Integrierter Shibboleth Identity Provider g y auf Basis verteilter ...

Integrierter Shibboleth Identity Provider 

auf Basis verteilter Identitätsdaten 

Sebastian Labitzke, Michael Simon, Jochen Dinger 

sebastian.labitzke@kit.edu 

Steinbuch Centre for Computing (SCC) und 

Institut für Telematik, Dezentrale Systeme und Netzdienste, Prof. Dr. Hannes Hartenstein 

STEINBUCH CENTRE FOR COMPUTING - SCC 

KIT – Universität des Landes Baden-Württemberg und 

nationales Forschungszentrum in der Helmholtz-Gemeinschaft 

www.kit.edu

Agenda 

Motivation 

Bestehende Lösungsansätze 

Authentifikationsmodule 

JaaS Dispatcher Module 

Extended Login Handler 

Integrierte Attributprovisionierung 

Attributaufbereitung in dedizierter Datenbasis 

Bewertung 

Shibboleth Integration am Karlsruhe Institute of Technology (KIT) 

Fazit 

2 27.05.2010 Sebastian Labitzke 

Steinbuch Centre for Computing 

Integrierter Shibboleth Identity Provider auf Basis verteilter Identitätsdaten

Motivation für die Anpassung des Shibboleth IdP 

Identity 

AAI 

Discovery Provider 

Service 

OE 1 OE 2 OE n 

Identity Identity Identity 

Provider IdM 

BV 

Provider Provider 




Mgmt. 

Mgmt. 

Mgmt. 

Organisation 1 

Organisation 2 Organisation 3 

Organisation 2 




Bestehende Lösungsansätze (1) 

Standard Authentifikation mit Username/Password Login Handler (U/P) 

JaaS: Java Authentication and Authorization Service 


Provider 

U/P 

Login 

Handler 

username 

password 

JaaS 

JaaS 

JaaS 

(+) Verschiedene JaaS Module bereits vorhanden 

(+) Eigene JaaS Module implementierbar 

(--) Sequentielle Abarbeitung ggf. hohe Latenz für Authentifikation 

(--) Keine Unterstützung der Attributlieferung 




Bestehende Lösungsansätze (2) 

Servlet-Filter 

Pre-processing des Authentifikationsvorgangs 

Bsp: myLogin (Universitätsbibliothek Freiburg) 

Zusätzliche Auswahl der Authentifikationsquelle 

nach Auswahl der Heimateinrichtung beim Discovery Service 

(+) Nutzer kann frei die Authentifikationsquelle auswählen 

(z.B. bei diversen Nutzerkonten) 

(--) Weitere Systeminteraktion durch Nutzer vor Authentifikation 

(--) Auswahl schwierig, wenn zum Account zugehörige Quelle nicht bekannt 

Proprietäre Shibboleth Login Handler 

Eingriff in den Shibboleth Code 

(--)) Updatesicherheit h it nicht gewährleistet 

t 

(--) Aufwändige Implementierung 

Meta-/Virtual-Directory 

(+) Einzige Schnittstelle für den IdP zur Authentifikation und Attributlieferung 

(+) Geringer Aufwand, wenn bereits ein solches Directory existiert 

(--) Aufwand für Betrieb und Wartung, wenn Einsatz exklusiv für Shibboleth 

( ) g, 




Agenda 

Motivation 







Bewertung 


Fazit 




Anforderungen für Authentifikation 

Flexibilität, Geschwindigkeit und Nutzerkomfort 

Wahrung der Autonomie von Organisationseinheiten bezüglich Ihrer Nutzerkonten 

(z.B. Sperrung von Konten oder Rechteentzug ohne zusätzliche Mechanismen) 

Zugriff auf verteilte Identitätsdaten mit minimaler Latenz beim Nutzerlogin 

Keine Replikation von Passwörtern in Shibboleth-spezifische Datenbanken 

(Risiko ik beim Transferieren, technisch h oft nur aufwändig umsetzbar) 

Ein IdP, der alle abzudeckenden Nutzergruppen authentifizieren kann 

Automatisierte, konfigurierbare Identifikation der zum Nutzer gehörigen Quelle 

Einbezug der Nutzer IP-Adresse in die Authentifikationsentscheidung tifik ti t h id (optional) 




Authentifikationsmodule (JaaS Dispatcher Module) 



Login 

Handler 

username 

password 

JaaS 

JaaS 

Dispatcher 

JaaS 

JaaS 

JaaS 

Direkte Auswahl des passendes JaaS Moduls 

Auswahl des JaaS Moduls über reguläre Ausdrücke 

Keine sequentielle Abarbeitung konfigurierter Authentifikationsschnittstellen 

Keine erhöhte Latenz durch „Fehlauthentifikationen“ 

JaaS Dispatcher ist ebenfalls ein JaaS Modul 

Konfiguration des Moduls in login.config 

Kein Eingriff in Shibboleth-Code 




Authentifikationsmodule (JaaS Dispatcher Module) 

Einfache Installation 

Kopieren der JaaSDispatcher.jar in .war-Datei des IdP (WEB-INF/lib) 

Anpassung der Datei login.config 

login.config (Beispiel): 

ShibUserPassAuth { 

edu.kit...jaas.handler.Dispatcher sufficient 

regExp.0=".*@kit.edu" 

jaasContext.0="mail.kit.edu" 

regExp.1="[a-zA-Z]{2}[0-9]{4}“ jaasContext.1="sam.kit.edu" 

edu" 

regExp.2="[0-9]{8}" 

jaasContext.2="bib.kit.edu" 

; 

}; 

mail.kit.edu { 

edu.vt.middleware.ldap.jaas.LdapLoginModule required 

}; 

... 

host="" 

......; 




Authentifikationsmodule (Extended Login Handler) 



Login 

Handler 

username 

+ weitere password Attribute 

JaaS 

JaaS 

JaaS 

Schnittstelle X 

Einbezug weiterer Parameter für Authentifikation (bspw. IP-Adresse) 

Kombination mit JaaS Dispatcher 

Direkte Integration von Schnittstellen (optional) 




Übersicht Authentifikationsmodule 


Auswahl des passenden JaaS Moduls durch Schema 

Keine sequentielle Abarbeitung konfigurierter Quellen 

Modular: Kein Eingriff in Shibboleth-Code 

JaaS Dispatcher ist unabhängig von Shibboleth 

Einsatz für jede JaaS Authentifikation möglich 

Extended d Login Handler 

Einbringen zusätzlicher Restriktoren für die Authentifikation 

Direktes Anbinden der Schnittstellen (optional) 

Kombination aus JaaS Dispatcher und Extended Login Handler 

Erweiterung des Login Handlers um Weitergabe zusätzlicher Parameter 

(z.B. IP-Adresse über eigenen/erweiterten JaaS Callback Handler) 

Weitere Handhabung der Authentifikation über JaaS Dispatcher 




Agenda 

Motivation 







Bewertung 


Fazit 





Dedizierte Datenbasis für Shibboleth Attribute 

Identity Management 

Software 

Attribut Provisionierung 

Attribut Abfrage 

-Attributabfrage 

-Schema-Mapping 

-Attributberechnung 

-Attributprovisionierung 

Shibboleth 

Attribut 

Datenbank 



OE 1 OE 2 




Bewertung 

Authentifikation auf verteilten Daten 

Autonomie von Organisationseinheiten 

Sperrung/Rechteentzug sofort wirksam 

Keine Replikation von Passwörtern 

Automatisierte, i konfigurierbare i Identifikation i der Datenquelle 

Authentifikation auf Basis verteilter Daten auf Geschwindigkeit optimiert 

Bezug von Attributen auf zentraler Datenbasis 

Schema-Mapping durch Identity Management: 

- Reduzierung der Komplexität der IdP-Konfiguration 

- Nutzung des flexibleren und besonders geeigneten IdM-Systems 

Einfaches Handling von lediglich implizit bekannten Attributen 

Vorberechnung von Attributen 

Einsparung teurer Rechenoperationen zur Laufzeit 

Aufwand zum Aufbau und Betrieb der Datenbasis gering 

Attributlieferung auf Geschwindigkeit optimiert 




Shibboleth Integration KIT 

KIT 


Attribut Provisionierung 

Sub - IdM 

Sub - IdM 

Attribut 

Datenbank 

OE 1 OE 2 JaaS 


JaaS 


JaaS 

JaaS 

JaaS 

Nutzername 

Passwort 

IP-Adresse 

JaaS 

JaaS 

Dispatcher 

Login 

Handler 




Fazit 

Shibboleth bietet mit der Möglichkeit JaaS zu nutzen für viele 

Anwendungsfälle bereits ausreichende Möglichkeiten 

Anpassung der Authentifikation zur Anbindung mehrerer IdM-Systeme 

an einen Shibboleth IdP mit minimaler Latenz beim Login-Vorgang 


Vorauswahl des JaaS Moduls zur Authentifikation 

http://dsn.tm.kit.edu/misc_2853.php 

Extended Shibboleth Login Handler 

Alternativ einzusetzen 

Als Zusatz zum JaaS Dispatcher Modul mit angepasstem Callback Handler 

Weitergabe von Nutzername, Passwort und weiterer Attribute 

Attributaufbereitung durch IdM-Software 

Vorbereitung der Attribute zur Weitergabe an die Service Provider 







Herkunft „Shibboleth” 

Bibel (Luther), Richter 12, Vers 5 und 6: 

„und die Gileaditer besetzten die Furten des Jordans vor 

Ephraim. Wenn nun einer von den Flüchtlingen Ephraims sprach: Lass 

mich hinübergehen!, so sprachen die Männer von Gilead zu ihm: Bist du 

ein Ephraimiter? Wenn er dann antwortete: Nein!, 

ließen sie ihn sprechen: Schibbolet. Sprach er aber: Sibbolet, weil er's 

nicht richtig aussprechen konnte, dann ergriffen sie ihn und erschlugen 

ihn an den Furten des Jordans, sodass zu der Zeit von Ephraim fielen 

zweiundvierzigtausend.“ 




Shibboleth „in a nutshell“ 

Zentralisierte Authentifikation und Attributlieferung 

https://intra.kit.edu 

Discovery 

Service 

Identity Provider 

Auswahl Login 

Browser 

AuthN + 

Attribute 



Service Provider 

(Webseite) 




Shibboleth Identity Provider 

Unterteilung in Authentifikation und Attributlieferung 




Management 

Authentifikation 

Attributlieferung 




Shibboleth IdM-Integration am KIT 

Mitarbeiter 

Campus Nord 

Autoritative Quellen 

Mitarbeiter 

Studierende 

Campus Süd 

Gäste 

KIT 


Sub - IdM 

Sub - IdM 

… 

… 

OE 1 OE 2 

Non-OE-spezifische Services, 

auch: KIT-Services

Integrierter Shibboleth Identity Provider g y auf Basis verteilter ...

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?