SAML & FEDERATED IDENTITIES. The Single Sign-on provider

Transcriptie

1 SAML & FEDERATED IDENTITIES The Single Sign-on provider

2 Agenda Onderwerp: SAML Single Sign-on Justitie Uitleg: Waarom Identity en Access Management (IAM) Wat is IAM Wat is Security Assertion Markup Language (SAML) en Federated Identity en hoe werkt het Wat zijn Federated Identity en wat is de rol van SAML Toelichting productontwikkeling: Voorbeeld Federatief model Ontwikkeling SAML op Application Delivery Controllers (Netscaler / F5) Toepassing Application Delivery Controllers in een SAML omgeving

3 Plaats Identity en Access Management (CIO of a large firm) 2012: The dominant design for security is done. It doesn t work anymore. The dominant design of wall of your company, put antivirus on the desktop, do audits on the backend, the dominant design is over. It does not work. Alle informatiesoorten op een hoop Ontwikkelingen als Any Time Any Place Any Device, Bring Your Own Device vereisen transparante RAS

4 Zone Capability view Risico gedreven Meer als alleen infrastructuur Welk device en vanuit welke locatie krijg je toegang Processen Security Management Roles & Responsibilities Risk Management Data Governance Core Security Capabilities Access Control Identification and Authentication Credential Key Management Directory Services Sub Zones IT Service Capabilities Change Management Audit Operation and Maintenance Zonering

5 Wat is Identity Management Tools om de Life Cycle van je (computer) identiteit te beheren Combinatie van Personeelsinformatiesysteem en Identity Management pakket Identity Management System wordt ingezet voor deployment van identiteiten en rollen naar b.v. Directory systeem Identity Management System vereisen veel maatwerk software

6 Wat is Access Management Toegangspermissies van identiteiten tot informatiesystemen (applicaties) Permissies/rollen zijn veelal vastgelegd in een centraal Directory systeem of Application platformen Applicaties autoriseren gebruikers op basis van permissies en rollen Access Management systemen vereisen vaak (kleine) aanpassingen aan bestaande applicaties

7 Wat is het doel van dit alles Eindgebruiker: 1 identiteit met 1 wachtwoord (SSO) Applicatieontwikkelaars: worden belast met afhandeling van identificatie en autorisatie van gebruikers terwijl ze alleen geïnteresseerd zijn in een Leeftijd van een persoon nodig. Maar Windows omgeving biedt SSO op basis van Kerberos Praktijk zijn vaak hybride omgevingen waar gebruikers verschillende Identiteiten hebben in verschillende applicatie (mits Identity Management) Applicaties bevinden zich over de grenzen van de organisatie of aanbieders (Cloud)

8 Business case voor investering SSO Cost: Een UserID en Wachtwoord. Minder meldingen Helpdesk Beheer één identiteiten Code van applicaties aanzienlijk simpeler Security: Geen of minder geeltjes met wachtwoorden; Wanneer een gebruiker organisatie verlaat, één bron voor blokkeren accountgegevens; Business-to-business en Cloud met één identiteit (federatief) User experience: Gebruiker logt s morgens in op werkstation en heeft toegang tot interne applicaties en externe applicaties (partners, Cloud)

9 Security Assertion Markup Language Standaarden/Terminologieën: Access Management technologie XML standaard ontwikkeld door OASIS Standaard voor uitwisselen authenticatie/autorisatie gegevens tussen security domeinen Single Sign-on (SSO) Single Logout (SLO) User/Subject/Principle term heeft betrekking op de eindgebruiker SAML protocol en SAML token (Microsoft gebruikt WS-Federation protocol en Claims tokens) IDentity Provider (IDP) en Security Token Service (STS) Security Provider (SP) en Relying Party (applicatie die security tokens consumeert).

10 SAML Componenten Assertions/Claim: Authentication statements: Identity Provider die de gebruiker heeft geauthentiseerd Attribute statements: Details over een gebruiker, bijvoorbeeld Naam, Leeftijd, adres etc Authorization statements: waarvoor is de gebruiker geautoriseerd Protocol: een aantal Request en Response protocols AuthnRequest/Response: Single Logout: Request om simultaan uit te loggen uit alle applicaties (time out of gebruiker gedreven) SAML Bindings en Profiles HTTP redirect Binding: SAML (passive profile) op basis van HTTP post en redirects (302) SOAP en Restful Web Services Certificaten: authenticatie bij uitwisseling security tokens

11 SAML configuratie en Circle of Trust Circle of trust: Federation of IdP and SP Business relationships Operational agreements Beveiligde communicatie: Private en public key SP HTTPS certificaat SP Token signing certificaat IDP IDP SSL certificaat Metadata wordt meestal gegenereerd door SP en IDP en worden op basis van XML uitgewisseld

12 Federated Identity Wordt gebruikt in een business-tobusiness model of Cloud omgeving SSO tussen organisaties Bestaat uit een vooraf overeengekomen set van afspraken en gebruikte technologieën om informatie uit te wisselen Er is een vertrouwensrelatie tussen Access Management systemen van partners Vanuit techniek is vertrouwen gebaseerd op digitale certificaten Protocollen gebaseerd op SAML protocol en SAML tokens

13 Federatie binnen de organisatie Gebruiker tikt Webadres van applicatie in SAML SP van de applicatie ziet geen security token (not authenticated) SAML SP redirect browser naar Security Token Server waar gebruiker moet inloggen (niet nodig wanneer reeds is ingelogd op AD) Nadat gebruiker is ingelogd worden voor de betreffende applicatie relevante user attributen opgehaald en in een security (SAML) token geplaatst (hidden html page) Token wordt terug geredirect naar web browser Web browser redirect naar applicatie

14 Federatie met partners Gebruiker tikt Webadres van partnerapplicatie in not authenticated SAML SP redirect browser naar Security Token Server van de applicatie. Gebruiker maakt keuze uit home-realm Redirect naar home Security Token Service Nadat gebruiker is ingelogd worden voor de betreffende applicatie relevante user attributen opgehaald en in een security (SAML) token geplaatst (hidden html page) Token wordt terug geredirect naar web browser (via hidden Web page) Security Token wordt geredirect naar STS van SP Applicatie Gebruiker krijgt een nieuw token

15 Federatie en SAML (een voorbeeld) Standaardisatie op SAML 2.0 Active Directory Federation Services (ADFS): Gebaseerd op Claim-based authentication voor Single Sign-on ondersteuning Ondersteuning Federated Identities Applicatieplatformen (.Net en WIF) nu nog gebaseerd op WS-Federation Simple SAMLPhP: Voor SAML 2.0 applicaties Federatiemodel overheid met Ver-SAMLde applicaties

16 Voorbeeld datacenter architectuur Drie Tier architecuur Netscaler Load Balancing HTTPS offloading HTTP proxy Geen authenticatie en autorisatie Applicatie laag Enterprise Service Bus via koppel Vlan Portal (en Web frontens) Datalaag Databases Active Directory en IAM (NetIQ, en SimpleSAMLpHp) Datacenter architectuur voor Justitie

17 Productontwikkeling Single Sign-on Voorwaarden: SSO op SAML SP Gateway naar legacy applicaties (NTLM, Form-based, Kerberos, HTTP) Federatieve mogelijkheden (SSO tussen organisaties) Keuze SAML implementatie Load Balancers (Netscaler/F5) IDP SimpleSAMLpHp ADFS voor WIF/WS-Federation Load Balancer met SAML integratie

18 Netscaler AAA architectuur Basis functies Netscaler Load Balancing AAA functionaliteit voor Authenticatie (LDAP, AD, SAML, Kerberos) Policies voor HTTP header manipulatie en session redirections SAML implementatie SAML applicaties: HTTPS Passthru Kerberos applicaties: SAML frontend en Keberos backend op basis van KCD Anonymous applicaties: SAML frontend Oracle ERP suite: SAML frontend, HTTP header autorisatie door HTTP header injectie Netscaler ADC AAA architectuur

19 Productiescenario IDP: ADFS en SimpleSAMLPhP SAML applicaties: IIS WS- Federation met SAML tokens Apache SAML 2.0 Non SAML applications: IIS Anonymous authentication, IIS Kerberos Non SAML applications: Oracle E- Business suite