1 / 38

Prostředky osobní identifikace

Prostředky osobní identifikace. Luděk Rašek. IAM. Identity & Access management. Motivace. Co m áme Mnoho r ůznorodých systémů Co požadujeme Efektivita správy Bezpečnost Uživatelský komfort Jak toho dosáhneme Definice procesů životního cyklu identity

luyu
Download Presentation

Prostředky osobní identifikace

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Prostředky osobní identifikace Luděk Rašek

  2. IAM Identity & Access management

  3. Motivace • Co máme • Mnoho různorodých systémů • Co požadujeme • Efektivita správy • Bezpečnost • Uživatelský komfort • Jak toho dosáhneme • Definice procesů životního cyklu identity • Technologie – vznikne a/nebo přizpůsobíme

  4. Definice NIST: An Identity Management System isany system that creates, issues, uses, andterminates electronic identities. In otherwords, an Identity Management Systemprovides lifecycle management for thedigital credential sets that representelectronic identities. • Vytvoření identity • Předání identity • Používání identity • Ukončení identity

  5. Vytvoření digitální identityprocesy • Určení primárního zdroje identity • V případě více zdrojů – způsob konsolidace identity • Jednoznačný identifikátor • Definice • Mapování na identity v systémech • Proces zřízení identity • Workflow • Promítnutí do koncových systémů

  6. Vydání digitální identityprocesy • Předání přístupových údajů a prostředků • Uživatelské(á) jméno(a) • Heslo(a) • Čipové karty • USB tokeny • OTP tokeny • Nasnímání biometrické šablony

  7. Používání digitální identityprocesy • Přihlašování/přidělování přístupu • Údržba identity • Změna hesel • Reset hesla • Aktualizace přidělených skupin/rolí • Řešení krizových situací (zapomenutá/ztracená přístupová karta apod.) • Auditing využívání identit • Reporting vyžívání identit

  8. Ukončení digitální identityprocesy • Často zanedbáváno • Zásadní pro zachování bezpečnosti systému • Ukončení používání identity • Identita se zpravidla nemaže z důvodu vazby na auditní logy a jiné záznamy • Blokace identity • Nutno promítnout do všech systémů

  9. Tvorba digitální identitytechnologie • Automatické propojení se primárním zdrojem identit • Personální systém • Základní informační systém (např. ActiveDirectory) • Nástroj(e) pro konsolidaci identit • Centrální konsolidovaná DB identit • Meta directory • Sjednocuje více zdrojů údajů o uživatelích • Nabízí jednotné rozhraní pro všechny závislé systémy

  10. Vydání digitální identitytechnologie • Podpůrné aplikace pro předání uživatelského jména, hesla • Personalizace čipové karty • Elektronická – zápis dat na kartu • Fyzická – potisk karty (pokud se používá) • Vydání certifikátu • Samoobslužné / s registrační autoritou • Stanice pro získání biometrických šablon

  11. Vydání digitální identitytechnologie • Distribuce údajů do systémů - provisioning • Žádná – systém je integrován přímo s hlavním úložištěm uživatelských údajů (LDAP, Kerberos, SAML, …) • Tvorba účtů v cílových systémech • Agentská – na cílovém systému je provozována komponenta, která zakládá odpovídající účty • Bezagentská – cílový systém je podporován přímo systémem správy identit • Online/Dávková

  12. Používání digitální identitytechnologie • Centrální nástroj pro správu identit bezpečnostním správcem • Samoobslužná správa identity • Reset hesla • Odemčení účtu • Single-sign On – všechny systémy přístupné pomocí jednoho přilhášení • Kerberos • PKI • Auditing/Reporting nástroje

  13. Ukončení digitální identitytechnologie • Odstraňování/blokace identit (deprovisioning) • Obdoba vydání identity se stejnými nástroji • Důležitá zejména z procesního hlediska

  14. Prostředí • Intranet • Uzavřené řízené prostředí • Důvěryhodné prostředí • Striktně spravované stanice se známým SW vybavení • Technologie: LDAP, Kerberos, SAML… • Internet • Heterogenní prostředí • Nedůvěryhodné prostředí • Neznámé vybavení na klientských počítačích • Společný jmenovatel: prohlížeč (bohužel existují nekompatibility) • Technologie: OpenID, OAuth, SAML

  15. Technologie

  16. Přehled • LDAP • Kerberos • SAML • OpenID • OAuth

  17. OS • Windows • Doména Windows 2000 a vyšší • Založena na Kerberos a ActiveDirectory (LDAP) • Linux • NIS, LDAP, Kerberos

  18. LDAP • LeightweightDirectory Access Protocol • Vychází z heavyweight protokolu X.500 • Standardní protokol pro přístup ke stromové struktuře • Operace • Vytvoření/změna údajů • Hledání • Podporuje „schemata“ – datové typy uložených objektů • Implementace často obsahují miliony záznamů • Rychlý přístup – optimalizace, indexování

  19. LDAP – datový model • Stromová struktura tzv. DirectoryInformationTree – DIT • DistinguishedName – DN • Jednoznačný identifikátor položky (entry) v rámci celého stromu • Skládá se z relativních identifikátorů RDN, které jsou jednoznačné v rámci podstromu • Entry - položka • záznam v LDAP • Obsahuje jednotlivé atributy • Je identifikována pomocí DistinguishedName • Atribut • Pár klíč-hodnota • Je typovaný • Jednohodnotový vs. vícehodnotový

  20. LDAP - hledání • Sada atributů, které nás zajímají • Kontext • Aktuální položka • Jedna úroveň • Celý podstrom • Filtr – omezující podmínky hledání • SELECT • FROM • WHERE

  21. LDAP DN: OU=_accounts,DC=maturity,DC=local • Implementace • ActiveDirectory • OpenLDAP • Sun Directory Server (Oracle) dn: OU=_accounts,DC=maturity,DC=local changetype: add objectClass: top objectClass: organizationalUnit ou: _accounts distinguishedName: OU=_accounts, DC=maturity,DC=local whenCreated: 20100603200127.0Z whenChanged: 20100727131824.0Z name: _accounts objectCategory: CN=Organizational-Unit,CN=Schema, CN=Configuration,DC=maturity,DC=local

  22. Kerberos http://www.lincoln.edu/math/rmyrick/ComputerNetworks/InetReference/72.htm • http://support.microsoft.com/kb/217098

  23. Kerberos • Síťová autentizační služba • Předpoklady • Online spojení • Synchronizované časy všech účastníků • Centrální server tzv. KeyDistribution Center (KDC) • Sdílené tajemství na bázi hesla • http://www.lincoln.edu/math/rmyrick/ComputerNetworks/InetReference/72.htm • http://support.microsoft.com/kb/217098

  24. Kerberos • PrincipalName – identita • Uživatel • Služba (server – např. HTTP) • username@realm.xx • Ticket • Datová struktura potvrzující identitu (prostřednictvím třetí důvěryhodné strany – KDC) • Kryptograficky zabezpečeno • Odolává všem základním síťovým útokům • Serviceprincipalname – identita služby

  25. Federalizace identity • ServiceProvider • Poskytovatel služby v síti • Využívá služeb poskytovatele identity, aby nemusel implementovat vlastní schéma přihlašování • Identity Provider – poskytovatel identity • Poskytovatel ověřené identity • Ověřuje identitu uživatele dle definované politiky • Ručí za údaje v souladu s politikou • Cílem je implementace Single Sign On

  26. Single Sign On - SSO • Ideál mnohdy nedosažitelný • Uživatel se po přihlášení ke stanici již nadále nemusí přihlašovat a při tom jeho identita je bezpečně předávána mezi službami • Realizace • Kerberos • PKI

  27. Federalizace identitpříklad • MojeID – OpenID identity provider • Poskytovatel MojeID provozovaný CZ NIC • Různá míra ověření • Email • Poštovní adresa • Kvalifikovaný certifikát • Různé druhy přihlášení • Jméno/Heslo • Certifikát

  28. OpenID • Jednoduchá specifikace • Důvěryhodný přenos identity • Prostředí internetu • Mapována na HTTP/HTML • Rozšiřitelná o extenze • Více informací, než jen identita (např. telefon, email apod.)

  29. OpenID

  30. SAML • SecurityAssertionMarkupLanguage • Založeno na XML • Komplexní norma vypracovaná členu Liberty Alliance • Přenos tzv. assertions – vyjádření o subjektu • Assertion • Libovolné „vyjádření“ identity providera o subjektu • Důvěryhodné • http://www.oasis-open.org/committees/download.php/20645/sstc-saml-tech-overview-2%200-draft-10.pdf

  31. SAML

  32. OAuth • Metoda autentizace/autorizace pro využití API - nahrazení předávání jména a hesla třetí straně • Není přímo využíváno pro autentizaci uživatelů • Jde o formu bezpečného delegování přístupových práv na třetí subjekt

  33. OAuth

  34. Produkty IAM

  35. Přehled trhu • IBM • SUN/Oracle • Novell • Microsoft

  36. Vlastnosti řešení • Komplexní systémy • Licencování většinou na počet uživatelů • Hlavní výhody • Připravené konektory na nejobvyklejší systémy • Přizpůsobitelné (procesy, …) • Nevýhody • Nákladné • Málo ohebné

  37. Nasazení • Většina nákladů na nasazení je vynakládána na lidskou práci – analýzy/definice procesů • Nasazení v malé organizaci se nevyplácí • Nasazení ve velké organizaci s jistou historií vývoje IT je extrémně náročné

More Related