1 / 75

Jedinstveni digitalni identitet korisnika – kada, zašto, kako ?

Jedinstveni digitalni identitet korisnika – kada, zašto, kako ?. Security Workshop 22.Feb.2011. Marina Vermezovi ć. Sadr žaj. Potreba za AAI i jedinstveni korisnički identitet Korisnička baza Uvod u LDAP Pogled na rsEdu šemu Specifikacija rsEdu šeme Upravljanje korisničkim idenitetima.

idalee
Download Presentation

Jedinstveni digitalni identitet korisnika – kada, zašto, kako ?

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Jedinstveni digitalni identitet korisnika – kada, zašto, kako ? Security Workshop 22.Feb.2011. Marina Vermezović

  2. Sadržaj • Potreba za AAI i jedinstveni korisnički identitet • Korisnička baza • Uvod u LDAP • Pogled na rsEdu šemu • Specifikacija rsEdu šeme • Upravljanje korisničkim idenitetima Akademska mreža Srbije www.amres.ac.rs

  3. Potreba za AAI i jedinstveni korisnički identitet

  4. Osnovni termini • Resursi • zapristupmreži – eduroam, dial-up, VPN • web resursi – e-learning, e-biblioteka, studentskiservisi … - proveraidentitetakorisnika – dodeljivanjeprava i privilegijakorisniku - InfrastrukturazaAutentifikaciju i Autorizacijuolakšava pristup zaštićenim resursima • Autentifikacija • Autorizacija • AAI Akademska mreža Srbije www.amres.ac.rs

  5. Potrebe savremnog akademskog okruženja • Studenti i zaposleni: • žele siguran pristup mreži i web resursima neophodnim za rad i studiranje • resursi su locirani kako unutar matične institucije tako i u drugim institucijama • žele jednostavan pristup resursima • ne sviđa im se da otvaraju i pamte nove naloge za svaki resurs pojedinačno • Administratori resursa: • žele da pruže siguran pristup • pristup samo korisnicima koji imaju pravo na taj resurs • što manje dodatnog posla, što podrazimeva i otvaranje naloga za korisnike Akademska mreža Srbije www.amres.ac.rs

  6. Bez AAI Fakultet A Davaoci Resursa web -mail Auth Autz eduroam Auth Autz e-sednice Auth Autz e-learning Auth Autz Biblioteka Davaoci Resursa e-časopisi Auth Autz e-knjige Auth Autz Akademska mreža Srbije www.amres.ac.rs

  7. Bez AAI • Bez AAI korisnik se registruje kod svakog davaoca resursa. • Problemi su: • Svaki korisnik mora da otvara i pamti veliki broj naloga • Svaki administrator resursa mora sam da registruje i održava podatke o korisnicima Akademska mreža Srbije www.amres.ac.rs izvor: http://www.switch.ch/aai/about/introduction/

  8. Sa AAI Autz Autz Autz Autz Autz Autz Autz Autz Autz Autz Autz Autz Fakultet A Davaoci Resursa web -mail eduroam Davalac identiteta Auth e-sednice Održavanje korisničkih identiteta e-Learning Biblioteka Davaoci Resursa e-časopisi e-knjige Akademska mreža Srbije www.amres.ac.rs

  9. Sa AAI • AAI uprošćava proces AA za sve učesnike • Korisnik se registruje samo jednom u svojoj matičnoj instituciji • Matična institucija upravlja identitetima, odgovorna je za autentifikaciju svojih korisnika • Identitet se nalazi samo na jednom mestu što olakšava održavanje podataka o korisnicima • Autentifikacija se obavlja na matičnoj institicuiji • Odluke o autorizaciji korisnika obavlja davalac servisa Akademska mreža Srbije www.amres.ac.rs izvor: http://www.switch.ch/aai/about/introduction/

  10. Uloge u AAI • Uloge se razdvajaju na: • Davalac identiteta (eng. Identity Provider IdP) • Institucije koje su članice AMRESa • Upravaljaju identitetima svojih korisnika • Vrše autentifikaciju korisnika • Nakon autentifikacije davaocima resursa mogu da daju određene podatke o korisnicima • Davalac resursa (eng. Resource Provider RP) • Institucije koje su članice AMRESa i partneri (potrebno definisati u politici) • Servisi mogu biti: • Za pristup mreži – radius protokol za AA • Web – SAML protokol za AA • Korisnika preusmeravaju da se autentifikuje kod svog IdP • Opciono od IdP traže podatke o korisniku na osnovi kojih mogu da donesu odluke o pristupu servisu • Korisnik • Ima jedne kredencijale samo kod svog IdPa Akademska mreža Srbije www.amres.ac.rs

  11. Šta omogućava AAI ? • Infrastruktura za autentifikaciju i autorizaciju • Olakšava inter-institucionalnu autentifikaciju i autorizaciju • Omogućava korisnicima da istim kredencijalima pristupaju mrežnim i web resursima • Jasno deli uloge na one koji se bave samo upravljanjem identitetima i na one koji obezbeđuju određeni resurs Akademska mreža Srbije www.amres.ac.rs

  12. Krug poverenja Federacija Dijagram AAI na visokom nivou mrеžni RP web RP NAS Web resurs eduroam dial-up VPN AMRES bpd wiki Radius SAML U razvoju IdP Radius SAML Osnova za razvoj svih servisa koji zahtevaju lokalnu i inter-instiucionalnuautentifikaciju i autorizaciju od 11. marta u produkciji Dođitenaeduroam workshop  Baza Korisnika Akademska mreža Srbije www.amres.ac.rs

  13. Korisnička baza Akademska mreža Srbije www.amres.ac.rs

  14. U kojoj bazi čuvati digitalne identitete korisnika • Mogu se čuvati u bilo kojoj bazi: • Relacione : MySQL, ORACLE, Postgre SQL • Hijerarhijske: LDAP, Active Directory • Preporuka je da se koriste hijerarhijske baze Akademska mreža Srbije www.amres.ac.rs

  15. Relacione baze LDAP direktorijum Ne postoji standardna šema za tabele Internacionalni standardi za opis osoba i organizacija Baza korisnika – zašto LDAP? Odnos relacionih baza i LDAP direktorijuma Šema Akademska mreža Srbije www.amres.ac.rs izvor: http://www.terena.org/activities/idm/moldova/intro2LDAP.pdf

  16. Relacione baze LDAP direktorijum Jedan logički entitet smešten u nekoliko tabela Jedan logički entitet Jedan objekat Jedan čvor = ulaz u DITu Baza korisnika – zašto LDAP? Odnos relacionih baza i LDAP direktorijuma Šema Organizacija Akademska mreža Srbije www.amres.ac.rs izvor: http://www.terena.org/activities/idm/moldova/intro2LDAP.pdf

  17. Relacione baze LDAP direktorijum Potrebana nova tabela ili više polja Svi su smešteni u istom atributu Broj nije ograničen Baza korisnika – zašto LDAP? Odnos relacionih baza i LDAP direktorijuma Šema Organizacija Višestruke Vrednosti Akademska mreža Srbije www.amres.ac.rs izvor: http://www.terena.org/activities/idm/moldova/intro2LDAP.pdf

  18. Relacione baze LDAP direktorijum Promene u šemi zahtevaju velike napore. Utiče i na aplikativnu logiku. Modifikacija šeme je granularna. Lako dodavanje atributa. Baza korisnika – zašto LDAP? Odnos relacionih baza i LDAP direktorijuma Šema Organizacija Višestruke vrednosti Fleksibilnost Akademska mreža Srbije www.amres.ac.rs izvor: http://www.terena.org/activities/idm/moldova/intro2LDAP.pdf

  19. Relacione baze LDAP direktorijum Pristup preko mreže nije standardizovan Standardizovan protokol za pristup preko mreže: LDAP Baza korisnika – zašto LDAP? Odnos relacionih baza i LDAP direktorijuma Šema Organizacija Višestruke vrednosti Fleksibilnost Pristup Akademska mreža Srbije www.amres.ac.rs izvor: http://www.terena.org/activities/idm/moldova/intro2LDAP.pdf

  20. Relacione baze LDAP direktorijum Samo proprietary mehanizmi za autentifikaciju Razni standardizovani mehanizmi za autentifikaciju Baza korisnika – zašto LDAP? Odnos relacionih baza i LDAP direktorijuma Šema Organizacija Višestruke vrednosti Fleksibilnost Pristup Autentifikacija Akademska mreža Srbije www.amres.ac.rs izvor: http://www.terena.org/activities/idm/moldova/intro2LDAP.pdf

  21. Relacione baze LDAP direktorijum Optimizovan za veliki broj čitanja Baza korisnika – zašto LDAP? Odnos relacionih baza i LDAP direktorijuma Šema Organizacija Višestruke vrednosti Fleksibilnost Pristup Autentifikacija Optimizacija Akademska mreža Srbije www.amres.ac.rs izvor: http://www.terena.org/activities/idm/moldova/intro2LDAP.pdf

  22. Uvod u LDAP termine

  23. Kako izgleda LDAP? Akademska mreža Srbije www.amres.ac.rs

  24. Kako izgleda LDAP šema ? • Šema se sastoji od klasa eng. objectClass • Klasa sadrži proizvoljan broj atributa • Atributi sadrže konkretne podatke • Atribut definisan u jednoj šemi može da se koristi u klasima definisanim u drugim šemama schema ClassX attributeX attributeX definition Akademska mreža Srbije www.amres.ac.rs

  25. Kako izgleda Klasa? • Ima ime i globalno jedinstven identifikator (OID) • Unutar klase definiše se koji joj atributi pripadaju i da li su obavezni (MUST) ili opcioni (MAY) Akademska mreža Srbije www.amres.ac.rs

  26. Kako izgleda Atribut? • Ima ime i globalno jedinstven identifikator (OID) • Svaki atribut je uključen u jednu ili više klasa • Svaki atribut može biti definisan kao MULTI-VALUE ili SINGLE-VALUE • Za svaki atribut mora da se definiše sintaksa • Za svaki atribut može da se definiše kako se ponaša u nekim uslovima Akademska mreža Srbije www.amres.ac.rs

  27. Kako izgleda LDAP baza ? • LDAP je hijerarhijska baza • Izgleda kao stablo, sa čvorovima u kojima se nalaze podaci • Stablo se zove Directory Information Tree DIT, koren stabla se zove root, a čvorovi se nazivaju entry • Svaki entry ima jednog roditelja i proizvoljan broj dece • Svaki entry ima jednoznačnu poziciju u stablu definisanu sa Distinguished Name – DN • Svaki entry je definisan jednom ili više klasa, a klasa definiše atribute Akademska mreža Srbije www.amres.ac.rs

  28. Standardizovane LDAP šeme • eduPerson (eduPerson200604) • Internet2 MACE group • Dizajniran za direktorujume u kampusima • Atributi opisuju osobe u višem obrazovanju • eduOrg (eduOrg200210) • Internet2 MACE group • Dizajniran za direktorujume u kampusima • Atributi opisuju organizacije u višem obrazovanju • eduMember (eduMember200507) • Internet2 MACE-Dir WG • Rešava problem dodeljivanja prava i privilegija korisnicima kroz grupe • SCHAC • TERENA TF za Middleware, TF-EMC2 • Dopunjuje eduOrg i eduPerson atributima specifičnim za evropski sistem obrazovanja Akademska mreža Srbije www.amres.ac.rs

  29. Šema u AMRES AAI • Korišćenje određene šeme postavlja temelj za razvoj AAI u okruženju sa inter-institucionalnom autentifikacijom i autorizacijom • Institucije koje učestvuju u AMRES AAI moraju koristiti istu šemu zato što: • Unifikuje skup atributa, njihovu namenu i semantiku • Omogućava jednostavnu razmenu i tumačenje atributa prilikom autentifikacije i autorizacije • Davaoci servisa mogu planirati razvoj svojih aplikacija saglasno definisanim atributima Akademska mreža Srbije www.amres.ac.rs

  30. rsEdu šema • Sve akademske mreže u svetu, za potrebe razvoja svoje AAI definisale su šemu koje koriste njihove članice • Postoje 2 opcije: • Korišćenje već standardnih šema • Definisanje nacionalnih šema, uz preuzimanje standardnih atributa • Za potrebe AMRES AAI, definisali smo nacionalnu rsEdu šemu https://bpd.amres.ac.rs/doku.php?id=amres_aai_wiki:start Akademska mreža Srbije www.amres.ac.rs

  31. Na čemu se zasniva rsEdu šema ? • Obuhvata korisnike obrazovnih i naučno-istraživačkih institucija u Srbiji • Pri definisanju šeme oslanjali smo se na: • Obrazovni i sistem naučno-istraživačkih ustanova u Srbiji • Aktuelnestandardezašeme • Iskustva i preporuke ostalih NREN-ova • Glavni princip je: koristitišto veći brojstandardizovanih atributa, a samo za potrebe specifične za sistem u Srbiji definisati nove atribute Akademska mreža Srbije www.amres.ac.rs

  32. Kako izgleda LDAP? dc=inst, dc=ac, dc=rs • Hijerarhijska struktura • DIT – Data Information Tree • Svaki čvor nosi informacije o sebi ou=People class=rsEduPerson class=eduMember ou=Organizations class=rsEduOrg ou=SystemAccounts class=rsEduSystemAccounts Akademska mreža Srbije www.amres.ac.rs

  33. Koliko košta promena šeme ? • Promene nad postojećim atributima su skupe i krajnje nepoželjne • Podrazumevaju da se menjaju sadržaji svih baza • Dodavanje atributa je dozvoljeno (dokle god nisu obavezni) • Ukoliko se neki atribut menja, to se može izvesti uvođenjem novog atributa i postepenim zastarivanjem starog Zato je jako bitno da pri definisanju šeme naše definicije budu što tačnije Akademska mreža Srbije www.amres.ac.rs

  34. Pogled na rsEdu šemu Akademska mreža Srbije www.amres.ac.rs

  35. rsEdu šema • Šema nisu samo podaci o korisnicima • Krozpolja u šemi se rešavaju različiti problemi: • Kakorealizovatiregistraciju korisnika • Na osnovu kojih kredencijala će se obaviti autentifikacija • Na osnovu čega će se obaviti autorizacija • Na osnovu kojih atributa identifikovati osobu • Kako korisnik može da sačuva svoju privatnost • Koji su ostali atributi Akademska mreža Srbije www.amres.ac.rs

  36. 1. Kako realizovati registraciju korisnika • Registracija korisnika se može realizovati na dva načina: • ručno kreiranje digitalnih identiteta korisnika • preuzimanje podataka i sinhronizacija sa različitim izvorima podataka (eng. Source Systems) • Provera identiteta korisnika ? Akademska mreža Srbije www.amres.ac.rs

  37. 1. Kako realizovati registraciju korisnika • Atribut: rsEduPersonUniqueNumber • Sintaksa:  <tip-identifikatora>:<vrednost> • tip-identifikatora može imati jednu od sledećih vrednosti: JMBG, LBO, PASSPORT • Preporuka je da se čuvaju i JMBG i LBO ako postoje • Za osobe koje nemaju ni JMGB ni LBO, čuva se broj pasoša Akademska mreža Srbije www.amres.ac.rs

  38. 1. Kako realizovati registraciju korisnika Legenda: prednost mana Akademska mreža Srbije www.amres.ac.rs

  39. 2. Na osnovu kojih kredencijala će se obaviti autentifikacija • Kredencijali mogu biti: • Korisničko ime i lozinka • Sertifikat • skupo, zahteva dodatnu administrativnu i tehnički infrastrukturu => neskalabilno • Korisnik ima jedno korisničko ime i lozinku koje koristi za lokalne servise i pri inter-institucionalnoj autentifikaciji Akademska mreža Srbije www.amres.ac.rs

  40. 3.Na osnovu čega će se obaviti autorizacija • Prvopokušati da se upotrebi neki od postojećih atributa koji opisuju osobu • Prednost je što ne mora ništa da se dodaje • Mana što se može desti da nije dovoljno granularno • Ako ne postoji, onda korisniku dodati neki atribut koji opisuje njegovu ulogu na sistemu • Prednost je što se privilegije mogu dodeliti na nivou pojedinačnog korisnika • Mana je što mora ručno da se dodaje Students only Admins only Akademska mreža Srbije www.amres.ac.rs

  41. 3.Na osnovu čega će se obaviti autorizacija • Postojeći atributi koji se najčešće koriste: • rsEduPersonAffiliation • rsEduPersonScopedAffiliation • Dodatni atributi koji se mogu koristiti: • eduPersonEntitlement – omogućava jedinstveno imenovanje, inter-institucionalna authz! • grupe – dosta zastupljen način, ali prevashodno za lokalne servise Akademska mreža Srbije www.amres.ac.rs

  42. 4. Na osnovu kojih atributa identifikovati osobu • RP često imaju potrebu da znaju ko je određeni korisnik (npr. da bi sačuvali preference tog korisnika) • IdP strogi - pri AA ne odaju lične informacije o korisniku • Bilo je potrebno uvesti identifikator tako da se: • čuva anonimnost korisnika • ne odaje podatke o njemu • davaoci resursa ne mogu dovoditi u međusobnu vezu korisnike Akademska mreža Srbije www.amres.ac.rs

  43. 4. Na osnovu kojih atributa identifikovati osobu eduPersonTrgetedId • Trajan identifikatorkorisnikakojirazmenjujudavalacservisa i davalacidentiteta • Nikada se ne dodeljujeponovo i ne sadržinikakvepodatke o korisniku • Davalacidentitetakoristirazličite vrednosti kada predstavlja istog korisnika različitim davaocima resursa • Može da bude generisan kao heš funkcija nekih podataka o korisniku i podataka o davaocu resursa • Ima definisan format – objašnjenje u tehničkim detaljima Akademska mreža Srbije www.amres.ac.rs

  44. 5. Kako korisnik može da sačuva svoju privatnost • Jedan od načina da se sačuva privatnost korisnika jeste da sam korisnik naznači koji podaci o njemu su privatni. schacUserPrivateAttribute • Vrednosti su imena atributa koje korisnik smatra privatnim • Vrednostiatributanavedeni u ovomatributu ne treba da bududostupni van matičneinstitucije. Akademska mreža Srbije www.amres.ac.rs

  45. 6. Koji su ostali atributi • Podaci o korisniku • Lični podaci • Privatne i poslovne kontakt informacije • Povezanost sa ustanovom • Podaci o instituciji • Opšti podaci • Kontakt informacije • Identifikatori i ključevi • Koriste se za jedinstveni identifikaciju korisnika i institucija • Koriste se za povezivanje sa drugim izvorima podatka o korisnicima (Studentska služba, zdravstveni sistem) • Autorizacija i privilegije • Postojeći atributi • Specijalni atributi koji izražavaju role i privilegije • Poverljivost podataka • Korisnik može da naznači koji podaci o njemu su poverljivi • Autentifikacija • Kredencijali Akademska mreža Srbije www.amres.ac.rs

  46. Specifikacija rsEdu šeme

  47. rsEdu klase • rsEduPerson • Sadrži atribute koji opisuju osobu • Sadrži atribute koji se odnose na osobu u smislu njene povezanosti sa institucijom • rsEduOrg • Sadrži atribute koji opisuju instituciju Akademska mreža Srbije www.amres.ac.rs

  48. rsEdu atributi • Svaki atribut ima: • kratak opis • detaljne napomene vezane za njegovu upotrebu • definisanu LDAP sintaksu – (poput tipa podataka u relacionim bazama) • definisan skup dopuštene vrednosti • Za sve atribute koje imaju strogo definisan skup vrednosti napravili smo šifarnike • primer korišćenja • za atribute koji su preuzeti iz drugih šema, date su preporuke za korišćenje unutar AMRESa, ukoliko je bilo potrebno Akademska mreža Srbije www.amres.ac.rs

  49. rsEduPerson • Lični Podaci • cn(Ime i prezime) • sn(Prezime) • givename(Ime) • schacDateOfBirth(Datum Rođenja Osobe) • schacGender(Pol Osobe) • rsEduPersonEduLevel(Školska Sprema) • preferredLanguage(Preferirani jezik) • jpegPhoto(Slika Osobe) Akademska mreža Srbije www.amres.ac.rs

  50. rsEduPerson • Privatne kontakt Informacije • homePhone(Kućni Telefonski Broj) • homePostalAddress(Kućna poštanska adresa) • rsEduAccessPhoneNumber(Pristupni Telefon) Akademska mreža Srbije www.amres.ac.rs

More Related