1 / 21

SURFfederatie

SURFfederatie. Een overzicht. Overzicht. SURFnet Authenticatie, Autorisatie Federaties SURFfederatie Diensten Samenvatting/Vragen. SURFnet. National Research and Education Network (NREN) ISP, innovatie centrum, service provider Hoger onderwijs en onderzoek > 160 instellingen

rosine
Download Presentation

SURFfederatie

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. SURFfederatie Een overzicht

  2. Overzicht • SURFnet • Authenticatie, Autorisatie • Federaties • SURFfederatie • Diensten • Samenvatting/Vragen (C) 2008 SURFnet B.V.

  3. SURFnet • National Research and Education Network (NREN) • ISP, innovatie centrum, service provider • Hoger onderwijs en onderzoek • > 160 instellingen • > 750.000 studenten en medewerkers • Focus: van netwerk naar middleware en diensten infrastructuur • Federatief IdM/SURFfederatie als speerpunt voor 2008-2010 • Samenwerking met andere NRENs, TERENA, europsese projecten (GEANT2) (C) 2008 SURFnet B.V.

  4. Authenticatie en Autorisatie Infrastructuren (AAI) • Authenticatie • “wie ben je” - bewijs wie je bent: ja/nee • Autorisatie • “wat mag je” - gebruikerskenmerken: attributen • Single Login • Gebruik dezelfde credentials gebruik op meerdere plekken • Single-Signon (SSO) • = Single-Login + zonder opnieuw in te loggen • Provisioning • Geautomatiseerd account beheer/rechten toekennen (dienstaanbieder) (C) 2008 SURFnet B.V.

  5. (AAI) Federaties • Algemeen: samenwerkingsverbanden • In deze context: AAI Federaties/federatief IdM • Inloggen/authenticeren/autoriseren met je instellingsaccount bij internet diensten • 2 of 3 rollen: • Identity Provider (IDP): user accounts • Service Provider (SP): dienst/content • + soms: centrale infrastructuur (CFC) • Voor SPs: • “out-sourcing” van AA op basis van “pre-established trust” • Voor IDPs: • “binnenshuis” authenticeren/autoriseren (C) 2008 SURFnet B.V.

  6. SURFfederatie: history DigiD: overheids eID gebaseerd op A-Select Federatief AAI, A-Select (open source) FIdM dienst (gateway) in productie A-Select: intra-organisatie web-SSO Studenten Chipcard: authenticatie Elsevier, EBSCO, Google Apps (C) 2008 SURFnet B.V.

  7. SURFfederatie (1) • Doel: het bevorderen van de samenwerking over instellingsgrenzen heen • AAI federatie voor de SURFnet community • Instellingen leveren identiteiten (IDP) en diensten (SP) • Externe partijen leveren diensten (SP) • inloggen (AA) met je instellingsaccount bij derden • je credentials verlaten de instelling niet • op een gestandaardiseerde manier autorisatie gegevens uitwisselen: attributen schema • Bijv: “sn”: achternaam, eduPersonAffiliation: rol (C) 2008 SURFnet B.V.

  8. Authenticatie -> FIdM Lokaal Extern Federatief DB DB SP IDP LDAP LDAP LDAP SP SP IDP SAML (HTTP) HTTP HTTP HTTP B HTTP B B (C) 2008 SURFnet B.V.

  9. FIDM protocollen/produkten • Secure Assertion Markup Language (SAML) • SAML 1.x (geen SP-initiated) (OASIS) • IDFF 1.x (SP-initiated) (Liberty) • WS-Federation/ADFS 1.x/2.x (IBM/Microsoft) • SAML 2.0 (OASIS, Liberty) • A-Select cross protocol 1.4.2/1.5.x • geen LDAP/Radius => wel in backend • Producten oa: • HP/Oracle/Novell/IBM/Microsoft/… • Shibboleth/A-Select/SimpleSAMLphp • PingFederate (SURFnet) (C) 2008 SURFnet B.V.

  10. Federatie Modellen • 1-1 • Business VS: SAML 1.x • de-facto • NxN • Shared trust, pt2pt • Education VS/Europa • Shibboleth • 2xN • Centrale gateway (CFC) • Nieuw(?) paradigmaprotocol translatie • SURFfederatieSURFnet = CFC, IDP, SP IDP SP IDP SP IDP SP IDP SP IDP SP IDP SP CFC IDP SP (C) 2008 SURFnet B.V.

  11. SURFfederatie (2) • (A) een set met afspraken • Contracten, policies, attributen schema • (B) een technische infrastructuur • Centraal georganizeerd (!) • Technisch; dienstencontract=bilateraal • Focus op web-based Single-Signon • Browser applicaties/services • Toekomstige extensies mogelijk (Webservices, netwerk toegang) • SURFnet als Trusted Third Party / central authority • Protocol translatie (!!) • Gevolg: grootst gemene deler aan functionaliteit… (geen nadeel) (C) 2008 SURFnet B.V.

  12. Functional Viewsince 1 august 2008 Identity Providers SURFfederatie CORE Service Providers Central Federation Components A-Select Cross A-Select Cross Credentials Applications Shibboleth SAML 2.0 SAML 2.0 WS-Fed / ADFS WS-Fed / ADFS (C) 2008 SURFnet B.V.

  13. Authenticatie Redirect Flow web service SP SFS IDP authentication backend browser request auth request SSO1 request SSO2 request LDAP/Radius/.. SSO2 response SSO1 response auth response access & attributes (C) 2008 SURFnet B.V.

  14. Voordelen (1) - IDP • Hergebruik van authenticatie oplossing(en) • credentials + techniek, intern,instellingsspecifiek=>extern • Autorisatie/RBAC/ABAC • Fijnmaziger, correcter toegang verlenen • Security/controle/herleidbaarheid • gebruik credentials alleen *binnen* domein • Integratie: eigen systemen/IdM/rollen/rechten • Efficientie/kostenbesparing: infra, support, licenties (!) • Eenvoud: 1x technisch aansluiten voor meerdere diensten • Toekomstperspectieven: SAAS, online internet applicaties • Gebruikerservaring: betere service (C) 2008 SURFnet B.V.

  15. Voordelen (2) - SP • Schaalbaarheid • User-account database, enrollment • Integriteit • Verificatie, synchronisatie, up-to-date • Autorisatie • Fijnmazig, correct, betere implementatie van licentie voorwaarden • Kostenbesparing • Infrastructuur en support (!) • Eenvoud • 1x aansluiten voor meerdere IDPs (protocollen) • Efficientie • Sneller op de markt zetten door hergebruik (C) 2008 SURFnet B.V.

  16. Voordelen (3) - Users • Privacy • Persoonlijke data op 1 plaats opgeslagen • Veiligheid • Contractuele afspraken tussen IDPs en SPs over gebruik van persoonsgegevens • Single-Login • Beperken digitale sleutelbos -> veiligheid • Single-Signon • 1x inloggen: meerdere diensten benaderen (C) 2008 SURFnet B.V.

  17. Diensten • SURFspot (SURFdiensten), ICT webwinkel • Dashboard/Rapportage/Demo (SURFnet) • ScienceDirect (Elsevier), wetenschappelijke artikelen • EBSCOhost (EBSCO), research database • EduPoort (EduPoort), educatieve content • PiCarta (OCLC Leiden), informatie/catalogi • Ellips (member RUG), oefenomgeving taalvaardigheid • ZOEP (RUG), video zoek engine • SURFmedia (SURFnet), video integratie project • Google Apps for Education (Google), web apps) • SURFconext (C) 2008 SURFnet B.V.

  18. Aandachtspunten • kip/ei probleem (zien = geloven) • complexiteit protocollen/produkten tov. de gebruikte/benodigde functionaliteit • SAML 2.0 specifications ea. • schaalbaarheid van het centrale model • initieel zeer goed • implementatie bij IDP/SP • kennis en beschikbaarheid daarvan • processen/procedures • wijziging keys/URL/metadata • Web-based SSO -> web-services ++ features • protocol convergentie (C) 2008 SURFnet B.V.

  19. Samenvatting • Service Providers (SP) in de SURFfederatie, bieden diensten aan aan Identity Providers (IDPs) uit de SURFnet doelgroep • Gebruikers worden geauthenticeerd/geautoriseerd met eigen credentials door IDPs • Technisch: 1x technisch aansluiten voor afname meerdere diensten en leveranciers • Contractueel: afname van individuele diensten bilateraal met SP, bijv. SURFdiensten • Verschillende producten/implementaties voor koppelen mogelijk (C) 2008 SURFnet B.V.

  20. Contact • SURFfederatie • www.surffederatie.nl • Federatie Beheer • federatie-beheer@surfnet.nl • PM • Eefje van der Harst • Sabita Behari • TPM • Joost van Dijk • Pieter van der Meulen • Remco Poortinga – van Wijnen (C) 2008 SURFnet B.V.

  21. Vragen (C) 2008 SURFnet B.V.

More Related