1 / 29

Infraservices (AA Middleware)

Infraservices (AA Middleware). TREFpunkt, 20—21 oktober 2004 Torbjörn Wiberg CIO, UmU. Innan vi börjar: Infraservice? . Infraservice = Infrastrukturell Nättjänst AA Middleware AA = Autentisering o Auktorisation Middleware kan vara mycket mer

ciara-rojas
Download Presentation

Infraservices (AA Middleware)

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Infraservices (AA Middleware) TREFpunkt, 20—21 oktober 2004 Torbjörn Wiberg CIO, UmU T Wiberg, UmU

  2. Innan vi börjar:Infraservice? • Infraservice = Infrastrukturell Nättjänst • AA Middleware • AA = Autentisering o Auktorisation • Middleware kan vara mycket mer • Infrastrukturell = av intresse och betydelse för många applikationer • En tjänst för få kan utvecklas till att bli en del av infrastrukturen. • jfr e-post och OH-apparater T Wiberg, UmU

  3. Några observationer och trender som rör området • Flera IT-system är verksamhetskritiska • datornätet (med DNS), e-postsystemet, webben, • nya: katalogen, autentiseringstjänsten • ”Varje” student och ”varje” anställd blir användare i våra system • reseräkning, kalender, lokalbokning • Vi får alltfler ”småsystem” med många användare • Klientdatorerna är servrar • eBusiness är en självklarhet för nya studenter • Dom besitter en hög grad av eReadyness T Wiberg, UmU

  4. Relevanta IT-strategier • Webben är vår främsta informationskanal • Centralisera för högre effektitet och kvalitet • Inför Informationssamhället på UmU • papper, processer, ärenden mm • Samarbeta organiserat med likasinnade • Använd och jobba med Open Source T Wiberg, UmU

  5. Relevanta IT-strategier • Interninformation ska spridas genom personliga portaler • uPortal • kalender, webbmail, fillagring • planeringsverktyg • tjänster • Elektroniska identiteter ska införas och användas • EN elektronisk identitet • på objekt och personer T Wiberg, UmU

  6. Elektroniska identiteter • eFörvaltning  samverkande system • mellan myndigheter och inom (integration) • av säkerhetsskäl måste systemkomponenterna identifiera sig för varandra • servrarna registreras i en Koncernkatalog • SwUPKIs servercertifikat • Personerna i en koncernkatalog • identitet - först användarnamn/lösenord, sen certifikat • effektivitetsvinster i att utnyttja en koncernkatalog T Wiberg, UmU

  7. Hur arbetar jag med dessa strategier? Ja t.ex • Inför elektroniska identiteter som kan användas i många sammanhang (EN eID) • Se till att de harmonierar/interoperar • ... över Sverige, Norden, Europa, Nordamerika • Samverka kring Infraservice software, harmonisering, införande och anpassning av applikationer T Wiberg, UmU

  8. Sunets uppdrag till UmU • ... att verka för att en harmoniserad Infraservice- infrastruktur införs vid svenska högskolor (från 040401) • helst en som harmonierar med Norden, Europa och USA också • det finns ett scenario som ledstjärna (för övrigt samma scenario som satts som mål i ett delprojekt i GEANT2): • Det finns ett förslag att utöka omfattningen – jag beskriver senare hur jag vill arbeta med det utökade uppdraget T Wiberg, UmU

  9. Scenarios to Support • It shall be possible for • an employee from UmU visiting Oslo University to be given access to local resources (network, library ...) after being authenticated at home. • a student from Oslo University taking a course at UmU to, after registering on the course, automatically be given access to library data bases and be authorised to work in Ping-Pong, our LMS • the members of a cooperative project (between UmU and several other universities) to be authorised to work in our project support software • a newly appointed Prefekt to automatically be authorised to use our business systems in any way our delegation decision implies T Wiberg, UmU

  10. En förutsättning för framgångsrik samverkan • Jag menar att man, för att vara framgångsrik, enbart ska samverka i projekt • där alla parter är beredda att satsa en del egna pengar • man ska inte ha anspråk på att få tillbaka dessa • resultatet ska vara fritt tillgängligt för oss alla • Två projekt jag drivit på det sättet är • SwUPKI – en PKI för svenska högskolan (driften betalas av medlemmarna) • SPOCP – en policybaserad auktorisationsserver T Wiberg, UmU

  11. Modell för Sunet-uppdraget • Jobba i projekt flr att realisera scenarierna • Bilda en strategisk allians mellan parter som är beredda att samarbeta långsiktigt enligt modellen och bilda kärnan i projekten. Åtaganden: • Delta i styrgrupp för uppdraget • Delfinansiera projekten • Tillhanda utvecklingsresurser för avrop i projekten • Jobba fram arkitektur och principiella lösningar tillsammans med en grupp av experter T Wiberg, UmU

  12. Modell för Sunet-uppdraget ... • Erbjud övriga högskolor att ingå i projekten, som vanlig part eller som ”early adopters” – med införandestöd från prån projektet • Ordna temadagar där experter och implementörer deltar • Skapa en struktur för långsiktig förvaltning av de anpassningar och produkter som utvecklas • Bland leveranserna ska så småningom en hel infraserviceinfrastruktur ingå. Tanken är att man ska kunna ersätta komponenter med sådana man amvänder för att kunna göra tester T Wiberg, UmU

  13. Nu till nuläget – vad är på gång • Webbplats på gång • http://www.umu.se/it/projupp/infratj/ • Katalogdag på Stockholms universitet 25 nov • Ett strategiskt/policyspår o ett tekniskt • Anmälan tidigast fredag påhttp://www.umu.se/it/projupp/infratj/konf • Arbetsgrupp som ska föreslå unitcf och hitcf en uppsättning standardfunktioner/roller som ej behöver förklaras och som kan användas för enkel auktorisation T Wiberg, UmU

  14. Elektroniska identiteter • När är det dags för certifikat? • så snart kostnaden är acceptabel • jag tror den är det nu • statskontorets upphandling eller i egen regi • projekt: SU, UmU, UU o kanske GU • En förutsättning för vissa delar av 24h-myndigh • Teknikvalen kommer att begränsas när vi gått in på en sådan väg • Bieffekt – mindre spam • acceptera enbart signerad internpost T Wiberg, UmU

  15. Externalisation of Infraservice Functionality • I prefer the application perspective on Infraservices (before a network perspective): • The idea of Infraservices (Middleware) is to identify common functionality in applications and to explore the possibilities opened through an externalisation of these functions • Directory Services • Authentication Service • Authorisation Service • Discovery Services • Agents/Proxies • ... T Wiberg, UmU

  16. Components of a Supporting Infrastructure • Issuing of electronic identities – only for servers • PKI – SwUPKI has been up since 2001 • Enterprise Directory – strong harmonisation efforts • Mechanisms of authentication – A few • Local authentication service - Various • Distributed authentication service • Attribute service (”LDAP”) – A few • Access Control service – Distributed Netlogon • Authorisation Service - SPOCP T Wiberg, UmU

  17. Harmonisation Arenas • Unitcf – the swedish universities’ CIO/CTO network • Codex – swedish code exchange cooperation network • Gnomis – nordic middleware coordination network • Terena – network of national research networks • Eunis – network of campus IT ... • Internet2 – US project • NMI – NSF Middleware Initiative • For each problem we are preparing to solve we decide what arenas we shall strive to harmonise with T Wiberg, UmU

  18. Current Swedish Infraservice Harmonisation Situation • Cooperating servers in distributed systems often have server certificates from SwUPKI • Directory harmonisation is under way in Codex and Gnomis • There are many different Authentication Services • Net-logon – Protocol and service has just been implemented in Codex - cwaa • Authorisation – SPOCP is being deployed • Identity Certificates –a new national procurement just done T Wiberg, UmU

  19. SwUPKI – The Swedish PKI for Higher Education • One common CP, separate CPSs • It is a club – www.swupki.su.se • started in february 2001 • 7 members dec 2003 • Codex Netlogon protocol requires server certificates • Stockholm University is Policy Management Authority • Accepts new members • Carries out inspections • May decide to cross certify with other • Umeå University is Policy CA • Issues certificates to the member CAs • Preparations are made to organise issuance of identity certificates if the current national procurement wont result in usable certificates (for economic or other reasons) T Wiberg, UmU

  20. Enterprise Directory • More than a telephone book or an e-mail directory! • Every person affiliated with the organisation shall be in the directory • Present the list to the dean and say: This is my personnel! • Attributes of relevance for authorisation shall be registered • The maintenance shall reflect the delegation of responsibility • If for ex authority follows with being a chairman, the assignment of that attribute shall be done by those who appointed her • All information in the directory is not available through anonymous LDAP-requests • Question: What attributes shall on what grounds be made available to what application (privacy issue, and organisational security issues) T Wiberg, UmU

  21. Harmonisation of Directories • Work on Harmonisation of directories has been done in Codex • The instruction is to strive for harmony on the Scandinavian arena • norEduPerson – done • norEduOrg – done • norEduCourse – A proposed schema for courses were discussed in Codex 031211. It will be evaluated further with the goal to finalise a Gnomis proposal in march. T Wiberg, UmU

  22. Swedish Authentication Harmonisation? • We need to decide who to trust • for network and basic service access • for single signon • Many different approaches and mechanisms • Harmonise • levels of strength • Message formats • Build federations • How does it scale • nationally • internationally • Codex has specified a protocol for a Netlogon Service • It is currently being evaluated • It allows different authentication mechanisms at the home authentication service • Each university decides who to trust T Wiberg, UmU

  23. Authorisation is not only Access Control! • It is easy to mistake Authorisation for just Access Control • We mean that authorisation at least can be ”the right for a Subject to perform an Action on a Resource, an object belonging to some application space” T Wiberg, UmU

  24. SPOCP - Where do we stand? • We have not found any serious flaws in the approach • the policy language can’t express what is forbidden, only what is permitted • We need to understand better the process of developing a policy • We have some tools for policy management but need more • There are commands that modify the policy but we need powerful tools • We need tools for browsing the authority space • We do not yet have software that supports policy management for those who dont know the policy language T Wiberg, UmU

  25. SPOCP - Where do we stand? 2 • SPOCP plays a central role in our development of personal portals • the portal channels need to support external authn/authz • We require that new applications can take advantage of authn/authz services • often the first time they have heard this requirement • mail distribution list manager • meeting/classroom reservation system T Wiberg, UmU

  26. Deployment Status of SPOCP • We are in a deployment with early adopters • It has been/is being deployed in • PAPI – a spanish authorisation system used for authorising users for content providers • by SU as theur general AuthZ system • Ladok på Webb – the swedish national student record system • NyA – the swedish national HigherEd admission system T Wiberg, UmU

  27. Deployment Status of SPOCP forts • It will be/has been deployed in • Umeå University as its main authorisation system • Karolinska Institutet as the Authorisation System for its LDAP Access • FEIDE (a Norwegian project concerned with management of identities and authentication ...) is evaluating it to authorise attribute release from its LDAP directories T Wiberg, UmU

  28. Identity Certificates in Swedish Higher Education • A couple of large universities are seriously considering to provide identity certificates for their students • citizens certificates or SwUPKI certificates • decision during 2004 probably • 25-30% of the swedish student population • for signing eMail and for authentication T Wiberg, UmU

  29. Infraservices (AA Middleware) TREFpunkt, 20—21 oktober 2004 Torbjörn Wiberg CIO, UmU T Wiberg, UmU

More Related