ULAKAAI Kimlik Federasyonu ve Edugain - Ulakbim

ULAKAAI
Kimlik Federasyonu
Serdar Yiğit
ULAKNETÇE 2011

Başlıklar
• Motivasyon
• Kimlik Doğrulama ve Yetkilendirme
• KDY Mekanizmaları
– Dağıtık
– Tek Oturum Açma ( SSO )
• Kimlik Federasyonu Kavramı
• ULAKAAI Kimlik Federasyonu
– ULAKAAI Bileşenleri
• REFEDs
– SWITCHaai, UKFederation
• eduGAIN

Motivasyon
• Gün geçtikçe ULAKNET içindeki çoklu etki alanları arasında
çalışan servisler artıyor, artacak.
– Kütüphane Servisleri
– Uzaktan Eğitim Servisleri
– ULAKNET Servisleri
– ….. Servisler
• “ULAKNET içerisindeki farklı etki alanları arasında kimlik doğrulama
ve yetkilendirme” nasıl gerçekleştirilmeli”
• Şu anki işleyiş ve özel çözümler
• Tek oturum açma yöntemi ( SSO )
• Federasyon Kavramı

Kimlik Doğrulama ve
Yetkilendirme
• Kimlik Doğrulama
– Kullanıcı adı + parola + diğer bilgilerin doğruluğu
/etc/passwd rfid kerberos PKI
Biometrics One-Time Pass
• Yetkilendirme
– Servise erişim yetkisi kontrolü
LDAP Radius
vb.

Kimlik Doğrulama ve Yetkilendirme
Mekanizmaları ( Dağıtık )

Kimlik Doğrulama ve Yetkilendirme
Mekanizmaları (Dağıtık)
• Dezavantajları
– Kullanıcı açısından parola yönetimi
– Yönetim ve bakım için harcanan işgücü
• Avantajları
– “Uygulaması kolay”?

Kimlik Doğrulama ve Yetkilendirme
Mekanizmaları
Tek Oturum Açma ( Single Sign-On)
Kerberos Shibboleth SimpleSAMLphp JBOSS SSO
Google Apps SSO Athens Service OpenID

Kimlik Doğrulama ve Yetkilendirme
Mekanizmaları
Tek Oturum Açma ( Single Sign-On)
• Avantajları
– Kullanıcı bilgileri kurum içinde ( Kısmen )
– Kullanıcılar açısından parola yönetimi kolay
– Sistemci açısından kimlik yönetimi kolay
– İşgücü ve maliyet düşük
• Dezavantajları
– Tek bir TOA (SSO) sunucusu kullanmak
– “Uygulamadaki zorluklar”?!

ULAKNET - Tek Oturum Açma

Kimlik Doğrulama ve Yetkilendirme
Mekanizmaları
Tek Oturum Açma ( Single Sign-On)
• “TOA (SSO) - Çoklu etki alanları arasında çalışmak
için yeterli mi?!”

Kimlik Federasyonu Kavramı
• Kimlik Federasyonu ;
– Belirli bir kural seti,
– Teknik Standartlar,
altında tüm kimlik doğrulama ve yetkilendirme sistemlerinin birlikte
çalışabilmesini amaçlar.
Böylece ;
• Farklı altyapıların birlikte çalışabilmesi,
• Altyapılar arası güvenin sağlanması,
• Etki alanlarındaki servislerin ağ dışına da açılması,
gibi isteklere çözüm getirir.

ULAKAAI Kimlik Federasyonu
( Pilot )
ULAKAAI
– ULAKNET içerisindeki kdy sistemlerinin birleşmesini,
– Elektronik kaynakların ve servislerin tüm etki alanıyla
paylaşılabilmesini,
sağlamak amacıyla kurulmuş kimlik federasyonudur.

ULAKAAI Kimlik Federasyonu

ULAKAAI Bileşenleri
• Teknik Bileşenler
– Kimlik Sağlayıcılar
• Kimlik Doğrulama ( authentication )
• Kullanıcı Nitelikleri ( user attributes )
– Servis Sağlayıcılar
• Yetkilendirme ( authorization )
• Nitelik Filtreleme ( attribute filtering )
– Federasyon Bağlantı Noktası
• Karşılama Servisi ( Discovery Service )
• Metadata Deposu
– Federasyon KS ve SS Bilgileri

ULAKAAI Bileşenleri

ULAKAAI Bileşenleri
• İdari
– ULAKAAI Yönetim Grubu
• Federasyona katılım ( idari işler )
• Diğer federasyonlarla ilişkiler
– ULAKAAI İşletim Grubu
• Federasyona katılım ( teknik işler )
* Federasyon Politikası *
• Kural Seti ( Sözleşme )
• Kurum ile Federasyon Merkezi arasında imzalanır.

ULAKAAI Bileşenleri

Federasyonsuz KDY
Kimlik Sağlayıcı
Servis Sağlayıcı
• Kullanıcı kimlik ve nitelik bilgileri herkesçe biliniyor
• Servis Sağlayıcı gereğinden fazla ve ihtiyacından daha az veriye sahip
• Kurumların değerli bilgileri, servislere dağıtılıyor

Federasyonlu
Kimlik Sağlayıcı
4) Kimlik Bilgileri ve Yetkileri
Servis Sağlayıcı
• Kullanıcı kimlik bilgileri kurum içerisinde kalıyor
• Servis Sağlayıcı sadece ihtiyacın olanı biliyor
• Dağıtılılan nitelikler azalıyor ve daha kontrollü gerçekleşiyor

ULAKAAI
• Federasyon Uygulamaları
– SimpleSAMLphp
– Shibboleth
– Federasyonlar tarafından geliştirilen diğer uygulamalar
• SAML Protokolü
– Etki alanları arasında ( KS SS ) kimlik doğrulama ve
yetkilendirme verilerinin değişimi için kullanılan XML
tabanlı açık standarttır.
– OASIS tarafından geliştirilmiş
– Avustralya,Danimarka,Finlandiya,Fransa,Norveç,İsviçre,İs
veç,Amerika SAML tabanlı federasyonlar

ULAKAAI Pilot
• Federasyon Uygulamaları
– SimpleSAMLphp
• LDAP, sql, radius vb. modulleri var,
• Kurulumu ve bakımı kolay,
– Türkçe kurulum dökümanı hazırlandı.
• Web geliştirici ekibimiz konuya hakim
• Free Software
– Shibboleth
• SAML destekliyor,
• Türkçe doküman yok, uygulayan yazarsa seviniriz ;)

ULAKAAI Pilot
REFEDS
Research
and
Education
Federations

Dünyadaki Kimlik Federasyonları
İstatistikler
• Dünya Genelinde 30 Federasyon bulunuyor. ( Akademik )
• SWITCHaai ( İsviçre Akademik Ağı Genelinde )
• Ağustos 2005 ‘ ten bu yana çalışır halde,
• 300'000 akademik personel (İsviçre Akademik Ağının %96 ‘ sı)
• 44 Kimlik Sağlayıcı (IDP), 475 Servis Sağlayıcı (SP)
• Son 12 ayda 10 Milyon oturum açılmış
• UKFederation ( İngiltere Genelinde )
• 30 Ekim 2006 ‘ dan bu yana çalışır halde
• Üye Kurum Sayısı (Lise ve Üniversiteler dahil) 864
• İngiltere Akademik Ağının %90 ‘ ı

eduGAIN
• eduGAIN
• Federasyonların Federasyonu
• eduroam mimarisi gibi, federatif bir yapı,
• Network tabanlı SSO : eduroam
• Web/Servis tabanlı SSO : eduGAIN

eduGAIN
• eduGAIN ‘ e Katılım
• Kural Seti
• Teknik Standartlar
• ULAKAAI katılıyor, üniversiteler
ULAKAAI üzerinden dahil
oluyor.
• Avrupa ‘ daki servislerden
ULAKNET kullanıcıları da
yararlanabiliyor

ULAKAAI Pilot
• ULAKAAI Pilot Aşaması ilerleyen günlerde
• Web sitesi http://aai.ulak.net.tr
• Kurulum ve çeviri dökümanları
• ulakaai@ulakbim.gov.tr
• ÇOMÜ ile testler devam ediyor. Testlere
katılmak isteyen diğer kurumlar ile bir çalışma
grubu oluşturulup çalışmalara devam edilecek.

Sorular – Eksikler
?