised to use
our business systems in any way our delegation decision implies
031216
T Wiberg, UmU
9
En förutsättning för
framgångsrik samverkan
Jag menar att man, för att vara framgångsrik,
enbart ska samverka i projekt
där alla parter är beredda att satsa en del egna pengar
man ska inte ha anspråk på att få tillbaka dessa
resultatet ska vara fritt tillgängligt för oss alla
Två projekt jag drivit på det sättet är
SwUPKI – en PKI för svenska högskolan (driften
betalas av medlemmarna)
SPOCP – en policybaserad auktorisationsserver
031216
T Wiberg, UmU
10
Modell för Sunet-uppdraget
Jobba i projekt flr att realisera scenarierna
Bilda en strategisk allians mellan parter som är
beredda att samarbeta långsiktigt enligt modellen
och bilda kärnan i projekten. Åtaganden:
Delta i styrgrupp för uppdraget
Delfinansiera projekten
Tillhanda utvecklingsresurser för avrop i projekten
Jobba fram arkitektur och principiella lösningar
tillsammans med en grupp av experter
031216
T Wiberg, UmU
11
Modell för Sunet-uppdraget ...
Erbjud övriga högskolor att ingå i projekten, som
vanlig part eller som ”early adopters” – med
införandestöd från prån projektet
Ordna temadagar där experter och
implementörer deltar
Skapa en struktur för långsiktig förvaltning av de
anpassningar och produkter som utvecklas
Bland leveranserna ska så småningom en hel
infraserviceinfrastruktur ingå. Tanken är att man
ska kunna ersätta komponenter med sådana man
amvänder för att kunna göra tester
031216
T Wiberg, UmU
12
Nu till nuläget – vad är på gång
Webbplats på gång
http://www.umu.se/it/projupp/infratj/
Katalogdag på Stockholms universitet 25 nov
Ett strategiskt/policyspår o ett tekniskt
Anmälan tidigast fredag på
http://www.umu.se/it/projupp/infratj/konf
Arbetsgrupp som ska föreslå unitcf och hitcf en
uppsättning standardfunktioner/roller som ej
behöver förklaras och som kan användas för enkel
auktorisation
031216
T Wiberg, UmU
13
Elektroniska identiteter
När är det dags för certifikat?
så snart kostnaden är acceptabel
jag tror den är det nu
statskontorets upphandling eller i egen regi
projekt: SU, UmU, UU o kanske GU
En förutsättning för vissa delar av 24h-myndigh
Teknikvalen kommer att begränsas när vi gått in
på en sådan väg
Bieffekt – mindre spam
acceptera enbart signerad internpost
031216
T Wiberg, UmU
14
Externalisation of Infraservice
Functionality
I prefer the application perspective on Infraservices
(before a network perspective):
The idea of Infraservices (Middleware) is to identify
common functionality in applications and to explore the
possibilities opened through an externalisation of these
functions
031216
Directory Services
Authentication Service
Authorisation Service
Discovery Services
Agents/Proxies
...
T Wiberg, UmU
15
Components of a Supporting
Infrastructure
Issuing of electronic identities – only for servers
PKI – SwUPKI has been up since 2001
Enterprise Directory – strong harmonisation efforts
Mechanisms of authentication – A few
Local authentication service - Various
Distributed authentication service
Attribute service (”LDAP”) – A few
Access Control service – Distributed Netlogon
Authorisation Service - SPOCP
031216
T Wiberg, UmU
16
Harmonisation Arenas
Unitcf – the swedish universities’ CIO/CTO network
Codex – swedish code exchange cooperation network
Gnomis – nordic middleware coordination network
Terena – network of national research networks
Eunis – network of campus IT ...
Internet2 – US project
NMI – NSF Middleware Initiative
For each problem we are preparing to solve we decide
what arenas we shall strive to harmonise with
031216
T Wiberg, UmU
17
Current Swedish Infraservice
Harmonisation Situation
Cooperating servers in distributed
systems often have server certificates
from SwUPKI
Directory harmonisation is under way
in Codex and Gnomis
There are many different
Authentication Services
Net-logon – Protocol and service has
just been implemented in Codex - cwaa
Authorisation – SPOCP is being
deployed
Identity Certificates –a new national
procurement just done
031216
T Wiberg, UmU
Client
Authentication
Server
prot
Application
ldap
Enterprise
Directory
prot
ldap
Authorization
Server
Application
Data
18
SwUPKI – The Swedish PKI for
Higher Education
One common CP, separate CPSs
It is a club – www.swupki.su.se
started in february 2001
7 members dec 2003
Codex Netlogon protocol requires server certificates
Stockholm University is Policy Management Authority
Accepts new members
Carries out inspections
May decide to cross certify with other
Umeå University is Policy CA
Issues certificates to the member CAs
Preparations are made to organise issuance of identity certificates if
the current national procurement wont result in usable certificates
(for economic or other reasons)
031216
T Wiberg, UmU
19
Enterprise Directory
More than a telephone book or an e-mail directory!
Every person affiliated with the organisation shall be in the
directory
Present the list to the dean and say: This is my personnel!
Attributes of relevance for authorisation shall be
registered
The maintenance shall reflect the delegation of responsibility
If for ex authority follows with being a chairman, the assignment of
that attribute shall be done by those who appointed her
All information in the directory is not available through
anonymous LDAP-requests
Question: What attributes shall on what grounds be made available
to what application (privacy issue, and organisational security issues)
031216
T Wiberg, UmU
20
Harmonisation of Directories
Work on Harmonisation of directories has been
done in Codex
The instruction is to strive for harmony on the
Scandinavian arena
norEduPerson – done
norEduOrg – done
norEduCourse – A proposed schema for courses were
discussed in Codex 031211. It will be evaluated further
with the goal to finalise a Gnomis proposal in march.
031216
T Wiberg, UmU
21
Swedish Authentication
Harmonisation?
We need to decide who to trust
Many different approaches and mechanisms
Harmonise
How does it scale
Codex has specified a protocol for a Netlogon Service
for network and basic service access
for single signon
levels of strength
Message formats
Build federations
nationally
internationally
It is currently being evaluated
It allows different authentication mechanisms at the home authentication service
Each university decides who to trust
031216
T Wiberg, UmU
22
Authorisation is not only Access
Control!
It is easy to mistake Authorisation for just
Access Control
We mean that authorisation at least can be
”the right for a Subject to perform an
Action on a Resource, an object belonging
to some application space”
031216
T Wiberg, UmU
23
SPOCP - Where do we stand?
We have not found any serious flaws in the approach
the policy language can’t express what is forbidden, only what is
permitted
We need to understand better the process of developing
a policy
We have some tools for policy management but need more
There are commands that modify the policy but we need powerful
tools
We need tools for browsing the authority space
We do not yet have software that supports policy management for
those who dont know the policy language
031216
T Wiberg, UmU
24
SPOCP - Where do we stand? 2
SPOCP plays a central role in our development of
personal portals
the portal channels need to support external
authn/authz
We require that new applications can take
advantage of authn/authz services
often the first time they have heard this requirement
mail distribution list manager
meeting/classroom reservation system
031216
T Wiberg, UmU
25
Deployment Status of SPOCP
We are in a deployment with early adopters
It has been/is being deployed in
PAPI – a spanish authorisation system used for
authorising users for content providers
by SU as theur general AuthZ system
Ladok på Webb – the swedish national student record
system
NyA – the swedish national HigherEd admission system
031216
T Wiberg, UmU
26
Deployment Status of SPOCP
forts
It will be/has been deployed in
Umeå University as its main authorisation
system
Karolinska Institutet as the Authorisation
System for its LDAP Access
FEIDE (a Norwegian project concerned with
management of identities and authentication ...)
is evaluating it to authorise attribute release
from its LDAP directories
031216
T Wiberg, UmU
27
Identity Certificates in
Swedish Higher Education
A couple of large universities are seriously
considering to provide identity certificates
for their students
031216
citizens certificates or SwUPKI certificates
decision during 2004 probably
25-30% of the swedish student population
for signing eMail and for authentication
T Wiberg, UmU
28
Infraservices (AA Middleware)
TREFpunkt, 20—21 oktober 2004
Torbjörn Wiberg
CIO, UmU
031216
T Wiberg, UmU
29