Transcript Einsatz von Single-Sign-On Technologien im Rahmen der
Einsatz von Single-Sign-On Technologien im Rahmen der Integration von E Learning Anwendungen
Christian Nockemann
Agenda
1. Einleitung 2. Single Sign-On 3. SSO im E-Learning Kontext 4. Live Demo 5. Fazit
Freitag, 16. März 2008 1.
2.
3.
Agenda 4.
5.
2
Einleitung • Unüberschaubare Anzahl von Web-Ressourcen • Jeweils eigene Anmeldeverfahren • Probleme aus Sicht der Benutzer: – Geringe Benutzerfreundlichkeit – Sicherheitsprobleme • Probleme aus Sicht der Admins/Entwickler: – Kosten-/Zeitaufwändige Verwaltung von Benutzerdaten – Inkonsistente Datenhaltung – Aufwändige Entwicklung und Änderung von sicheren Anmeldeverfahren Freitag, 16. März 2008 1.
2.
3.
Einleitung 4.
5.
3
Single Sign-On • Einmalige Anmeldung bei Authentifizierungs Autorität (AA) • Authentifizierung bei mehreren Service Anbietern (SA) • Zwei Varianten[Koc07]: – Client-basiert – Server-basiert • Weiterleitung der Benutzerdaten [Ope01]: – direkt – token-basiert – unmittelbar – temporär Freitag, 16. März 2008 1.
2.
3.
4.
Single Sign-On 5.
4
Token-basierte Weiterleitung [Dec02] Benutzer (1) Anmeldedaten (3) Token (4) Anmeldung mit Token Authentifi zierungs Server (2) Datenbank Account Manager Authentifizierungs-Autorität Freitag, 16. März 2008 Benutzer Schnittstelle Anmeldung Vertrauen Account Manager Datenbank Service-Anbieter 1 Service-Anbieter 2 Service-Anbieter n 1.
2.
3.
4.
Single Sign-On 5.
5
Autorisierung und Single Sign-Out • Autorisierung: – Geschieht meist nach der Authentifizierung – „Zuweisung […] von Zugriffsrechten auf Daten und Dienste an Systemnutzer“ [Jan04] • Single Sign-Out – Gleichzeitige Abmeldung bei allen Service-Anbietern – Wichtig bei der Benutzung öffentlicher Rechner Freitag, 16. März 2008 1.
2.
3.
4.
Single Sign-On 5.
6
Kerberos • Authentifizierungsprotokoll • Starke Kryptographie [Ker07] • Authentifizierung mit so genannten Tickets • Drei Parteien [Wie08]: – Principal (z.B. c_nock01/student@uni-muenster) – Key Distribution Center (KDC) • Principal Database • Authentication Server (AS) • Ticket Granting Server (TGS) – Service-Anbieter Freitag, 16. März 2008 1.
2.
3.
4.
Single Sign-On 5.
7
Anmeldung mit Kerberos Client (2) Antwort (1)Ticket-Granting Ticket(TGT) -Anfrage (3) Service Ticket(ST) -Anfrage (4) Antwort (5) Authentication Server (AS) Ticket Granting Server (TGS) Principal Database KDC Freitag, 16. März 2008 1.
2.
3.
4.
Single Sign-On 5.
Service-Anbieter (6) 8
Vor- und Nachteile von Kerberos • Vorteile: – Sichere Kryptographie – Performant [Wie08] – Im RFC 1510 festgehalten • Nachteile: – Nicht ohne weiteres mit NAT-Firewalls einsetzbar [Wie08] – Anpassung bereits vorhandener Web-Applikationen ist sehr aufwändig – Kein Single Sign-Out Mechanismus Freitag, 16. März 2008 1.
2.
3.
4.
Single Sign-On 5.
9
• Sehr populär [Arr08] OpenID • Beschränkt sich auf grundlegende SSO Funktionen • Vier Parteien: – Client – OpenID Server – Identity Server – Consumer Freitag, 16. März 2008 1.
2.
3.
4.
Single Sign-On 5.
10
Anmeldung mit OpenID Client (1) OpenID URL Identity Server (2) OpenID Server (4)Weiterleitung Zum OpenID Server (7) Zugriff ermitteln (3) OpenID Server (5) Login (6) Weiterleitung zum Consumer Freitag, 16. März 2008 Consumer 1.
2.
3.
4.
Single Sign-On 5.
OpenID-Server 11
Vor- und Nachteile von OpenID • Vorteile: – Weit verbreitet – Auch bei bereits vorhandenen Webseiten leicht einzusetzen – Sehr intuitiv, da Benutzer sich direkt beim Consumer anmeldet – Single Sign-Out Problematik existiert nicht • Nachteile: – Phishing Attacken möglich [Lau07] – Identity Server speichert besuchte Seiten [Ben07] – Keine Autorisierungsfunktion – Nur grundlegende SSO-Funktionalität Freitag, 16. März 2008 1.
2.
3.
4.
Single Sign-On 5.
12
Shibboleth • Basiert auf der Security Assertion Markup Language (SAML) [OAS07] • Vier Parteien: – Client – Identity Provider (IdP) • SSO-Service • Authentication Authority – Service Provider (SP) • Assertion Consumer Service – Where Are You From? (WAYF) • Unterstützt Weiterleitung von Attributen Freitag, 16. März 2008 1.
2.
3.
4.
Single Sign-On 5.
13
Anmeldung mit Shibboleth Client (3) (4) (1) (2) (7) (8) Zugriffskontrolle Ziel Ressource (5) (6) Assertion Consumer Service SSO Service Authentication Authority Service Provider Identity Provider Freitag, 16. März 2008 1.
2.
3.
4.
Single Sign-On 5.
14
Vor- und Nachteile von Shibboleth • Vorteile: – Verbreitete Standards: SAML, XML, SOAP, SSL, uvm.
– Nutzung bereits vorhandener Infrastrukturen [Ebe06] – Intuitiv, da Benutzer zunächst auf den Service Anbieter zugreift • Nachteile: – Aufwändige Anpassung bereits vorhandener Web Ressourcen – Kein Single Sign-Out Freitag, 16. März 2008 1.
2.
3.
4.
Single Sign-On 5.
15
Evaluation der SSO-Anbieter • OpenID: – Leicht anwendbar, weit verbreitet – Sicherheitslücken, geringer Funktionsumfang • Kerberos: – Hoher Grad an Sicherheit, Performant – Aufwändige Anpassung, kein Single Sign-Out • Shibboleth: – Flexibel, Offene Schnittstellen – Aufwändige Anpassung, kein Single Sign-Out → Kerberos und Shibboleth sind für das E Learning Umfeld am besten geeignet Freitag, 16. März 2008 1.
2.
3.
4.
Single Sign-On 5.
16
Vorteilhaftigkeit von SSO im E-Learning Kontext • Vorteile: – Einheitlicher Authentifizierungsvorgang – Benutzerfreundlichkeit – Sicherheit – Reduzierter Aufwand für Benutzerverwaltung • Nachteile: – Ermöglicht unerlaubten Zugriff auf viele SAs, wenn Anmeldedaten ausgespäht werden – Single-Point-Of-Failure – Nur wenige Anbieter unterstützen Single Sign-Out Freitag, 16. März 2008 1.
2.
3.
4.
5.
SSO im E-Learning Kontext 17
SSO an der WWU • Seit 2006 wird Shibboleth eingesetzt (initiiert vom ZIV) • ZIV stellt IdP zur Verfügung • Anwendungen die den Service bereits nutzen: – Learnr (learnr.uni-muenster.de) – xLx (xlx.uni-muenster.de) • Anmeldung mit ZIV-Kennung und Passwort Freitag, 16. März 2008 1.
2.
3.
4.
5.
SSO im E-Learning Kontext 18
Kopplung mit dem Identitätsmanagement des ZIV • IdP des ZIV empfängt und bearbeitet Authentifizierungsanfragen • Voraussetzungen für die Nutzung des SSO Services: – Installation eines SP – Zertifikat des ZIV • Übermittelte Attribute: – Nachname – Universitäts-Email-Adresse – ZIV-Kennung • Verwendung der Benutzerdatenbank des ZIV Freitag, 16. März 2008 1.
2.
3.
4.
5.
SSO im E-Learning Kontext 19
Anmeldung bei xLx Freitag, 16. März 2008 1.
2.
3.
Live Demo 4.
5.
20
Anmeldung beim IdP des ZIV Freitag, 16. März 2008 1.
2.
3.
Live Demo 4.
5.
21
Weiterleitung zurück zum SP Freitag, 16. März 2008 1.
2.
3.
Live Demo 4.
5.
22
Zugriff auf den geschützten Bereich Freitag, 16. März 2008 1.
2.
3.
Live Demo 4.
5.
23
Anmeldung bei Learnr Freitag, 16. März 2008 1.
2.
3.
Live Demo 4.
5.
24
Direkte Weiterleitung zum geschützten Bereich Freitag, 16. März 2008 1.
2.
3.
Live Demo 4.
5.
25
Zugriff auf den geschützten Bereich Freitag, 16. März 2008 1.
2.
3.
Live Demo 4.
5.
26
Fazit • SSO gewinnt an Bedeutung[Arr08] • Nutzenzuwachs für Benutzer und Entwickler/Admins • Universitätsübergreifendes SSO-Netz denkbar – Im Rahmen des SaxIS-Projekts in Sachsen bereits eingeführt[Sax06] • Probleme: – Single Sign-Out – Anpassungsaufwand Freitag, 16. März 2008 1.
2.
3.
Fazit 4.
5.
27
Literaturverzeichnis [Arr08] Micheal Arrington: OpenID Welcomes Microsoft, Google,
Verisign and IBM,
http://www.techcrunch.com/2008/02/07/openid-welcomes microsoft-google-verisign-and-ibm/. Zuletzt abgerufen am 09.04.08. [Ben07] Ralf Bendrath: OpenID - next big thing with lots of problems, http://bendrath.blogspot.com/2007/04/openid next-big-thing-with-lots-of.html. Zuletzt abgerufen am 20.04.08.
[Dec02] J. De Clercq: Single Sign-On Architectures, in Lecture notes in computerscience vol. 2437, S. 40 – 58, Springer-Verlag, 2002.
[Ebe06] Lars Eberle, SaxIS-Shibboleth-Workshop, http://www.tu freiberg.de/~saxis/content/dokumente/Eberle_TU_Freiberg.pd
f?PHPSESSID=c07726a2852cb0ed7a5122f2562edc8e. Zuletzt abgerufen am 08.04.08.
Freitag, 16. März 2008 1.
2.
3.
4.
Literaturverzeichnis 5.
28
Literaturverzeichnis [Koc07] [Ope01] Christian Koch: Single Sign-On – Komfort für den Benutzer oder ein Sicherheitsrisiko?, http://www.securitymanager.de/magazin/artikel_996_sin gle_sign_on_komfort_fuer_den_benutzer_oder.html. Zuletzt abgerufen am 01.04.08.
Introduction to Single Sign-On, http://www.opengroup.org/security/sso_intro.htm. Zuletzt abgerufen am 04.04.08.
[Jan04] Wilhelm Janssen: Autorisierung, http://www.at-mix.de/autorisierung.htm. Zuletzt abgerufen am 19.04.08.
[Ker07] What is Kerberos?, http://web.mit.edu/kerberos/www/#what_is. Zuletzt abgerufen am 08.04.08.
Freitag, 16. März 2008 1.
2.
3.
4.
Literaturverzeichnis 5.
29
Literaturverzeichnis [Lau07] http://www.links.org/?p=187. Zuletzt abgerufen am 20.04.08.
[OAS07] http://www.oasis open.org/committees/tc_home.php?wg_abbrev=s ecurity. Zuletzt abgerufen am 04.04.08.
[Wie08] 08.04.08.
Ben Laurie: OpenID: Phishing Heaven, OASIS Security Services (SAML) TC, Mike Wiesner, Kerberos V5 mit Debian, http://meetings-archive.debian.net/pub/debian meetings/2005/linuxtag karlsruhe/debianday/mike_wiesner kerberos_v5_mit_debian.pdf. Zuletzt abgerufen am Freitag, 16. März 2008 1.
2.
3.
4.
Literaturverzeichnis 5.
30
Freitag, 16. März 2008
Fragen?
31
Implementierung • Installation und Konfiguration eines SP: – Shibboleth Dienst bzw. Daemon installieren (shibd) – Apache/Tomcat Konfiguration: • shibboleth.xml
• httpd.conf:
2.
3.
4.
Implementierung 5.
32
Implementierung • Auslesen des HTTP-Headers – Code-Beispiel in Java: String E-Mail = request.getHeader(“Shib-mail”); • Leicht wartbar, da nur bei einer Pfadänderung die httpd.conf angepasst werden muss.
Freitag, 16. März 2008 1.
2.
3.
4.
Implementierung 5.
33