Systémy jednotného přihlášení Single Sign On (SSO)

Transkript

1 Bankovní institut vysoká škola Praha Katedra informačních technologií a elektronického obchodování Systémy jednotného přihlášení Single Sign On (SSO) Bakalářská práce Autor: Pavel Novotný Informační technologie Vedoucí práce: Ing. Jiří Rezler Praha duben, 2009

2 Prohlášení: Prohlašuji, že jsem bakalářskou práci zpracoval samostatně a s použitím uvedené literatury. V Praze dne: Pavel Novotný

3 Poděkování: Děkuji vedoucímu práce panu inženýru Jiřímu Rezlerovi za jeho přístup a vedení bakalářské práce. Dále děkuji mému zaměstnavateli Lloyds Holding s.r.o. za poskytnuté prostředky nutné ke zpracování práce. Děkuji mojí manželce Pavle Novotné za rady ke zpracování práce.

4 Anotace práce: Bakalářská práce na téma Systémy jednotného přihlášení (SSO) pojednává o problematice přístupu k informačním systémům a tím informacím, které systémy poskytují pomocí systému jednotného přihlášení. Bakalářská práce poskytuje přehled systémů jednotného přihlášení jako nástrojů vhodných k pohodlnějšímu a bezpečnějšímu přístupu k informacím. Práce nabízí komplexní pohled na systém jednotného přihlášení Enterprise Single Sign-On společnosti Microsoft. Klíčová slova: identita, autentizace, správa uživatelů, SSO, XML, Credential databáze, Master Secret, Master Secret server, spřátelená aplikace, SSO Tiket, mapování uživatelských účtů, jednotné přihlášení Annotation: The bachelor work discusses about the access to information systems and to information which are saved on, via single sign on system. The bachelor work provides a summary of Single Sign On systems as systems which make getting data effectively. Complex view is focused on Microsoft Enterprise Single Sign On system. Key words: identity, authentication, user management, SSO, XML, Credetial database, Master Secret, Master Secret server, affiliate application, SSO Ticket, user accounts mapping, single sign on

5 Obsah: 1. ÚVOD IDENTITA A AUTENTIZACE ZÁKLADNÍ VLASTNOSTI SPRÁVY IDENTITY FUNKCE SPRÁVY IDENTITY STAVEBNÍ BLOKY SPRÁVY IDENTITY MEZI ZÁKLADNÍ STAVEBNÍ BLOKY PATŘÍ: ZAVEDENÍ PROSTŘEDÍ A PODPŮRNÉ INFRASTRUKTURY ZÁKLADNÍ TECHNOLOGIE A STANDARDY IMPLEMENTACE SPRÁV IDENTITY PRINCIP SYSTÉMU JEDNOTNÉHO PŘIHLÁŠENÍ PŘÍNOSY SYSTÉMU JEDNOTNÉHO PŘIHLÁŠENÍ SSO PĚT HLAVNÍCH ZPŮSOBŮ APLIKACE SYSTÉMU JEDNOTNÉHO PŘIHLÁŠENÍ Enterprise Single Sign-On Webové Single Sign-On Kerberos (nebo Tiket/Token Autentizace) Federace Identity OpenID MICROSOFT ENTERPRISE SINGLE SIGN-ON LICENCE PRODUKTU MICROSOFT ENTERPRISE SINGLE SIGN-ON ÚLOHA SYSTÉMU JEDNOTNÉHO PŘIHLÁŠENÍ SKUPINY UŽIVATELŮ SYSTÉMU JEDNOTNÉHO PŘIHLÁŠENÍ KOMPONENTY SYSTÉMU JEDNOTNÉHO PŘIHLÁŠENÍ Credential databáze SSO server Master Secret SSO server SSO spřátelené aplikace Mapování SSO Tikety KONFIGURACE MICROSOFT ENTERPRISE SINGLE SIGN-ON

6 4.6. INSTALACE SYSTÉMU MICROSOFT ENTERPRISE SINGLE SIGN-ON Přechod z Microsoft Host Intragration Serveru 2000, nebo z SNA Serveru Přechod ze starší verze Microsoft Enterprise Single Sign-On Standardní instalace PRÁCE SE SYSTÉMEM MICROSOFT ENTERPRISE SINGLE SIGN-ON Konfigurace Enterprise SSO serveru za pomoci konfiguračního průvodce Nastaveni Enterprise Single Sign-On Serveru Povolení Enterprise Single Sign-On Zakázání Enterprise Single Sign-On Jak změnit Master Secret Server Zobrazení informací Credential databáze Aktualizace Credential databáze Nastaveni Enterprise Single Sign-On Tiketů Audit systému Microsoft ENTSSO Povolení SSL Správa Master Secret Specifikace SSO administrátorů a administrátorů spřátelených aplikací Správa spřátelených aplikací Správa mapování uživatelů Inicializace systému Single Sign-On spřátelenou aplikací Povolení a zakázání SSO inicializované spřátelenou aplikací Založení spřátelené aplikace SSO inicializované spřátelenou aplikací Ověření hesel pro SSO inicializované spřátelenou aplikací Správa uživatelských mapování pro SSO inicializované spřátelenou aplikací Synchronizace hesel BEZPEČNOSTNÍ DOPORUČENÍ PRO PROVOZOVÁNÍ MICROSOFT ENTSSO DALŠÍ ŘEŠENÍ SYSTÉMU JEDNOTNÉHO PŘIHLÁŠENÍ ZÁVĚR SEZNAM POUŽITÉ LITERATURY SEZNAM POUŽITÝCH ZKRATEK

7 1. Úvod Tématem práce jsou systémy jednotného přihlášení Single Sign-On (SSO). Abychom systémům jednotného přihlášení dobře porozuměli, vysvětlím nejdříve základní pojmy týkající se lidí jako uživatelů informačních systémů a aplikací poskytujících jim informace napříč informačními systémy. Informační systémy jsou častokrát založeny na odlišných technologiích, funkcích a výkonech. Sada dílčích systémů bývá nazývána distribuovaný systém. V první části se věnuji možnostem a pohledům, které mají rozpoznat uživatele a jeho elektronickou totožnost, kterou tyto nehomogenní, distribuované systémy musí jednoznačně identifikovat mezi množstvím jiných uživatelů a poskytnout mu informace, které náleží právě jemu a nikomu jinému. Aby mohly být informace z distribuovaného systému předávány tomu uživateli, který si je vyžádal bezpečně, a jednotně bylo nutné zavézt řadu standardů z celé oblasti problematiky informačních technologií. Krátkým shrnutím zavedených standardů a organizací, které se o zavedení zasloužily je první kapitola uzavřena. Následuje pohled na problematiku systému jednotného přihlášení. Jednotlivé technologie systémů jednotného přihlášení jsou popsány s ohledem na oblast informačních systémů, na které mají být služby jednotného přihlášení aplikovány. Cílem kapitoly Princip systémů jednotného přihlášení je poskytnout ucelený přehled o možnostech použití SSO. Jednomu konkrétnímu řešení systému jednotného přihlášení aplikovaného v prostředí organizace je věnována zásadní část této práce. Systém Enterprise Single Sign-On, který jsem si vybral, je produktem společnosti Microsoft. Důvodem výběru systému právě od společnosti Microsoft je masové nasazení jejích produktů napříč informačními systémy. Mnoho organizací postavilo na produktech firmy Microsoft celý informační systém. Je tedy pravděpodobné, že bude systém jednotného přihlášení od společnosti Microsoft pochopen širokým spektrem čtenářů. Podklady, které jsou základem pro vypracování práce, lze nalézt volně dostupné na internetových stránkách společnosti Microsoft Analýzou materiálů poskytnutých firmou Microsoft by měl být systém popsán na úrovni součástí, ze kterých je systém složen. Funkce jednotlivých součástí systému jsou vysvětleny, tak aby bylo jasné, jak jednotné přihlášení uživatele k informačnímu systému funguje. Cílem není vysvětlit systém do detailních procesů odehrávajících se uvnitř samotného systému, ale podat ucelenou zprávu o zvoleném systému jednotného přihlášení. Měly by být vysvětleny procesy instalace a konfigurace a 7

8 možnosti ovládání systému jednotného přihlášení Enterprise Single Sign-On od společnosti Microsoft z pohledu uživatele i administrátora systému. Závěrečná kapitola je věnována přehledu vybraných systémů jednotného přihlášení, jež nejsou produkty společnosti Microsoft. Systémů, které řeší systém jednotného přihlášení na principu obdobném jak tomu je u Microsoftu, ale i systémů organizací, které pojaly problematiku řešení systému jednotného přihlášení jinak. Cílem poslední kapitoly je stručně upozornit na možnost výběru systému jednotného přihlášení, který co nejlépe vyhovuje požadavkům zákazníka. 8

9 2. Identita a autentizace Ve světě digitálních technologií jsou všichni uživatelé konkrétních aplikací, systémů, a služeb, pouze koncovými spotřebiteli případně poskytovateli služby a jejich jednoznačná identita je přisouzena jejich identifikátoru. Jednoznačnou identitou rozumíme totožnost entity (osoby, místa, věci, obecně konkrétního objektu), která je jednoznačně identifikována určením jména entity udaného v jistém kontextu a určením jaký má identifikovaná entita v tomto kontextu profil. Profil specifikuje informace o nástrojích, preferencích, omezeních, zdrojích a výsadách potřebných pro řádné plnění role entity v daném kontextu. V informačních systémech mluvíme o digitální identitě rovnající se elektronickému záznamu atributů určujících identitu (jméno, jednoznačný identifikátor, adresa, atp.). Entita může mít více digitálních identit, které mohou být charakterizovány například odlišnými profily. Správa takové jednoznačné identity pokrývá celý její životní cyklus od zavedení do systému přes modifikaci jejích výsad a práv, až po zánik identity. Správa identity je komplex služeb poskytujících na základě předem definovaných politik automatizované, bezpečné a efektivní řešení úkonů spojených se správou široké komunity uživatelů k omezeným a často také citlivým informačním zdrojům Základní vlastnosti správy identity Základní rysy správy identity zahrnují: centralizovanou administraci možnost delegace administrativních úkonů na bázi předem definovaných rolí a pravidel možnost manipulace s hesly uživateli samoobslužně (bez vnějšího zásahu centrální administrativou) dostupnost inteligentního směrování schvalovacích postupů při vyřizování žádosti o přístup ke zdrojům automatizované aktivování prostředí jednotlivých uživatelů a dostupnost kontrolních mechanismů a mechanismů pro automatické generování přehledových zpráv, které podávají informace o uživatelích a jejich přístupech. Klíčovou roli hrají při správě identity funkce související s řízením přístupu uživatelů k informačním zdrojům. Aby mohla být tato klíčová role správy identity efektivně implementována, musí být zavedena odpovídající podpůrná infrastruktura. Takovou 9

10 infrastrukturou mohou být například adresářové služby, autentizační služby, workflow 1 procesů souvisejících se správou identity. Software podporující správu identity, vzhledem k nejvíce rozšířeným způsobům zajišťování služby autentizace uživatelů systému, podporuje především automatizaci správních procesů souvisejících s péčí o hesla. Důvěryhodnost hesla je možné zajistit omezením doby jeho platnosti. Po vypršení této doby musí uživatel heslo inovovat. Pokud uživatel získává data a přistupuje k distribuovanému systému, musí být zajištěna synchronizace inovace hesla do všech částí celého systému. Právě k tomuto účelu se jeví vhodné použít technologii SSO. Využitím služeb správy identity se často dosahuje navýšení úrovně bezpečnosti a zvyšuje se produktivita. Naopak vynaložené prostředky na tvorbu a zavedení aplikací do provozu se snižují. Správu identity v distribuovaných systémech podporují standardizační procesy vyvíjené industriálními zájmovými skupinami. Jednou z takových skupin je World Wide Web Consortium (W3C). Mimo jiné jsou vyvíjeny standardy zaměřené na globálně chápanou správu identity, kde je každý jednotlivec jednoznačně identifikovaný. Podle programového prohlášení W3C 2 musí správa identity vyhovovat požadavkům na: Přenositelnost a součinnost Vlastníku průkazu identity musí být umožněno použít tento průkaz ve všech aplikacích, službách a doménách. Vhodným vyjádřením uživatelovy identity (ID) je např. textový zápis v jazyce XML 3. Musí existovat služba, která zobrazí obecně používané identifikátory (jména, příjmení, rodná čísla, telefonní čísla, ové adresy) jako všeobecně použitelné ID uživatelů. Pro předání informací o identitě a autentizaci musí být použito univerzálního protokolu 4 podporujícího jak, hierarchické prověřování, tak také modelů p2p 5 registrace. Rozšiřitelnost Protokoly a služby by měly být založeny na jazyce XML a na konceptu formátu XML schémat., proto musí existovat slovníkové definice určené k popisu identitních atributů pro služby správy identity, řídících struktur protokolů správy identity včetně 1 Workflow je návod na provádění nějaké komplexní činnosti rozdělený na jednodušší činnosti a jejich vazby XML (extensible Markup Language) je obecný jazyk, jehož zdrojový text obsahuje vlastní text i instrukce pro jeho zpracování, který byl vyvinut standardizován konsorciem W3C. 4 Protokol je soubor pravidel pro komunikaci. 5 P2P (Peer-to-peer) je pojem, který označuje vzájemnou komunikaci typu klient klient. 10

11 autentizace, sdělení výsledku a slovníku dojednávání a musí být podporována distribuovatelnost lokálních slovníkových definic. Možnost dohody úrovně soukromí a bezpečnosti V každém případu musí být sjednatelná požadovaná úroveň soukromí a bezpečnosti. Vlastníkům identity musí služba umožnit pracovat s jejich informačními subjekty výhradně podle omezení daných jejich právním systémem. Služba musí používat sjednávací protokol, pomocí kterého může uživatelův agent ovlivňovat úroveň soukromí a bezpečnosti, ve které požaduje výměnu informací. Zodpovědnost Pro dosažení potřebné úrovně důvěry a důvěryhodnosti musí být poskytnuta infrastruktura pro služby správy globální identity, která podpoří dosažení úrovně zodpovědnosti. Zároveň musí být dohodnuty formy, kterými budou agenti prokazovat zodpovědnost za zastupování, dojednávání a výkon své činnosti. Distribuovanost registračních autorit Služby správy globální identity musí, pomocí odpovídajících protokolů a podpory kooperačních prostředí, umožnit působení nijak omezovaného počtu registračních autorit. Musí také zajistit, aby žádné z registračních autorit, nemohly být jakýmkoli způsobem omezovány nebo diskriminovány a aby registrace byly mezi registračními autoritami přenositelné. Distribuovanost certifikačních autorit Služby správy globální identity musí umožnit použití rozšiřitelného protokolu a rozšiřitelného prostředí. Nezávislost vládnoucí autority Musí existovat taková autorita, která reprezentuje rovnocenně všechny entity (lidi, obchod, nevládní organizace, státní správu apod.) Musí být definována jak technickými tak i provozními normami. Taková autorita musí zároveň spravovat vývoj globálního slovníku univerzálních identitních atributů a globálních řídících struktur, definovat formy a způsoby zajištění zodpovědnosti všech agentů včetně registračních a certifikačních autorit. Jedním z cílů správy identity je vytvoření zřejmé a jednoznačné identity pro každého uživatele relevantní aplikace či systému. Správa identity plní úkoly symbolicky označované jako 4A. Mezi tyto úkoly patří dokazování kdo uživatel je (Authentication), určování jeho práva a výsad (Authorization), správa nástrojů pro řízení přístupu (Access 11

12 control) a zpravodajská a auditní činnost (Audit, Reporting). Tyto úkoly musí být splnitelné i bez sjednocování skladů ID uživatelů Funkce správy identity Správu identity lze z funkčního pohledu charakterizovat pomocí funkčních celků. Mezi tyto funkční celky patří: Správa životního cyklu uživatele V tomto celku je zahrnuta správa profilů jako vlastní správa identity a její distribuce mezi externí databáze, aplikace a adresáře podniku, organizace a jeho partnerů. Dále je zde zahrnuta podpora samoobslužnosti správy profilů a podpora automatických replikací informací z uživatelských profilů systémům. Další součástí je aktivace a deaktivace prostředí uživatele, nebo proces, kterým poskytujeme či zakazujeme přístup k informacím a službám. Aktivace a deaktivace prostředí uživatele zajišťuje změny identitních dat a případné zrušení identity a účtů. Snahou procesu aktivace a deaktivace prostředí uživatele je snížení ceny a doby zřízení, případně zrušení účtu uživatele a zvýšení zaručitelné bezpečnosti. Důležitou součástí celku správy životního cyklu uživatele je delegování administrace, která dává možnost definování, které účty mohou provádět manažerské akce s účty. Musí se zajistit bezpečné prostředí a forma pro řádné provedení manažerské akce. Všechny provedené akce musí být protokolované, zálohované a auditovatelné. V případech, které se týkají uživatelského profilu, je vhodné použití samoobslužnosti uživatelů, která uživateli umožní, pomocí vhodného protokolu, například obnovu zapomenutého hesla. Správa hesel a synchronizace hesel, jež je také součástí správy životního cyklu uživatele se vesměs řeší zavedením mechanismů systému jednotného přihlášení. Řízení přístupu a autorizace Řízení přístupu a autorizace se v současné době, téměř vždy, řeší vhodným systémem jednotného přihlášení. Cílem je práce s mnoha, ve své podstatě nesourodými systémy, bez nutnosti opakované autentizace. Zpravodajství a auditní činnost Nadstavbovými funkčními celky správy identity jsou následně celky jako federování identity, integrace webových služeb, či prosazování politik a podpora managementu řízeného politikami. 12

13 2.3. Stavební bloky správy identity Mezi základní stavební bloky patří: Aktualizace hesel Zavedení funkčního modelu aktualizace hesel je založené na použití bezpečné autentizační politiky závislé především na důvěryhodnosti hesel. Hesla je nezbytné inovovat po určitých časových intervalech. Inovaci a případně také odblokování účtu poskytuje uživateli právě aktualizace hesel. Cílem je zmírnění potřeby kontaktovat v takových případech administrátora systému a nabídnout službu vhodnou k provedení změny nebo odblokování účtu bez kontaktu manažera systému či aplikace. Synchronizace hesel Modul synchronizace hesel nabízí uživateli použít své jedinečné autentizační údaje ve všech, nebo alespoň všech důležitých, systémech a aplikacích. Software umožňující synchronizaci hesel běží na zvoleném serveru organizace a přes API 6 navazuje na podporované databáze a systémy, které zajišťují bezpečnost aplikací. Jednotné přihlášení - Single Sign-On (SSO) Systémy Single Sign-On navazují a zdokonalují prostou synchronizaci hesel. Umožňují uživateli používat jedny autentizační údaje k přístupu ke všem zdrojům informačního systému, aniž by se museli opakovaně autentizovat. Blíže se s tímto tématem seznámíme v kapitole tři Princip systémů jednotného přihlášení. Inteligentní koncové řízení přístupu Toto řešení je často zakomponováno do uceleného systému aplikací. Nabízí on-line řešení správy uživatelů a umožňuje použití široké palety autentizačních metod zároveň. Součástí inteligentních systémů pro řízení koncového přístupu bývá server, který prosazuje politiku přístupu na principu SSO. Systémy umožňují předávat správu přístupových práv uživatelů obchodním manažerům a také partnerům. Další funkcí bývá aktivace prostředí a podpůrné infrastruktury uživatele. 6 API (Aplication Progamming Interface) je standardizované programátorské aplikační prostředí. 13

14 2.4. Zavedení prostředí a podpůrné infrastruktury Zavedení prostředí a podpůrné infrastruktury pro uživatele slouží k definici všech procesů, které řídí životní cyklus uživatelů. V mnoha organizacích jsou procesy aktivace řešeny bez zavedeného všeobecně uznávaného standardu, což může vést k chybovosti. Standardem popisujícím aktivaci služeb je značkovací jazyk SPML Základní technologie a standardy implementace správ identity Ve světě fungují organizace zabývající se vývojem standardů týkajících se obecně uznávaných a následně používaných informačních technologií implementace správ identity. Vzhledem k silné orientaci na formát XML hraje výraznou roli organizace OASIS 8. Celosvětové neziskové konsorcium OASIS řídí, v oblasti internetového obchodu, konvergenci a přejímání standardů založených na XML. Dále se věnuje standardům autentizace, adresářových služeb, řízení přístupu a aktivačních služeb. Prosazováním součinnosti a webovým službám v různých platformách operačních systémů se zabývá další významná otevřená organizace WS-I 9. Jedním ze standardů společnosti je platformově a jazykově nezávislý protokol sloužíc pro řízení komunikace mezi aplikacemi běžícími v síti Internet (SOAP). Mezinárodní konsorcium W3C je orientováno na vývoj standardů a směrnic pro užívání webových technologií. V oblasti správy identity se stará o standard WSDL 10. Rozvoj adresářových služeb založených na adresářové technologii LDAP 11 podporuje organizace IETF 12. Základy správy identity vycházejí z iniciativ organizace ITU-T 13 z oblasti podpory doporučení standardu X.500. Celosvětově uznávané a používané jsou také standardy adresářových služeb. Adresářové služby umožňují uživatelům vyhledat objekty podle známých, specifikovaných podmínek. 7 SPML (Service Provisioning Markup Language) je standardizovaný značkovací jazyk. 8 OASIS (Organization for the Advancement of structured Standards) je neziskové konsorciu, které řídí vývoj, konvergenci a přijímání otevřených standardů pro globální informační společnosti. 9 WS-I (Web Services Interoperability organization) je organizace zabývající se standardy webových služeb. 10 WSDL (Web Services Description Language) Jazyk WSDL slouží k formálnímu popisu webové službu. 11 LDAP (Lieghtweight Direktory Access Protocol) je síťový protokol na bázi protokolu TCP/IP určený pro zpřístupňování serverů poskytujících adresářové služby. 12 IETF (Internet Engineering Task Force) je organizace, která podporuje rozvoj adresářových služeb založených na adresářové technologii LDAP. 13 ITU-T (ITU Telecommunication Standartization Sector) je telekomunikační standardizační uspořádání Mezinárodního telekomunikačního odboru (ITU). 14

15 Z pohledu historie je zásadním standardem standard X.500 jehož dílčí standard X.509 je v současné chvíli využíván k definici certifikátů. Nejrozšířenější technologií adresářových služeb je protokol LDAP. Jedná se o síťový protokol na bázi protokolu TCP/IP 14 určený pro zpřístupňování serverů poskytujících adresářové služby. Adresářová služba LDAP je aplikace specializovaná pro ukládání dat, jejich organizaci a přístup k nim. V systémech SSO nachází LDAP uplatnění v roli centrální databáze uživatelů pro aplikace a systémy. V síťových adresářích nejsou data vždy jednotně formátována. DSML 15 je aplikace založená na standardu XML umožňující vyjádřit jedním společným formátem odlišné formáty mnoha různých síťových adresářů. Zároveň DSML definuje dokument, jež je možné použít k zobrazení obsahu každého z adresářů a pro výměnu adresářových dat pomocí transportních protokolů. Standardy z oblasti webových služeb vychází z myšlenky vyvolání služeb aplikace jinou aplikací přes datovou síť. Poskytovatelé webových služeb bývají často označování jako poskytovatelé služeb aplikačních. Mezi takovými službami jsou služby z oblasti získávání a ukládání dat, nebo zprávy zákaznického servisu tak také služby správy skladových zásob případně aukce. Škála webových služeb je široká a různorodá. A stále se rozšiřuje. Komunikace mezi webovými službami bývá podporována softwary, které jsou označovány jako middleware. Standardizace komunikace vychází z technologického základu formátu XML. Formát XML je základem jazyka WSDL. Výše zmíněný protokol SOAP byl navržen pro komunikaci pomocí protokolu HTTP 16, který je podporován všemi internetovými prohlížeči či servery. Webová služba je popsána, mimo jiné, určením zpráv pro komunikaci se službou, operacemi, které služba poskytuje, určením jakými protokoly lze službu vyvolat a jak musí být příslušná data formátována. Takový popis programového rozhraní ve formátu XML poskytuje soubor WSDL. 14 TCP/IP (Transmission Control Protocol / Internet Protocol) je je standardizovaný komunikační protokol. 15 DSML (Directory Services Markup Language) je aplikace založená na standardu XML umožňující vyjádřit jedním společným formátem odlišné formáty mnoha různých síťových adresářů. 16 HTTP (Hypertext Transfer Protocol) Http je internetový protokol původně určený prováněnu hypertextových dokumentů. 15

16 Jazyk WSDL formálně popisuje webovou službu. Ke každé webové službě by měl být takový popis k dispozici. Z takového popisu lze automaticky vygenerovat požadavek v SOAP. Standardním mechanismem umožňujícím registraci a vyhledávání popisů webových služeb je UDDI 17. Standardem, který poskytuje formát XML prostředí pro tvorbu webových služeb, které umožňují partnerům výměnu autentizační a autorizační informace na aplikační úrovni je jazyk SAML 18. Standardem řízení přístupu v oblasti webových služeb je jazyk XACML UDDI (Universal Description, Discovery a Integration) je univerzální adresář obsahující seznam a popis dostupných webových služeb, který umožňuje automatické nalezení požadované služby. 18 SAML (Security Assertions Markup Language) je značkovací jazyk pro prosazování zabezpečovacích postupů. 19 XACML (extended Access Control Markup Language) je iniciativa vedená skupinou OASIS [8] určená k vyjádření bezpečnostní politiky pro přístup k XML dokumentům a datovým zdrojům. 16

17 3. Princip systému jednotného přihlášení Systémy jednotného přihlášení SSO plní z pohledu správy identity služby řízení přístupu a autorizace. Z pohledu aplikačních architektur budovaných na bázi klient server označuje pojem Single Sign-On autentizační proces umožňující uživateli, který chce přistupovat k více aplikacím a zdrojům v rámci jedné relace, možnost zadání jména a hesla, případně jiných identifikátorů pouze jednou. Proces SSO, vyžádaný při zahájení relace, autentizuje uživatele ke všem aplikacím, ke kterým má na serveru vydána přístupová práva a tím eliminuje veškeré následné výzvy k autentizaci. Výzvy k autentizaci by, bez zavedeného procesu SSO, byly aktivovány vždy, když by se uživatel v rámci relace přepojil mezi aplikacemi. Hlavní cíle zavedení SSO jsou obvykle spojeny s pohodlím, jež SSO přináší celé organizaci Přínosy systému jednotného přihlášení SSO Jednoduchá a pohodlná správa hesel pomocí SSO umožňuje předcházení ztráty času spojeného se správou hesel v celém jejich cyklu. Vytváření uživatelských přístupů do jednotlivých aplikací a obnovování celé sady zapomenutých hesel. SSO nabízí uživatelům omezit čas věnovaný řízení hesel. Efektivní systém SSO nabízí významné výhody a úspory napříč celou organizací. Chce-li být organizace co nejvíce efektivní, mělo by řešení systému single sign-on přinést výhody širokému spektru oblasti IT, a to jak z pohledu bezpečnosti, tak také z finančního pohledu. Single sign-on má jasné a zřejmé výhody pro celou organizaci. Jednoduchost a pohodlí, které poskytuje koncovým-uživatelům, umožňuje, aby se zabránilo promarněnému času spojeného s obnovou zapomenutých hesel a častou výzvou k zadání hesla. Nicméně, SSO není bez odpůrců. Hlavním argumentem proti systémům SSO je, že tím, že umožňuje uživatelům použít jedno heslo pro přístup do všech jimi používaných aplikací, ulehčuje prácí hackerům 20, pro které je mnohem jednodušší získat volný přístup k informačním zdrojům uživatele prolomením jediné autentizační sady. Je zřejmé, že bezpečnostní rizika spojená s použitím jediného hesla pro přístup ke všem informačním zdrojům společnosti jsou vysoké. Nicméně jedno dostatečně 20 Hacker (počítačový podvodník) je člověk snažící se proniknout do kódu programu s cílem ovlivnit jeho chod, nebo získat důvěrná data. 17

18 silné heslo 21 je vyšší zárukou bezpečnosti než celá sada hesel slabých, častokrát snadno získatelných či odhadnutelných. Samozřejmě může být silné heslo použito na všech, nebo alespoň všech klíčových aplikacích i bez zavedení SSO. Ale to není příliš reálné, z důvodu odlišných bezpečnostních politik jednotlivých aplikací. Jednotlivé aplikace mohou být ohroženy i bez SSO. To znamená, že obavy, že všechny aplikace jsou při použití SSO ohroženy útoky hackerů jejichž útok je zdánlivě snadný, lze snadno napravit pravidelnou změnou hesla v centrálním adresáři. Zavedení takové politiky bez SSO není snadné, protože pokud je z důvodu nízké kvality hesla ohrožena jedna aplikace, nemusí být ihned patrné, kterou aplikaci slabé heslo zpřístupňuje. Pro administrátora je navíc složité resetovat hesla v jednotlivých aplikacích. Argument upozorňující na obětování individuálního zabezpečení jednotlivých aplikací separovanými hesly není natolik silný, pokud bereme v úvahu možnost použití silného hesla, snadnost jeho správy a možnost ověření procesu rozšíření hesla do všech aplikací, jež organizace používá. Pokusy hackerů o získání hesla uživatele jsou ztíženy z důvodu změny návyků správy hesla koncových uživatelů. Jedno heslo je uživatelsky snadno pamatovatelné a není nutné jakékoli jeho zaznamenávání Pět hlavních způsobů aplikace systému jednotného přihlášení V současné době existuje pět základních typů aplikace systému jednotného přihlášení Enterprise Single Sign-On Systémy jednotného přihlášení typu Enterprise Single Sign-On zabezpečují jednotné přihlášení systémem, jenž po prvotním přihlášení uživatele do primárního systému zachytává následné výzvy sekundárních aplikací k zadání ověřovacích informací a automaticky doplňuje požadované ID a případně heslo Webové Single Sign-On Webové SSO je někdy nazýváno Web access management, Web-SSO, a umožňuje koncovým uživatelům přístup k aplikacím a zdrojům, které jsou přístupné pomocí internetového prohlížeče. Autentizace je dosaženo pomocí prezentování a archivace identifikačních údajů v cookies 22 na internetovém proxy serveru 23 případně na cílovém 21 Silné heslo obsahuje nejméně sedm znaků, neobsahuje uživatelské jméno ani skutečné jméno, či název firmy. Neobsahuje slovo, které je možné nalézt ve slovníku a výrazně se liší od předchozích hesel. Hesla lišící se pouze v čísle, například Pavel1, Pavel2, Pavel3 atd., nejsou silná. 22 Coocies jsou malá množství dat v protokolu http která pošle webovému prohlížečí internetový server. Prohlížeč může tato data uložit do počítače uživatele. 18

19 internetovém serveru. Informace uložená v cookie je zavolána a použita vždy, když si koncový uživatel vyžádá přístup k Webovému portálu nebo novému zdroji dosažitelného pomocí web prohlížeče Kerberos (nebo Tiket/Token Autentizace) Kerberos byl navržen jako model klient server podporující oboustrannou autentizaci. Oboustrannou autentizací je myšleno vzájemné ověření identity koncových uživatelů a služeb. Koncoví uživatelé se ke Kerberos serveru přihlašují pomocí jejich hesla. Výměnou za heslo získají uživatelé od serveru tiket, kterým klientský software prezentuje přístup. Při pokusu přihlášení k serveru, autentizuje uživatele k rozmanitým síťovým službám. Varianta Kerberos je používána jako výchozí autetizační metoda pro Windows 2000, Windows XP a Windows Server Federace Identity Novým přístupem vhodným také pro Web aplikace je Federace identity. Federovaná Identita používá standardy protokolů (SAML a WEBSecurity) k oprávnění potvrzení identity uživatele mezi aplikacemi, čímž zabrání nadbytečné potřebě autentizaci. Federování identity umožňuje organizacím poskytovat SSO mezi různorodými sítěmi, slučování účtů, sítí a aplikací k prospěchu zaměstnanců, zákazníků a partnerů OpenID OpenID je distribuovaný a decentralizovaný proces. OpenID je základním mechanismem, který váže identitu uživatelů na snadno zpracovatelné URL 24, které je možné ověřit libovolným serverem, na kterém je protokol spuštěn. V sítích, ve kterých je OpenID povoleno nepotřebují uživatelé, před získáním přístupu ke každé síti, vytvářet a spravovat nový účet. Pro autentizaci uživatele do důvěryhodné sítě podporující OpenID, je identita uživatele potvrzena a předána dalším sítím podporujícím OpenID. Jelikož je filozofie OpenID odlišná od SSO, kde hraje autentizace velkou roli, a protože se nelze spolehnout na důvěryhodnost mechanismu autentizaci, není OpenID použitelné v citlivých oblastech jakými jsou bankovnictví a on-line nákupy. 23 Proxy server je softwarový nebo hardwarový prostředník mezi klientem a cílovým počítačem. Překládá klientské požadavky a vůči cílovému počítači vystupuje sám jako klient. Přijatou odpověď následně odesílá zpět na klienta. 24 URL(Unique Resource Locator) se používá k jednoznačnému určení zdroje služby či informace. Je to způsob, jak jednoznačně zapsat umístění souboru na Internetu nebo na intranetu. 19

20 4. Microsoft Enterprise Single Sign-On Systém Microsoft Enterprise Single Sign-On (ENTSSO) je autentizační proces firmy Microsoft budovaný na bázi klient-server. Poskytuje služby umožňující koncovému uživateli jednotné přihlášení do podnikových aplikací integrovaných řešením EAI 25. Systém jednotného přihlášení Microsoft ENTSSO směruje uživatelské účty Microsoft Windows do prověření účtů koncových systémů. ENTSSO lze navíc použít pro obousměrnou synchronizaci hesel mezi Windows a nonwindows 26 prostředím. Microsoft Enterprise Single Sign-On poskytuje zjednodušenou správu uživatelských účtů a hesel a to jak samotným uživatelům, tak i administrátorům. Microsoft ENTSSO umožňuje uživatelům přístup ke koncovým systémům a aplikacím pomocí jediného přihlášení do sítě Windows. Microsoft Enterprise Single Sign-On systém se skládá z databáze uživatelských oprávnění (Credential databáze), hlavního bezpečnostního Single Sign-On serveru (Master Secret Serveru), a případně dalších Enterprise Single Sign-On serverů. Systém Microsoft ENTSSO je součástí produktů společnosti Microsoft zaměřených na integraci služeb a zdrojů dostupných v distribuovaném informačním systému. Služby Microsoft ENTSSO podporují například systémy BizTalk Server 2006, Customer Care Framework 2009, Host Integration Server 2006, Microsoft Office Share Point Server 2007 a další Licence produktu Microsoft Enterprise Single Sign-On Při koupi Microsoft ENTSSO, respektive serverového produktu, který ENTSSO obsahuje, nejde o koupi softwarového vybavení, ale pouze o získání licence. Zakoupená licence opravňuje jejího majitele používat softwarový produkt. Právo na užívání softwaru nelze bez svolení autora produktu dále šířit, prodat ani pronajmout. Licence produktu Microsoft Enterprise Single Sign-On je vázána na serverové produkty společnosti, ve kterých je ENTSSO implementováno. Například pokud je zakoupena jedna licence produktu Host Integration Server 2006 získáme možnost použit systém Microsoft ENTSSO na jednom procesoru. 25 EAI (Enterprise Application Integration) Integrace podnikových aplikací, zahrnuje objektově orientované programování, opětovné využití podnikových plánovacích systémů, distribuovanou programovou komunikaci mezi platformami pomocí zpráv, celopodnikovou distribuci dat a obsahu využitím společných databází a standardů na bázi XML a jiných standardů. 26 NonWindows systémy jsou všechny systémy založené na jiném principu než systémy Windows. (Unix, Linux, Mac atd.) 20

21 4.2. Úloha systému jednotného přihlášení Jak bylo již dříve popsáno, systém jednotného přihlášení hraje v distribuovaném systému důležitou roli z pohledu autentizace a identifikace uživatele jako příjemce informací. Abychom porozuměli lépe tomu, jakmicrosoft Enterprise Single Sign-On funguje, je dobré si připomenout tři typy služeb jednotného přihlášení. Služby jednotného přihlášení integrované do systémů Windows Služby jednotného přihlášení integrované do systémů Windows umožňují přihlášení do rozmanitých aplikací a sítí za pomoci běžných autentizačních mechanismů. Služby jednotného přihlášení integrované do Windows systémů vyžadují a ověřují uživatelská práva ihned po přihlášení do sítě Windows a používají je k popisu akcí, které může uživatel vykonávat na základě takto zjištěných uživatelských práv. Pokud jsou aplikace integrovány pomocí Kerberos, tak po úspěšné autentizaci uživatelských oprávnění získá uživatel přístup ke všem zdrojům v síti, které jsou integrovány Kerberem. Extranetové služby jednotného přihlášení (Web SSO) Služby Web SSO umožňují přístup ke zdrojům přes síť Internet za použití jedné sady uživatelských oprávnění. Tato sada oprávnění umožňuje uživateli přihlášení na jiné internetové stránky, což znamená do jiných společností. Takovým systémem jednotného přihlášení je Windows Live ID (dříve Microsoft Passport Network) zaměřený na zákaznické aplikace. Služby jednotného přihlášení založené na interní serverové aplikaci Služby jednotného přihlášení založené na interní serverové aplikaci umožňují integraci rozmanitých, nehomogenních aplikací a systémů v prostředí podniku. Tyto aplikace nemusí používat běžný systém autentizace, přičemž mohou mít každá vlastní adresář uživatelů. Jako příklad poslouží organizace, jejíž uživatelé používají systémy Windows. K autentizaci uživatele do podnikové sítě je tedy využito služeb Active Directory. Servery jsou provozovány na systému IBM 27. K autentizaci stejných uživatelů využívají služeb RACF 28. Díky middleware systémů integrovaných do front-end 29 a 27 IBM je obchodní společnost zabývající se vynalézáním, vývojem a výrobou informačních technologií, včetně počítačových systémů, softwaru, systémů pro ukládání dat a mikroelektroniky. 28 RACF (Resource Access Control Facility) je standard Standard zavedený společností IBM určený k zabezpečení softwarových produktů. 29 Front-end front-end je aplikace pomocí nichž získává uživatel informace ze systémů back-end. FrontFont-end aplikace slouží jako uživatelsky přívětivý nástroj ke komunikaci s back-end systémy. 21

22 back-end 30 aplikac umožní Microsoft Enterpise Single Sign-On uživatelům v organizaci připojení do obou front i back-end aplikací za použití jedné sady uživatelských práv. Služby jednotného přihlášení založené na interní serverové aplikaci umožní uživateli přístup ke zdrojům ve Windows doméně a požadavkům přicházejícím z Windows aplikací stejně jako všem ostatním aplikacím integrovaným pomocí Single Sign-On. Navíc, synchronizace hesel zjednodušuje administraci SSO databáze, a uchovává hesla synchronizovaně napříč všemi adresáři uživatelů. Takové synchronizace je možné dosáhnout za použití adaptérů synchronizace hesel, které je možné spravovat a upravovat pomocí nástroje Synchronizace hesel. Enterprise Single Sign-On Systém Enterprise Single Sign-On Systém poskytuje služby k ukládání a přenosu zašifrovaných informací o uživatelských oprávněních napříč lokálními a síťovými službami a zdroji obsaženými v doméně. K bezpečnému uložení informací o uživatelských oprávněních slouží v systému Microsoft ENTSSO Credential databáze. Middleware aplikace a uživatelské adaptéry mohou využít systém jednotného přihlášení k bezpečnějšímu ukládání a přenosu uživatelských práv napříč síťovým prostředím, díky využití generického řešení systému jednotného přihlášení Skupiny uživatelů systému jednotného přihlášení Aby bylo možné systém jednotného přihlášení Microsoft Enterprise Single Sign-On spravovat a konfigurovat, musí být pro každou z následujících uživatelských rolí vytvořeny skupiny a účty v doméně Windows. Při konfiguraci přístupových účtů můžeme v Microsoft ENTSSO ke každé roli specifikovat více uživatelských účtů. Tato kapitola jednotlivé role popisuje. Role SSO administrátora Nejvyšší úroveň uživatelských práv mají v Microsoft ENTSSO právě SSO administrátoři. Práva SSO administrátora opravňují k následujícímu. 1. Vytvářet a spravovat databázi oprávnění 2. Vytvářet a spravovat Master Secret 3. Povolovat a zakazovat SSO systém 4. Vytvářet hesla a synchronizační adaptéry 30 Back-end aplikace slouží ke zpracování dat a předávání informací do front-end systémů. Back-end aplikace jsou zpravidla běžnému uživateli skryty. 22

23 5. Povolovat a zakazovat v SSO systému synchronizaci hesel 6. Povolovat a zakazovat inicializaci hostů SSO 7. Vykonávat všechny další administrační úlohy Účet administrátora SSO může být účet zařazený ve Windows skupině, nebo se může jednat o individuální účet. Stejně tak se může jednat o účet v doméně, lokální skupině nebo o lokální účet. Pokud je použit individuální účet, není možné změnit jej na jiný individuální účet. Proto není použití individuálního účtu vhodné. Individuální účet je možné převést na skupinu, pokud je původním daný účet členem nové skupiny. Je důležité, aby byl servisní účet, který spouští Enterprise Single Sign-On, členem této skupiny. Z pohledu bezpečnosti je dobré, nepoužívat účet SSO administrátora pro jiné služby. Role Administrátora spřátelených aplikací systému Microsoft ENTSSO Spřátelené aplikace, se kterými SSO systém pracuje, definují administrátoři spřátelených aplikací. Spřátelené aplikace jsou logické entity, které reprezentují backend systémy do kterých se je možné pomocí SSO přihlásit. Následuje výčet administrativních úloh, které jsou administrátorům spřátelených aplikací přístupné: 1. Vytváření a správa spřátelených aplikací 2. Vytváření, mazání a správa oprávnění mapování pro všechny uživatele specifikované spřátelené aplikace. 3. Všechny úlohy, které může vykonávat lokální administrátor a uživatel spřátelené aplikace Účet administrátora spřátelených aplikací SSO může být účet zařazený ve Windows skupině, nebo se může jednat o individuální účet. Stejně tak se může jednat o účet v doméně, lokální skupině nebo o lokální účet. Role uživatele aplikace Pro každou spřátelenou aplikaci musí být založena nejméně jedna skupina uživatelů. Jedná se o seznam koncových uživatelů aplikací v prostředí Enterprise Single Sign-On. Členové skupiny uživatelů aplikací mají k dispozici: 1. Kontrolu a prohlížení jejich oprávnění ve spřátelených aplikacích 2. Správu jejich oprávnění mapování ve spřátelených aplikacích. 23

24 4.4. Komponenty systému jednotného přihlášení Systém jednotného přihlášení Microsoft Enterprise Single Sign-On se skládá z komponent, které slouží k bezpečnému uložení a předávání informací o přístupech a oprávněních v rámci celého systému bezpečně a spolehlivě. Veškeré informace o přidělených přístupech a oprávněních do všech aplikací systému jednotného přihlášení jsou uložena v databázi Microsoft SQL serveru. V Microsoft ENTSSO je databáze pojmenována Credential databáze. Data uložená v Credential databázi jsou z bezpečnostních důvodů zašifrována šifrovacím klíčem Master Secret. Šifrovací klíč generuje a obecně udržuje Master Secret server. Master Secret server může být v systému Microsoft ENTSSO jeden. Další SSO servery, které mohou sloužit k obsluze služeb systému a administraci SSO získávají Master Secret od Master Secret Serveru. Systém jednotného přihlášení dále obsahuje aplikace, k jejichž datům má uživatel přístup bez nutnosti opakované autentizace. Aplikacím sdruženým k systému Microsoft ENTSSO říkáme Affiliate, nebo také spřátelené aplikace. Příklad architektury systému Microsoft Enterprise Single Sign-On je znázorněn na obrázku číslo jedna Komponenty systému Microsoft Enterprise Single Sign-On. V následujících kapitolách jsou jednotlivé komponenty systému Microsoft Enterprise Single Sign-On blíže popsány. Obrázek 1 Komponenty systému Microsoft Enterprise Single Sign-On. 24

25 4.4.1 Credential databáze Credential databáze je databáze Microsoft SQL serveru 31, ve které jsou uložena, pomocí Master Secret, zašifrovaná data popisující spřátelené aplikace stejně jako všechna zašifrovaná uživatelská oprávnění do všech spřátelených aplikací SSO server Enterprise SSO server může být nastaven jako Master Secret server. Pokud SSO server není využit ke službám Master Secret, slouží k administraci spřátelených aplikací, zakládání či rušení uživatelských práv a mapování uživatelů. Případně může vykonávat operace vyhledávání uživatelských oprávnění nutných pro přístup uživatele do Affiliate aplikací v Credential databázi, tzv. služby Lookup. Další SSO servery mohou sloužit k vydávání SSO tiketů, které mají možnost aplikace sdružené v systému Microsoft ENTSSO použít k získání uživatelských práv. Pomocí SSO serveru je navíc možné spravovat adaptéry synchronizace hesel Master Secret SSO server Master secret server je SSO server, který se stará o šifrovací klíč Master Secret. Když si SSO administrátor vyžádá Master Secret, generuje jej právě Master Secret server. V registru skladuje Master Secret server šifrovací klíč rozšifrovaný. K registru a tím i šifrovacímu klíči mají přístup pouze SSO administrátoři. Ostatní SSO servery v systému Microsoft Enterprise Single Sign-On kontrolují každých třicet vteřin, zda nebyl šifrovací klíč změněn. Pokud ke změně dojde, je nový klíč bezpečně přečten a akceptován. Pokud změna kódu nenastane, používají SSO servery nadále poslední známý šifrovací klíč, uložený v jejich vyrovnávací paměti. SSO služby používají Master Secret k šifrování a dešifrování uživatelských práv. SSO systém Microsoft ENTSSO nelze začít používat do doby, než SSO administrátor nakonfiguruje Master Secret server a vygeneruje Master Secret. Generování šifrovacího klíče je vyhrazeno pouze SSO administrátorům. Vygenerovaný klíč je třeba bezpečně zálohovat a uložit jej na bezpečné místo, z důvodu případného kolapsu Master Secret serveru. Affiliate aplikace systému ENTSOO mohou služby využívat až ve chvíli, kdy je Master Secret server zcela nakonfigurován včetně založení Credential databáze. Pokud chce SSO administrátor periodicky klíč měnit, nebo pokud je změna vyvolána z jiných důvodů, jakými mohou být bezpečnostní požadavky společnosti využívající služeb Microsoft Enterprise Single Sign-On, uchovává Master 31 SQL server - Microsoft SQL Server je software určený ke komplexní, integrované zprávě a řízení dat. 25

26 Secret server s novým šifrovacím klíčem i klíč starý. Při změně Master Secret jsou všechna uživatelská mapování dešifrována za pomoci starého šifrovacího klíče a znovu je zašifrována novým kryptovacím klíčem. Jestliže dojde k problémům a nedostupnosti Master Secret serveru pokračují všechny runtime 32 operace dál, není však možné šifrovat nová oprávnění. V SSO systému je možné provozovat jediný Master Secret server SSO spřátelené aplikace Spřátelené SSO aplikace jsou logické entity, které představují systémy nebo podsystémy jako hosty, koncové systémy nebo řady obchodních aplikací, ke kterým se uživatel či služba pomocí Microsoft ENTSSO připojuje. Spřátelenou aplikaci mohou představovat koncové systémy typu mainframe nebo systémy Unix. Spřátelené aplikace mohou reprezentovat také aplikace, jako jsou SAP, nebo součásti systémů jakými jsou podsystémy odměn nebo například výplatních pásek. Když SSO administrátor případně administrátor SSO spřátelených aplikací definuje spřátelenou aplikaci, musí stanovit, kdo bude tuto spřátelenou aplikaci spravovat, kteří uživatelé budou spřátelenou aplikaci užívat a jaké uživatelské autentizační parametry (uživatelské ID, heslo, PINy, atd.) budou použity pro ověření oprávnění k dané spřátelené aplikaci. Různé spřátelené aplikace systému Microsoft ENTSSO podporují různé typy mapování Windows účtů a účtů obsažených v jiných systémech. Existuje několik aplikačních typů, které jsou v Enterprise SSO definovány: Individuální aplikace podporují mapování jednoho Windows účtu k jedinému jinému tak, jak je znázorněno na obrázku číslo dva Individuální mapování. Individuální mapování lze použít jak směrem z Windows do non-windows tak i obráceně z non- Windows do Windows a stejně tak i obousměrně. Záleží pouze na nastavení příznaků pro konkrétní spřátelenou aplikaci. Z výše uvedeného je tedy možné použít individuální aplikace pro jednotné přihlášení vyvolané Windows i non-windows systémem. Obrázek 2 Individuální mapování 32 Runtime služby jsou služby běžící v reálném čase. 26

27 Skupinové (Group) aplikace slouží k mapování jedné Windows skupiny k jednomu non-windows účtu. Účet uživatelů aplikace je použit k definici skupiny Windows, jejíž uživatelé budou Group aplikaci používat. Group aplikaci lze definovat jedno mapování a to mezi Windows skupinou a jedním účtem non-windows systému jak je patrné z obrázku 3 Skupinové mapování. Takto mapovaný účet bude užíván členy Windows skupiny k přístupu do non-windows systému. Jednotné přihlášení je možné inicializovat pouze ze strany Windows. Obrázek 3 Skupinové mapování. Hostitelské skupinové (Host Group) aplikace jsou konceptuálním opakem Group aplikací. Podporují mapování mezi definovanými non-windows skupinami a samostatnými Windows účty. Obrázek číslo tři zobrazuje orientaci skupinového hostitelského mapování. Samostatný Windows účet používaný non-windows účty je definován účtem aplikačních uživatelů konkrétní aplikace. Skupina non-windows účtů, kterým je aplikace zpřístupněna, je definována při vytvoření a mapování každého z non-windows účtů. Aplikace Host Group jsou použitelné pouze v případě inicializace systému jednotného přihlášení Microsoft Enterprise Single Sign-On ze strany spřátelené hostitelské aplikace. Obrázek 4 Skupinové mapování hostitelské Před založením každé spřátelené aplikace musí buď SSO administrátor nebo administrátor spřátelených aplikací učinit rozhodnutí o tom, co a jak bude spřátelenou aplikaci 27

28 prezentovat, kdo bude zakládanou spřátelenou aplikaci systému Microsoft ENTSSO spravovat, kdo ji bude používat a jaké prověřovací mechanismy budou použity k ověření uživatelských práv ke spřátelené aplikaci a jaký typ mapování bude pro zakládanou spřátelenou aplikaci použit. Existuje poměrně široké spektrum vlastností včetně nutnosti přidání administrátorských práv v aplikaci skupině administrátorů spřátelené aplikace systému ENTSSO. Tento krok je možné učinit pouze při zakládání spřátelené aplikace. Následují nemožnost změny jména, přiřazení spřátelených systémů a určení typu spřátelené aplikace, jenž je také jejím základním faktorem. V tabulce číslo jedna Vlastnosti spřátelené aplikace systému Microsoft Enterprise Single Sign-On je zaznamenán kompletní soupis vlastností, které musí být každé spřátelené aplikaci zadány již při vytváření SSO spřátelené aplikace, případně lze tyto vlastnosti zadat později. Tabulka 1 Vlastnosti spřátelené aplikace systému Microsoft Enterprise Single Sign-On. Vlastnost Jméno aplikace Popis Kontakt Účet uživatelů aplikace Účet administrátora aplikace Popis aplikace Aplikace Povolena/Zakázána Skupina aplikace Konfigurace ukládání Aplikace Inicializace SSO hostem Inicializace SSO windows Validace hesel Zakázání ukládání oprávnění v cache paměti Povolení SSO Tiketů Validace SSO Tiketů Časové omezení SSO Tiketu aplikace Časové omezení SSO Tiketu Povolení lokálních účtů Stejný účet administrátora Popis Jméno spřátelené aplikace. Tuto vlastnost již po vytvoření spřátelené aplikace nelze změnit. Stručný popis spřátelené aplikace. Hlavní kontaktní osoba pro spřátelenou aplikaci. (např. adresa.) Skupina Windows, která obsahuje uživatelské účty koncových uživatelů, kteří budou aplikaci používat. Skupina Windows, která obsahuje účet administrátora, který bude spřátelenou aplikaci spravovat. Podrobný popis spřátelené aplikace Stav konkrétní spřátelené aplikace v systému Microsoft Enterprise Single Sign-On. Popisuje používané mapování konkrétní spřátelené aplikace. Skupinové případně Individuální mapování. Tato vlastnost již po vytvoření spřátelené aplikace nelze změnit. Popisuje typ ukládání konkrétní spřátelené aplikace. Tato vlastnost již po vytvoření spřátelené aplikace nelze změnit. Určuje, zda budou požadavky na ověřování inicializovány z hostitelské strany. Určuje, zda budou požadavky na ověřování inicializovány ze strany Windows. Aplikovatelné pouze u hostitelsky-inicializovaných SSO aplikací. Pokud se aplikace snaží získat oprávnění, musí použít heslo do Credential databáze, které je službou SSO použito k validaci. Zapnutí či vypnutí ukládání oprávnění do cache paměti SSO serveru. Určuje, zda bude ENTSSO používat pro konkrétní spřátelenou aplikaci SSO tikety. Určuje, jak bude ENTSSO systém vylisovat SSO tikety. Specifikuje časově omezenou platnost SSO tiketu pro konkrétní spřátelenou aplikaci systému ENTSSO. Tato vlastnost lze vytvořit pouze při obnově vlastní spřátelené aplikace. Ne při jejím vytváření. Určuje, zda budou mít SSO tikety omezenou platnost. Určuje, zda bude v systému Microsoft ENTSSO možné používat lokální skupiny a účty. Určuje, zda bude k administraci spřátelené aplikace použita skupina SSO administrátora spřátelených aplikací. Zdroj: ( ) Mapování Mapování v systému Microsoft Enterprise Single Sign-On umožní přiřadit oprávnění účtů ve Windows účtům jiným spřáteleným aplikacím. Když SSO administrátor, nebo administrátor spřátelených aplikací SSO definuje novou spřátelenou aplikaci, má na výběr ze dvou typů mapování - individuální a skupinové. SSO individuální mapování umožňuje administrátorům a uživatelům vytvářet osobní mapování Windows uživatelů a jejich odpovídajících oprávnění non-windows. Pokud je u 28