Zarządzanie tożsamością

1. Zarządzanie tożsamością Promotor: Prof. dr hab. Zbigniew Kotulski 17 kwietnia 2007 Dominik Zasiewski

2. Konspekt prezentacji • Cele systemów zarządzania tożsamością • Podział systemów zarządzania tożsamością • Systemy oparte o federacje tożsamości • Systemy scentralizowane wokół użytkowników Zarządzanie tożsamością

3. I. Cele systemów zarządzania tożsamością • Nowa funkcjonalność • SSO (Single Sign On), współdzielenie informacji • Bezpieczeństwo • Współpraca z różnymi standardami • Skalowalność i elastyczność • Ochrona prywatności Zarządzanie tożsamością

4. I. Wytyczne do oceny systemów zarządzania tożsamością Zarządzanie tożsamością

5. II. Podział systemów zarządzania tożsamością • Single - domain • Np.. systemy działające w obrębie jednej korporacji • Cross - domain • Np.. systemy (platformy) działające w Internecie, lub pomiędzy różnymi korporacjami Zarządzanie tożsamością

6. II. Podział systemów zarządzania tożsamością – Single domain • Systemy: Kerberos, Active Directory (protokół LDAP) • Funkcjonalność: SSO • Wady: • brak skalowalności, • brak zgodności pomiędzy różnymi systemami • brak prywatności (chociaż to nie jest w zasadzie wymogiem systemów z tej kategorii) Zarządzanie tożsamością

7. II. Podział systemów zarządzania tożsamością – Cross domain • Dostępne technologie: • Systemy oparte o standardy organizacji Liberty Alliance – koncepcja Federacji (SAML) • Microsoft CardSpace (InfoCards) • OASIS • Yadis / OpenID Zarządzanie tożsamością

8. III. Federacja tożsamości • Pojęcia związane z federacją tożsamości • Federacja • Circle of Trust (Kółka zaufania) • Elementy kółka: • IdP (Identity Provider) – dostawca tożsamości • SP (Service Provider) lub Relying Party - usługodawca • Pseudonimy (asercje SAML) • Różne identyfikatory tej samej tożsamości u dostawców tożsamości Zarządzanie tożsamością

9. Kowalski III. Kółka zaufania – federacja tożsamości Kalendarz Profil w pracy SP SP Serwis kadrowy IdP Menadżer projektu SP Pogoda SP SP SP SP Poczta SP Agregator IdP SP Bank Profil domowy SP Operator kom. Zarządzanie tożsamością

10. III. Globalne kółko zaufania według Nokia oraz SUN Zarządzanie tożsamością

11. III. Cykl federacji Wymiana informacji (Idp – SP) Proces rejestracji użytkowników Poza specyfikacją Federacja Rejestracja pseudonimów SSO Zakończenie federacji Jednokrotne wylogowanie się Liberty Alliance Projekt (www.projectliberty.org)

12. Internauta (IdP) Serwis SP 1) Internauta loguje się do dostawcy tożsamości uwierzytelnienie Użytkownik sygnalizuje chęć federacji tożsamości IdP zapisuje swoją wizytówkę – ciasteczko stronie 2) Internauta loguje się do serwisu uwierzytelnienie Serwis wykrywa wizytówkę IdP - ciasteczko Czy chcesz łączyć to konto w ramach federacji? Tak Serwis przekierowuje Internautę do IdP Żądanie potwierdzenie statusu uwierzytelnienia uwierzytelnienie IdP generuje asercję SAML potwierdzającą tożsamość Internauty Przekierowanie do SP Asercja SAML Przetwarzanie otrzymanej asercji. Uzgadnianie pseudonimów z IdP SOAP Strona serwisu. start pracy III. Przebieg procedury łączenia kont, oraz federacji tożsamości w kółku zaufania według Liberty Alliance Zarządzanie tożsamością

13. konto SP1 pickwick@sp1 Łączenie kont Alias: dTvIiR Domain: IDP.com Name:mr3tTJ konto IDP dominik@idp Łączenie kont Alias: mr3tTJ Domain: SP1.com Name: dTvIiR Alias: xyrVdS Domain: SP2.com Name: pfk9uz konto SP2 domino@sp2 Łączenie kont Alias: pfk9uz Domain: SP2.com Name: xyrVdS III. Łączenie kont w relacjach IdP – SP Zarządzanie tożsamością

14. III. Microsoft CardSpace (InfoCards) • Standardowy wygląd interfejsu do wyboru kart reprezentujących tożsamość • Możliwość generowania identyfikatorów tożsamości • Wsparcie wielu standardów, w szczególności Liberty Alliance • Technologia docelowo ma być obojętna na metody uwierzytelniania preferowane przez różne serwisy Zarządzanie tożsamością

15. III. Microsoft CardSpace (InfoCards)Źródło: http://msdn2.microsoft.com/en-us/library/aa480189.aspx Zarządzanie tożsamością

16. III. Yadis / OpenID • Umożliwia SSO, • ale nie gwarantuje innych funkcjonalności (np.. z dystrybucją parametrów tożsamości: preferencji etc.) • Logowanie przy pomocy adresu URL będącego identyfikatorem tożsamości • Integracja z Firefox’em v.3 i Windows Vista. Zarządzanie tożsamością

17. III. Wady systemów wymagających interakcji IdP przy każdej transakcji uwierzytelnienia • wąskie gardło architektury (wydajność) • wrażliwość na ataki DoS (blokady dostępu) • naruszenie zasad ochrony prywatności • IdP jest świadomy, kto i kiedy korzysta z jakich serwisów Zarządzanie tożsamością

18. IV. Systemy scentralizowane wokół użytkowników • Systemy oparte o dodód posiadania – „Proof of possesion” • Credentica’s U-Prove Zarządzanie tożsamością

19. IV. Credentica’s U-Prove (Faza incjacji) • Użytkownik uzyskuje listę tokenów podpisanych przez IdP, każdy do innego serwisu w ramach federacji • IdP nie zna identyfikatorów w tokenach, które podpisuje • Tokeny zawierają ukryty, unikalny identyfikator tożsamości, który nigdy nie zostaje odkryty • Tokeny mogą posiadać dodatkowe informacje o tożsamości • Tokenami zarządza aplikacja kliencka (np.. Smart Card) Zarządzanie tożsamością

20. IV. Credentica’s U-Prove (Faza incjacji)Źródło: „Secure User IdentificationWithout Privacy Erosion”, Stefan Brands Zarządzanie tożsamością

21. IV. Credentica’s U-Prove (Uwierzytelnienie) • Proces inicjacji w serwisie – połączenie tokena z kontem użytkownika • Tokeny to losowe numery (zapobiega to ew. śledzeniu, nie da się ich także łączyć ze sobą – pomiędzy różnymi serwisami) • Kolejne logowania • Okazanie tokena • Wygenerowanie dowodu posiadania klucza prywatnego ukrytego w tokenie • SSO – poprzez jednokrotne uwierzytelnienie na karcie (aplikacji zarządzającej) Zarządzanie tożsamością

22. IV. Credentica’s U-Prove (Współdzielenie informacji)Źródło: „Secure User IdentificationWithout Privacy Erosion”, Stefan Brands Zarządzanie tożsamością

23. Pytania ? Zarządzanie tożsamością