ULAKAAI Kimlik Federasyonu

1. ULAKAAI Kimlik Federasyonu SerdarYiğit ULAKNETÇE 2011

2. Başlıklar • Motivasyon • Kimlik Doğrulama ve Yetkilendirme • KDY Mekanizmaları • Dağıtık • Tek Oturum Açma ( SSO ) • Kimlik Federasyonu Kavramı • ULAKAAI Kimlik Federasyonu • ULAKAAI Bileşenleri • REFEDs • SWITCHaai, UKFederation • eduGAIN

3. Motivasyon • Gün geçtikçe ULAKNET içindeki çoklu etki alanları arasında çalışan servisler artıyor, artacak. • Kütüphane Servisleri • Uzaktan Eğitim Servisleri • ULAKNET Servisleri • ….. Servisler • “ULAKNET içerisindeki farklı etki alanları arasında kimlik doğrulama ve yetkilendirme” nasıl gerçekleştirilmeli” • Şu anki işleyiş ve özel çözümler • Tek oturum açma yöntemi ( SSO ) • Federasyon Kavramı

4. Kimlik Doğrulama ve Yetkilendirme • Kimlik Doğrulama • Kullanıcı adı + parola + diğer bilgilerin doğruluğu /etc/passwdrfidkerberos PKI BiometricsOne-Time Pass • Yetkilendirme • Servise erişim yetkisi kontrolü LDAP Radius vb.

5. Kimlik Doğrulama ve Yetkilendirme Mekanizmaları ( Dağıtık )

6. Kimlik Doğrulama ve Yetkilendirme Mekanizmaları (Dağıtık) • Dezavantajları • Kullanıcı açısından parola yönetimi • Yönetim ve bakım için harcanan işgücü • Avantajları • “Uygulaması kolay”?

7. Kimlik Doğrulama ve Yetkilendirme MekanizmalarıTek Oturum Açma ( SingleSign-On) KerberosShibboleth SimpleSAMLphp JBOSS SSO GoogleApps SSO Athens Service OpenID

8. Kimlik Doğrulama ve Yetkilendirme MekanizmalarıTek Oturum Açma ( SingleSign-On) • Avantajları • Kullanıcı bilgileri kurum içinde ( Kısmen ) • Kullanıcılar açısından parola yönetimi kolay • Sistemci açısından kimlik yönetimi kolay • İşgücü ve maliyet düşük • Dezavantajları • Tek bir TOA (SSO) sunucusu kullanmak • “Uygulamadaki zorluklar”?!

9. ULAKNET - Tek Oturum Açma

10. Kimlik Doğrulama ve Yetkilendirme MekanizmalarıTek Oturum Açma ( SingleSign-On) • “TOA (SSO) - Çoklu etki alanları arasında çalışmak için yeterli mi?!”

11. Kimlik Federasyonu Kavramı • Kimlik Federasyonu ; • Belirli bir kural seti, • Teknik Standartlar, altında tüm kimlik doğrulama ve yetkilendirme sistemlerinin birlikte çalışabilmesini amaçlar. Böylece ; • Farklı altyapıların birlikte çalışabilmesi, • Altyapılar arası güvenin sağlanması, • Etki alanlarındaki servislerin ağ dışına da açılması, gibi isteklere çözüm getirir.

12. ULAKAAI Kimlik Federasyonu ( Pilot ) ULAKAAI • ULAKNET içerisindeki kdy sistemlerinin birleşmesini, • Elektronik kaynakların ve servislerin tüm etki alanıyla paylaşılabilmesini, sağlamak amacıyla kurulmuş kimlik federasyonudur.

13. ULAKAAI Kimlik Federasyonu

14. ULAKAAI Bileşenleri • Teknik Bileşenler • Kimlik Sağlayıcılar • Kimlik Doğrulama ( authentication ) • Kullanıcı Nitelikleri ( userattributes ) • Servis Sağlayıcılar • Yetkilendirme ( authorization ) • Nitelik Filtreleme ( attributefiltering ) • Federasyon Bağlantı Noktası • Karşılama Servisi ( Discovery Service ) • Metadata Deposu • Federasyon KS ve SS Bilgileri

15. ULAKAAI Bileşenleri

16. ULAKAAI Bileşenleri • İdari • ULAKAAI Yönetim Grubu • Federasyona katılım ( idari işler ) • Diğer federasyonlarla ilişkiler • ULAKAAI İşletim Grubu • Federasyona katılım ( teknik işler ) • * Federasyon Politikası * • Kural Seti ( Sözleşme ) • Kurum ile Federasyon Merkezi arasında imzalanır.

17. ULAKAAI Bileşenleri

18. Federasyonsuz KDY 1) Erişebilir miyim? 2) Yetkin Var mı???? 3) Kullanıcı adı ve Parola Versem? Servis Sağlayıcı Kimlik Sağlayıcı • Kullanıcı kimlik ve nitelik bilgileri herkesçe biliniyor • Servis Sağlayıcı gereğinden fazla ve ihtiyacından daha az veriye sahip • Kurumların değerli bilgileri, servislere dağıtılıyor

19. Federasyonlu 3) Yetkim Var mı? 1) Erişebilir miyim? 2) Yetkin Var mı? Kimlik Sağlayıcı Servis Sağlayıcı 4) Kimlik Bilgileri ve Yetkileri • Kullanıcı kimlik bilgileri kurum içerisinde kalıyor • Servis Sağlayıcı sadece ihtiyacın olanı biliyor • Dağıtılılan nitelikler azalıyor ve daha kontrollü gerçekleşiyor

20. ULAKAAI • Federasyon Uygulamaları • SimpleSAMLphp • Shibboleth • Federasyonlar tarafından geliştirilen diğer uygulamalar • SAML Protokolü • Etki alanları arasında ( KS <-> SS ) kimlik doğrulama ve yetkilendirme verilerinin değişimi için kullanılan XML tabanlı açık standarttır. • OASIS tarafından geliştirilmiş • Avustralya,Danimarka,Finlandiya,Fransa,Norveç,İsviçre,İsveç,Amerika SAML tabanlı federasyonlar

21. ULAKAAI Pilot • Federasyon Uygulamaları • SimpleSAMLphp • LDAP, sql, radius vb. modulleri var, • Kurulumu ve bakımı kolay, • Türkçe kurulum dökümanı hazırlandı. • Web geliştirici ekibimiz konuya hakim • Free Software • Shibboleth • SAML destekliyor, • Türkçe doküman yok, uygulayan yazarsa seviniriz ;)

22. ULAKAAI Pilot REFEDS Research and Education Federations

24. Dünyadaki Kimlik Federasyonlarıİstatistikler • Dünya Genelinde 30 Federasyon bulunuyor. ( Akademik ) • SWITCHaai ( İsviçre Akademik Ağı Genelinde ) • Ağustos 2005 ‘ ten bu yana çalışır halde, • 300'000 akademik personel (İsviçre Akademik Ağının %96 ‘ sı) • 44 Kimlik Sağlayıcı (IDP), 475 Servis Sağlayıcı (SP) • Son 12 ayda 10 Milyon oturum açılmış • UKFederation ( İngiltere Genelinde ) • 30 Ekim 2006 ‘ dan bu yana çalışır halde • Üye Kurum Sayısı (Lise ve Üniversiteler dahil) 864 • İngiltere Akademik Ağının %90 ‘ ı

25. eduGAIN • eduGAIN • Federasyonların Federasyonu • eduroam mimarisi gibi, federatif bir yapı, • Network tabanlı SSO : eduroam • Web/Servis tabanlı SSO : eduGAIN

26. eduGAIN • eduGAIN ‘ e Katılım • Kural Seti • Teknik Standartlar • ULAKAAI katılıyor, üniversiteler ULAKAAI üzerinden dahil oluyor. • Avrupa ‘ daki servislerden ULAKNET kullanıcıları da yararlanabiliyor

27. ULAKAAI Pilot • ULAKAAI Pilot Aşaması ilerleyengünlerde • Web sitesihttp://aai.ulak.net.tr • Kurulum ve çeviri dökümanları • ulakaai@ulakbim.gov.tr • ÇOMÜ ile testler devam ediyor. Testlere • katılmak isteyen diğer kurumlar ile bir çalışma • grubu oluşturulup çalışmalara devam edilecek.

28. Sorular – Eksikler • ?