1 / 20

EID 2.0 Metadata

EID 2.0 Metadata. Stefan Santesson 3xA Security stefan@aaa-sec.com. Grundläggande. Metadata lagrar information om tjänster som tillhandahålls av federationens deltagare En deltagare ( Organisation ) kan ha många tjänster Två huvusakliga kategorier av tjänster

siran
Download Presentation

EID 2.0 Metadata

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. EID 2.0 Metadata Stefan Santesson 3xA Security stefan@aaa-sec.com

  2. Grundläggande • Metadata lagrar information omtjänstersomtillhandahållsavfederationensdeltagare • En deltagare (Organisation) kan ha mångatjänster • Tvåhuvusakligakategorieravtjänster • Tjänstersomlevererarfedereradetjänster (Legitimeringstjänster, Attributstjänster, PDP mm) • Tjänstersomkonsumerarfederativatjänster (E-tjänster)

  3. SAML Metadata (Signerat XML dokument) • EntitiesDescriptor • Attribut: Name, cacheDuration, validUntil, etc • Extensioner • Elektronisk signatur EntityDescriptor EntityDescriptor EntityDescriptor • Information om en tjänst som tillhandahålls av en deltagare i federationen (E-tjänst, Attributstjänst, Legitimeringstjänst, XACML Policy Decision Point tjänst, etc) som bl.a. innefattar: • Unik identitet • Uppgift om vem som tillhandahåller tjänsten • Tjänstens egenskaper (URL:er mm) • Nycklar • Information för användargränssnitt: • Logotyp • Presentationsnamn • Tjänstebeskrivning EntityDescriptor

  4. EntityDescriptor • Extensioner • Användargränssnittsdata (logotyp, presentationsnamn, tjänstebeskrivning mm) • EntityCategory (Information tjänstekategori) • Levelof Assurance information • Organisation • Kontaktperson SAML Metadata, entity role descriptors IDP SSO Descriptor SP SSO Descriptor Attribute Authority Descriptor PDP Descriptor Authn Authority Descriptor SSO Descriptor Role Descriptor Role Descriptor Role Descriptor

  5. Viktig generell metadata • Nycklar • Tjänste URL:er • Protokollstöd • Användargränssnittsinformation • Organisation • Tjänstekategori

  6. Viktig tjänstespecifik Metadata • E-tjänster (SP) • Tjänstekategori (EntityAttributesext) • Attribut (RequestedAttributes i SPSSODescriptor) • Dock INTE explicita krav på tillitsnivå (sänds i req) • Legitimeringstjänster (IdP) • Tillitsnivåer (EntityAttributesext) • Användargränssnitt • Tjänstenamn • Logotyp • Signeringstjänst (SP) • Som SP med specifik tjänstekategori + • Beskrivning av innebörd att legitimera sig mot tjänsten (mdui)

  7. Viktiga standards

  8. Basstandard Metadata for the OASIS SecurityAssertion Markup Language (SAML), V2.0

  9. Mdui SAML Extension

  10. Entity Attributes Extension

  11. Administration av Metadata System för administration av Metadata webbserver Signering och publicering av Metadata Uppgifter Om tjänst • Deltagare i federationen • Legitimerings-tjänst • E-tjänst • Attributtjänst • PDP tjänst • etc Registreringsfunktion Metadata Databas Aggregeringsfunktion Metadata Kontrollfunktion (Testa ursprung, överensstämmelse med federationens metadataprofil, avtal mm) JSON feed Metadata Andra Aggregatorer

  12. Filtrering av aggregerad metadata • All metadata är OK såvida den inte äventyrar: • Interoperabilitet • Säkerhet • Definierade filtreringsregler: • Kontrollerar att innehållet uppfyller federationens krav • Kan vid behov göra vissa väl definierade ändringar

  13. Säkerhetskrav • Säkra rutiner för administration • Policy för registrering • Autentisera metadata och uppgiftslämnare • Behörighet att lämna uppgift • Policy för aggregering • Vad får hämtas från olika källor • Hur autentiseras data • Driftsmiljö • Tillgänglighet • Distribution av signeringscertifikat • Skydd av privat signeringsnyckel • mm

  14. Inlämning av uppgifter till federationen (Registrering) Federations- deltagare Metadata Administration Publicering (Web server) 1. Autentisering av deltagare 2. Inlämning/registrering av uppgifter Validering av uppgifter OK? Ja Uppdatera Metadata Databas

  15. Inlämning av uppgifter till federationen (Aggregering) Federations- deltagare Metadata Administration Publicering (Web server) 1. Autentisering av deltagare (Option) 2. Inlämning av EntityDescriptor Autentisering samt validering av uppgifter OK? Ja Uppdatera Metadata Databas

  16. Publicering av komplett Metadata (Periodisk) Federations- deltagare Metadata Administration Publicering (Web server) 1. Publicering av uppdaterad metadata Invänta tidpunkt för nästa publicering Uppdatera ”validUntil” samt signera metadata

  17. Publicering av komplett Metadata (On Demand - mdx) Federations- deltagare Metadata Administration Publicering (Web server) 1. Begär utdrag ur Metadata (mdx) 2. Begär utdrag ur Metadata Skapa och Signera utdrag 3. Signerat utdrag ur Metadata 4. Returnera signerat utdrag ur Metadata

  18. Hämta komplett metadata (periodisk) Federations- deltagare Metadata Administration Publicering (Web server) 1. HTTP GET request till publicerings URL (ex http://eid2.elegnamnden.se/metadata/eid20md.xml Upprepa hämtning 2. XML fil med federationens metadata returneras Validering av Signatur på Metadata Uppdatera Metadata cache Dags för förnyad hämtning? Ja Nej Vänta x min

  19. Hämta utdrag från metadata (JSON feed) Klient Metadata Administration Publicering (Web server) 1. HTTP GET request till JSON feed URL (ex http://eid2.elegnamnden.se/metadata/jsonfeed?action=idplist 2. Begärd information skickad som JSON/JSONP data 3. Cookie sättning av preferenser (Option)

  20. Frågor - Diskussion

More Related