Správa identit, Identity Management, IDM

Podobné dokumenty
Správa identit, Identity Management, IDM

SSL Secure Sockets Layer

IDENTITY MANAGEMENT Bc. Tomáš PRŮCHA

Federativní přístup k autentizaci

Šifrování Autentizace Bezpečnostní slabiny. Bezpečnost. Lenka Kosková Třísková, NTI TUL. 22. března 2013

STORK Secure Identity Across Borders Linked

Bezpečnost internetového bankovnictví, bankomaty

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

Jednotný identitní prostor Provozní dokumentace

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

Uživatelská příručka Portálu CMS Centrální místo služeb (CMS)

1.1. Základní informace o aplikacích pro pacienta

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok

TECHNICKÁ SPECIFIKACE VEŘEJNÉ ZAKÁZKY

Příloha č. 12. Systém společného přihlašování, tzv. Single Sign On, ochrana dat

E-DOKLAD. Elektronický občanský průkaz. STÁTNÍ TISKÁRNA CENIN, státní podnik. Petr Fikar, ředitel rozvoje produktů a služeb

E-DOKLAD. Elektronický občanský průkaz. STÁTNÍ TISKÁRNA CENIN, státní podnik. Petr Fikar, ředitel rozvoje produktů a služeb

SIM karty a bezpečnost v mobilních sítích

PV157 Autentizace a řízení přístupu

Registrace a aktivace uživatelského profilu k přístupu do systému erecept pro pacienta

Národní Identitní Prostor ČR

Digitální identita Moderní přístup k identifikaci klienta. Pavel Šiška, Štěpán Húsek, Deloitte Digital - Technology Services

SPRÁVA ZÁKLADNÍCH REGISTRŮ ČESKÉ REPUBLIKY. Základní registry a eidas

HP JetAdvantage Management. Oficiální zpráva o zabezpečení

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Rok informatiky 2016 SPRÁVA ZÁKLADNÍCH REGISTRŮ ČESKÉ REPUBLIKY SZR JE NYNÍ EIDENTITA READY

Jednorázová hesla pro zvýšení bezpečnosti vzdáleného přístupu mobilních uživatelů

MĚSTSKÝ ROK INFORMATIKY KLADNO

SPRÁVA ŽIVOTNÍHO CYKLU UŽIVATELE. Roman Pudil, SOITRON

Co je Symantec pcanywhere 12.0? Hlavní výhody Snadné a bezpečné vzdálené připojení Hodnota Důvěra

GDPR, eidas Procesní nebo technologický problém?

Směry rozvoje v oblasti ochrany informací KS - 7

Autor. Potřeba aplikací sdílet a udržovat informace o službách, uživatelích nebo jiných objektech

1. Integrační koncept

ISMS. Autentizace ve WiFi sítích. V Brně dne 5. a 12. prosince 2013

Informatika / bezpečnost

Systémy jednotného přihlášení Single Sign On (SSO)

Bezpečnost v Gridech. Daniel Kouřil EGEE kurz 12. prosince Enabling Grids for E-sciencE.

NÁRODNÍ IDENTITNÍ AUTORITA V PRAXI MICHAL PEŠEK ŘEDITEL SPRÁVY ZÁKLADNÍCH REGISTRŮ ROK INFORMATIKY SLAVKOV U BRNA 6. ČERVNA 2019

Microsoft Windows Server System

ERP-001, verze 2_10, platnost od

Správa přístupu PS3-1

Úvod - Podniková informační bezpečnost PS1-2

Využití sdílených služeb Jednotného identitního prostoru (JIP) a Katalogu autentizačních a autorizačních služeb (KAAS)

AUTENTIZAČNÍ SERVER CASE BEZPEČNÁ A OVĚŘENÁ IDENTITA

Návrh a implementace bezpečnosti v podnikových aplikacích. Pavel Horal

Zavádění PKI infrastruktury v organizaci - procesní aspekty. Vlastimil Červený, Kateřina Minaříková Deloitte Advisory, s.r.o.

Gymnázium a Střední odborná škola, Rokycany, Mládežníků 1115

Desktop systémy Microsoft Windows

Pravidla komunikace registrátora Web4u s.r.o.

Uživatelská příručka: Portál CMS. Centrální místo služeb (CMS)

Sdílení uživatelských identit. Petr Žabička, Moravská zemská knihovna v Brně

Bezpečnost sítí

Obsah. Úroveň I - Přehled. Úroveň II - Principy. Kapitola 1. Kapitola 2

Dalibor Kačmář

Uživatelská příručka RAZR pro OVM

Použití čipových karet v IT úřadu

Bezdrátové sítě Wi-Fi Původním cíl: Dnes

Informační systémy 2008/2009. Radim Farana. Obsah. Obsah předmětu. Požadavky kreditového systému. Relační datový model, Architektury databází

Není cloud jako cloud, rozhodujte se podle bezpečnosti

VPN - Virtual private networks

Desktop systémy Microsoft Windows

SAML a XACML jako nová cesta pro Identity management. SAML and XACML as a New Way of Identity Management

ČESKÁ TECHNICKÁ NORMA

Elektronický podpis. Základní princip. Digitální podpis. Podpis vs. šifrování. Hashování. Jednosměrné funkce. Odesílatel. Příjemce

Co pro nás bude znamenat eidas (aneb Lokální JIP) Ing. Aleš Kučera

DOPLNĚK. Projekt Informační systém základních registrů je spolufinancován Evropskou unií z Evropského fondu pro regionální rozvoj.

Zákon o elektronickém zdravotnictví. Řízení identitních prostředků zdravotnických pracovníků a důsledky pro práci se zdravotnickou dokumentací

Směry rozvoje v oblasti ochrany informací PS 7

MOBILNÍ ZAŘÍZENÍ JAKO AUTENTIZAČNÍ NÁSTROJ A JEHO INTEGRACE DO SYSTÉMŮ MILAN HRDLIČKA MONET+ BŘEZEN 2015

Referenční rozhraní národního konektoru Národního kontaktního místa pro ehealth úloha pacientský souhrn

E-DOKLAD. Elektronický občanský průkaz. STÁTNÍ TISKÁRNA CENIN, státní podnik. Petr Fikar, ředitel rozvoje produktů a služeb

Extrémně silné zabezpečení mobilního přístupu do sítě.

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Digitální identita. zlý pán nebo dobrý sluha? Martin Jelínek, ASKON INTERNATIONAL s.r.o.

Bezpečnost bezdrátové komunikace 9 Téma číslo 1: bezpečnost 10. Základy bezpečnosti komunikačních sítí 13 Bezpečnost sítě 14 Bezpečnostní politika 15

eid Kolokvium Kontext a východiska Ing. Zdeněk Jiříček AFCEA - Pracovní skupina Kybernetická bezpečnost

12. Bezpečnost počítačových sítí

eidas - zkušenosti s implementací řízení přístupu a federací identit ISSS 2016 Hradec Králové

KAPITOLA 22. Autentizace Windows

Úvod Bezpečnost v počítačových sítích Technologie Ethernetu


Nasazení jednotné správy identit a řízení přístupu na Masarykově univerzitě s využitím systému Perun. Slávek Licehammer

Příručka nastavení funkcí snímání

9. Sítě MS Windows. Distribuce Windows. Obchodní označení. Jednoduchý OS pro osobní počítače, pouze FAT, základní podpora peer to peer sítí,

INTEGRACE IS DO STÁVAJÍCÍ HW A SW ARCHITEKTURY

Uživatelská dokumentace

JSEM ELEKTRONICKÁ IDENTITA. VĚŘÍTE MI? Jiří Bořík CESNET Olomouc

IP telephony security overview

Protokol TELNET. Schéma funkčních modulů komunikace protokolem TELNET. Telnet klient. login shell. Telnet server TCP/IP.

INFORMAČNÍ SYSTÉMY NA WEBU

Microsoft SharePoint Portal Server Zvýšená týmová produktivita a úspora času při správě dokumentů ve společnosti Makro Cash & Carry ČR

PA159 - Bezpečnostní aspekty

I.CA RemoteSeal. Ing. Filip Michl První certifikační autorita, a.s

Softwarové komponenty a Internet

Certifikáty a jejich použití

Obrana sítě - základní principy

Př ihlaš ova ní do IS etešty př eš JIP

Transkript:

w ΛΞΠ± ΦΩfffiflffi» μνοßρχψ!"#$%&'()+,-./012345<y A } Správa identit, Identity Management, IDM PV 017 Bezpečnost IT Jan Staudek Verze : podzim 2006 http://www.fi.muni.cz/usr/staudek/vyuka/

Osnova přednášky Úvod do identity a do správy identity bázové pojmy Systémy SSO, Single Sign-On, kategorizace Systémy SSO, Single Sign-On, příklady řešení: Kerberos, Microsoft Passport, Liberty Alliance,... Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 1

Problém identity Internet vznikl aniž by se nějak ujednocovalo chápání pojmů identita, identita uživatele,... Správa identit má tudíž mnoho forem řešení, ex. mnoho odlišných řešení správy účtů uživatelů, mnoho způsobů sběru personálních informací,... ex. mnoho forem řešení systémů typu SSO (Single Sign On),... Chaos v definicích a formách správy identit je zdrojem hrozeb phishing,... uživatel netuší, kdo s jeho PC hovoří uživatelé jsounavádění k vyzrazování svých pověřovacích informací a/nebo k instalacím zlomyslného software množí se útoky na instituce uchovávající velké objemy uživatelských identitních dat (např. čísla platebních karet) Správu identit je nutné řešit lépe, hledá secestajak Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 2

Správa identit je,,tvrdý oříšek Jediná úspěšná schémata správy identit jsou ta, která byla vyvinuta pro konkrétní platformy Kerberos, speciální PKI pro vnitroorganizační účely a pro kartové systémy, MS Passport,... Kvalitní generické univerzální řešení správy identit zatím známé není Identita je kontextově specifickýrys vznik a respektované provozování univerzálního globálního poskytovatele identity nenípravděpodobné a to ani v dlouhodobém výhledu Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 3

Identita je...(příklady definic) Definice identity fy Microsoft: Identita = soubor prohlášení, které vysloví digitální subjekt o sobě aostatních digitálních subjektech digitální subjekt osoba nebo věc reprezentovaná neboexistující v digitálním světě prohlášení tvrzení, že něco je pravda tato definice bohužel nerozlišuje mezi prohlášeními typu: identifikátory/visačky/...: adresa e-mail, číslo pasu, ROČ, ČOP,... vlastnosti: držitel identity je zaměstnanec fy Y,... Časté chápání identity Identita = totožnost entity (osoby, místa, věci,...obecnějistého objektu), resp. vyjádření vztažnosti (vymezení) entity vůči jiným entitám Identifikace určení, kterou entitu určuje jméno udané vjistém kontextu, a jaký vněm profil (výsady, omezení,...) Autentizace procesověření, že entita je tou entitou, za kterou se prohlašuje Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 4

7zákonů oidentitě Microsoft Báze přístupu Microsoft k budování univerzálního systému správy identit InfoCard obecné pravdysouvisející se soukromím v IT systémech 1. zákon Uživatel řídí a souhlasí Technické identitní systémy musí sdělovat pouze ty identifikační informaceouživateli, s jejichž sdělením uživatel souhlasí Uživatel musí identitnímu systému důvěřovat a musí mít tudíž možnost se na budování důvěry podílet zákon umožňuje i implementace, ve kterých metasystém uživateli umožní se rozhodnout pro automatické sdělování identitní informace v jistém kontextu Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 5

7zákonů oidentitě Microsoft 2. zákon Minimální odhalování Nejstabilnějším dlouhodobým řešením identitního systému je to, které odhaluje nejmenší nutné množství identitních informací anejlépe omezuje jejich použití minimalizují se rizika útoků využívajících princip,,musí seznát minimalizuje se používání globálních identifikátorů (na rozdíl od lokálních identifikátorů) 3. zákon Ospravedlnitelná participace Digitální systémy musí být navrhované tak,že identitní informace se odhalují pouze těm stranám, které nutně a ospravedlnitelně participují v daném identitním vztahu uživatelsimusíbýt vědom, kdo s ním sdílí jehoidentitníinformace Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 6

7zákonů oidentitě Microsoft 4. zákon Orientovaná identita Univerzální identitní systém musí podporovat jak univerzální identifikátory používané veřejnými entitami (explicitní identifikaci), tak i,,jednosměrné identifikátory používané privátními entitami (pseudonymy) Pokud není dobrýdůvod k používání k explicitní identifikace, mají sepoužívat pseudonymy 5. zákon Pluralismus operátorů a technologií Univerzální identitní systém musí umožnit komunikaci a kooperaci více identitním technologiím používaným více poskytovateli identitních služeb Záměr zákona je jasný každý používá více identit v závislosti na kontextu. Není šance toto změnit, univerzální identitní systém musí podporovat všechny takové identity. Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 7

7zákonů oidentitě Microsoft 6. zákon Integrace lidského faktoru Univerzální identitnísystém musí definovat lidského uživatele jako komponentu distribuovaného systému integrovaného pomocí mechanismů rozhraní člověk-stroj nabízejících ochranu proti útokům na identitu. lidský uživatel je klíčovou komponentou nedokonalost porozumění lidskému faktoru na rozhraní PCjepříčinou útoků typuphishing sémantických útoků 7. zákon Zachování zkušeností Jednotící identitní metasystém musí svým uživatelům zaručit konzistenci bázových principů v různých kontextech různých operátorůa technologií majoritní jekonzistencechápání identity Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 8

Důvody používání IDM Uživatel chce používat službu Poskytovatel služby chce znát, kdo uživatel je např. aby mohl použití služby vyfakturovat Uživatel musí službě sdělit svoji identitu + nějaké důkazy, které může poskytovatel služby použít pro autentizaci deklarované identity např. doklady, credentials dokumenty potvrzující, že jistá udaná fakta jsou pravda Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 9

Identity a doklady Uživatel může mít více identit (každá má svůj identifikátor), pro různé poskytovatele služeb může užívat různé identity jako zaměstnanec udává své osobní číslo při komunikaci se zaměstnavatelem jako občan udává ČOP při komunikaci se státní správou jako uživatel internetových služeb může mít řadu jmen, která používá pro komunikaci s jednotlivými poskytovateli služeb doklady, credentials autentizují uživatele jako legálního nositele udané identity heslo biometrika certifikát veřejného klíče MAC spočítaný sdíleným tajným klíčem symetrické kryptografie podpis výzvy zaslané poskytovatelem služby,... Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 10

Autorizace Jakmile poskytovatel služby uživatele autentizuje, musí rozhodnout, zda mu bude či nebude poskytovat službu Autorizace je nositel dané identity autorizovaný pro přístup ktéto službě? Autorizaci může podporovat na své straně server pomocí ACL Access Control List Uživatel může dodat autorizační sdělení podepsané vlastníkem zdroje a sdělující, že se držiteli tohoto sdělení má služba poskytnout Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 11

Soukromí (Privacy)aformysoukromí Žadatel o poskytnutí služby může požadovat v některých případech zachování soukromí např. jeho identitu by jiné entityneměly poznat Anonymita uživatel chce čerpat služby anonymně žádnázestrannezjistí jakoukoliv identitu uživatele vpřípadě neplacených služeb triviální řešení vpřípadě placených služeb se musí použít EPS podporující anonymitu, např. elektronické peníze absolutní anonymitu lze mnohdy zajistit obtížně, uživatel může zanechávat stopu např. formou IP adresy Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 12

Soukromí (Privacy)aformysoukromí Pseudonymita slabší forma anonymity uživatel vyzrazuje poskytovateli služby speciální fomuidentity pseudonym pseudonymy mívajíkrátkou životnost, nové pseudonymy se generují pravidelně např. číslo TMSI generované vgsmpři roamingu (dočasná identifikace) Nesvázatelnost (Unlinkability) požadované vlastnost pro podporu používání pseudonymů dva pseudonymy jsou nesvázatelné tehdy, když žádnátřetí strana není schopná říci, zda náleží nebo nenáleží jednomuuživateli obtížně sedosahuje, autorizační proces může informaci o uživateli vyzradit Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 13

SSO, Single Sign-On Schopnost se,,přihlásit (log) k používání služeb pouze jednou a poté být automaticky přihlašovaný k různým službám pro koncového uživatele se podstatně zjednoduší správa hesel SSO jako součást správy uživatelů (User Management) tradiční aplikace ve velkých společnostech (institucích) SSO =,,bezpečnostní vrstva v IT infrastruktuře instituce SSO tohoto typu jsou již,,vyzrálé a dobře zavedené viz navazující samostatnápřednáška Internetovské systémy SSO přihlášení uživatele k poskytovateli (internetovské) služby, PS internetovský uživatel se pouze jednou přihlašuje k poskytovateli autentizační služby k (lokální či vzdálené) entitě anemusísekps přihlašovat opakovaně Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 14

Internetovské systémy SSO Tradiční SSO zjednodušuje život uživateli snižuje riziko používání jednoduchých hesel snižuje riziko vypisování hesel,,na taháky Internetovský SSO přebírápřínosy tradičních SSO navíc řešíidůvěrnostníproblém pokud uživatel používá stejné heslo pro autentizaci u více PS, potenciálně dává možnost jednomu PS, aby se vydával u jiného PS za takového uživatele Příklady iniciativ v tvorbě internetovských SSO Microsoft Passport: podporuje službu SSO pro uživatele registrované u Passport vůči PS registrovaným u Passport Liberty Alliance konzorcium předních výrobců podporujících otevřenou specifikaci internetovských SSO Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 15

Infrastruktura systémů SSO (obecně) Role uživatel, U poskytovatel služby, PS poskytovatel autentizační služby, PAS Počítače U, PS a PAS jsou propojeny (sítí, sítí Internet) Mezi počítači U a PS je otevřena nějaká forma relace silnější nežprosté bezstavové http spojení (např. SSL/TLS spojení) Uživatel se v kontextu relace U PS autentizuje u PAS PAS dodává PS důkazy identit těch uživatelů, kteří siupsotevřeli relaci Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 16

Model SSO SSO identity a soukromí PAS může měnit ID uživatelů vzávislosti na zúčastněném PS tyto ID-U mohou být platné pouze v SSO, zaručují U-pseudonymitu Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 17

Skutečné SSO a pseudo SSO Odlišovacím kritériem je podstata interakce ASP/PS pseudo SSO PASspravujeuživatelovy pověřovací informaceprokaždého PS tj.pasřeší autentizační procespszauživatele pravý SSO PASmá explicitní vztahsps, PAS je atestovaný poskytovatelem služby a PAS poskytuje PS informace o uživateli (např. informace, jak se uživatel u PAS autentizoval) V pseudo SSO, na rozdíl od pravého SSO, si PS nemusí vědomý existence a činnosti PAS na pravé SSO musí být aplikace poskytující službu upravena,,,našita Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 18

Lokální SSO a proxy SSO Počítač PAS může fungovat jako vzdálený,,proxy systém nebo může být ztotožněný s počítačem uživatele Pseudo SSO mají obvykle lokální PAS správu hesel pro různé PSřešílokální procesvpočítači uživatele programy, které spravujíuživatelská hesla, jsou lokální pseudo SSO schémata Pravé SSO mají obvykle proxy PAS protože PS musí důvěřovat PAS PS musívěřit, že PAS uživatele autentizoval korektně to by ale bylo ošidné, kdyby PAS běžel na stroji uživatele Příklady pravých SSO s proxy PAS Microsoft Passport, Liberty Alliance, Kerberos Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 19

Vlastnosti SSO schémat Vesměs se požaduje, aby systém SSO podporoval pseudonymitu a nesvázatelnost Pseudo SSO schéma nesvázatelnost garantovat nemůže, identifikátory jsou vázané naps (např. adresa e-mail, jméno,...) Pravé SSO lze navrhnout tak, že se pro každého PS používají různé (anesvázatelné identifikátory) Nasvázatelnost ovšem také závisí na existenci pseudoanonymních platebních schémat Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 20

Vlastnosti SSO schémat Anonymní přístup do sítě i když pravý SSO poskytuje nesvázatelnou pseudonymitu, protokoly nižší vrstvy mohou U-identitu zradit odhalením síťových adres tento problém lze řešit anonymisujícími proxy na úrovni přístupu k síti Mobilita uživatelů SSO schéma na bázi proxy podporuje mobilitu uživatelů vrozeně uživatel se musí pouze autentizovat na proxy Lokání pseudo SSO schéma může být vypracované tak,aby podporovalo mobilitu uživatelů databáze pověřovacích informací (šifrovaná) se uchovává u třetí strany Lokální skutečná SSO schémata jsou obtížněji implementovatelná, důvodem jsou požadavky důvěryhodnosti Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 21

Vlastnosti SSO schémat Problém nedůvěryhodných prostředí zpřístupňování PSznedůvěryhodných počítačů, např. z internetových kaváren uživatelé sebudoubránit zpřístupnit takovému počítači dlouhodobě platné tajemství, např. heslo v takových případech je dobrým řešením schéma na bázi proxy, i když iniciální autentizace na proxy se musí řešit např. jednorázovým heslem Problém ceny rozvoj pseudo SSO schémat je mnohem levnější, není žádný dopadnaps toto nemusí platit trvale, na PAS systému pseudo SSO má dopad každá změna autentizační metody u PS provozní náklady pseudo SSO jsou nižší, nepožaduje se činnost žádného serveru Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 22

Vlastnosti SSO schémat Vztah důvěry Ve všech schématech musí uživatelé i poskytovatelé služeb důvěřovat PAS Vpravých SSO je vztah důvěry PS/PAS explicitní V pseudo SSO vztah není takjasný PSsinemusíbýt vědomý PAS Generování důkazů Vproxyschématech může jako TTP opatřující důkazy událostí fungovat proxy operátor Snadnější řešení jevpravých SSO, ve kterých je vztah PAS/PS dobře definovaný V lokálních SSO schématech se význam snižuje, důkazy nejsou spolehlivé (generují se na uživatelově stroji, který vystupuje v roli důvěryhodného systému) Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 23

Vlastnosti SSO schémat Otevřená a uzavřená prostředí V uzavřených systémech jsou hlavním problémem náklady, udržování soukromí má menší význam Pseudo SSO jsou levnější, mnoho institucí jim proto dává ve svých prostředích přednost Pravé SSO dávají vyšší záruku za zachování soukromí, jsou vhodnější pro otevřená prostředí Bezpečnost nějakým způsobem se musí svázat autentizace uživatele u PAS s relací uživatel/ps uživatelé nemusí nutně autentizovat PAS, uživatelovy autentizační informace může tudíž získat falešný PAS to je důvodem pro používání jednorázových autentizací na PAS Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 24

Vlastnosti SSO schémat Vedení SSO procesu uživatelem Vlokálních SSO si vedení SSO procesu ponechává uživatel Ve (většině) řešení nabázi proxy si musí uživatel vybrat z několika málo poskytovatelů SSO služby a tudíž ztrácí moc nad SSO procesem Pokud se používají nezávislí poskytovatelé SSO, je problémem zachování soukromí Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 25

Řešení SSO Liberty Alliance Liberty Alliance http://www.projectliberty.org/ konzorcium výrobců zainteresovaných na SSO a správě identity publikuje specifikace otevřeného SSO systému na bázi ML Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 26

Řešení SSO Liberty Alliance Uživatel se (pouze jednou) autentizuje u PAS (Identity Povider, IP) PAS pomocí http redirekce autentizuje uživatele u jednotlivých PS automaticky Typický scénář Uživatel navštíví webovskou stránku PS a ustanoví se SSL spojení PS redirekcí přesměruje uživatelův prohlížečnalibertyip(pas) PAS ustanoví suživatelem SSL spojení a autentizuje ho (je-li to nutné) PAS redirekcí přesměruje uživatelův prohlížeč zpět na PS Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 27

Řešení SSO Liberty Alliance Vyměňované zprávy mezi PS a PAS PS zasílá autentizační požadavek apasvrací autentizační odpověď obsahující security assertions bezpečnostní požadavky zprávy jsou zabudované do URL nebo do http formulářích (pomocí metodypost) Syntaxe zpráv je odvozena ze SAML, Security Assertion Markup Language Pseudonymita PAS musí prokaždého PS používat jiný pseudonymuživatele problém vyzrazenícestousíťové adresyseneřeší PAS musí být pro PS plně důvěryhodný Zranitelnost SSO Liberty Aliance autentizace uživatele vůči PAS může být kompromitovaná škodlivým web serverem PS, který redirektuje uživatelův prohlížeč na falešného PAS, který neoprávněně získá autentizační informaci Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 28

scénář Řešení SSO Liberty Alliance, příklad uživatel Petr PAS Magistrát města Brna(MMB), zná Petrovy identitní informace partnerská skupina poskytovatelů služeb sdružená u PAS MMB ekniha, epostak,... Petr si kupuje přístup na placenou stránku u ekniha: 1. Petr si otevírá www stránku ekniha 2. ekniha si zjistí, že Petrovu identitu u ekniha může federovat s Petrovou identitou u MMB, a Petrův prohlížeč redirektuje na PAS server MMB 3. Po autentizaci je Petrův prohlížeč redirektovaný zpět na ekniha 4. server ekniha si přečte SAML zprávu o proběhlé autentizaci Petra u MMB, která vzniká při redirekci Petrova prohlížeče zpět na server ekniha, a pošle ji MMB (4a). MMB vrací naeknihasaml autentizační tvrzenívč. Session ID Petra (4b) 5. ekniha zpřístupní Petrovi placenou stránku Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 29

Řešení SSO Liberty Alliance, příklad Poskytovatelé ekniha a MMB musí znát Petra pod stejným Session ID, aby, každý jménem Petra, mohli vzájemně komunikovat Proces ustanovení sdíleného ID federace identity: Lokální identita Petra u MMB se federuje se lokální identitoupetra u ekniha v okamžiku, když ekniha žádá MMB o autentizaci Petra Petr může federovat svoji identitu u epošťáka se svojí identitou v rámci partnerské skupiny MMB Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 30

Řešení SSO Microsoft Passport PAS Microsoftí passport server uživatel se u PAS registruje udáním adresy e-mail a hesla uživatel získá 64bitové Passport User ID (PUID) PS, který chce využívat Passport, semusí u Microsoftu registrovat, zaplatí a obdrží jedinečný tajnýklíč(symetrická kryptografie) Passport nedodržuje identitní zákon o Ospravedlnitelné participaci, identitní informace každého dostane kdo si zaplatí Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 31

Řešení SSO Microsoft Passport Typický scénář kanály U/PAS a U/PS jsou řízené protokoly SSL/TLS (=projekt SSO Liberty) PS redirektuje prohlížeč uživatele na PAS PAS kontroluje v počítači uživatele Ticket Granting Cookie, TGC pokud TGC nalezne, autentizace je pozitivně potvrzená pokud TGC nenalezne, PAS uživatele autentizuje, TGC vytvoří a uloží vpočítači uživatele PAS použije TGC pro generování množiny cookies šifrovaných tajným klíčem PS uživatelův prohlížeč je redirektovaný zpět na PS, který čte cookies Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 32

Passport idea komunikace Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 33

Řešení SSO Microsoft Passport Zranitelnost SSO Passport podobně jako v Liberty SSO podvodný PS redirektuje uživatelův prohlížeč na falešného PAS, který neoprávněně získá autentizační informaci ochrana jednorázová autentizace uživatele Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 34

Obecné řešení SSO formou webovského správce přístupu alternativní název WAM, Web-based Access Manager Autentizuje uživatele Povoluje relace s více různorodými aplikacemi Autorizuje/řídí přístup, často na bází,,rolí Mnohdy proprietární technologie, začíná se aplikovat SAML Příklady Entrust, GetAccess Sun, Sun ONE Identity Server RSA, ClearTrust Baltimore Technologies, Select Access IBM, Tivoli Access Manager RSA, ClearTrust Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 35

Obecné řešení SSO formou webovského správce přístupu Typický algoritmus 1. Uživatel přistupuje k URL / zdroji chráněnému WAM 2. Přijme se uživatelův požadavek na zdroj a uživatel se přesměruje na centrální autentizační webovský formulář 3. Uživatel předá své oprávnění a WAM provede autentizaci proti centrální databázi uživatelů (mnohdy LDAP adresář) 4. WAM nastaví v uživatelově prohlížeči přístupový příznak (cookie) ke zdrojům chráněným pomocí WAM Šifrované nepersistentní cookie s ID uživatele v DB uživatelů Neheslo!! 5. WAM podle předdefinované politiky posoudí přístupová práva uživatele, a je-li uživatel autorizovaný, povolí mu přístup ke zdroji Jakmile WAM při dalším požadavku na přístup zjistí platný, neexpirovaný příznak v prohlížeči, kroky 1 4 vynechává Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 36

Porovnání schémat SSO Lokální SSO nízká provoznícena uživatel neztrácí řídicí vliv Proxy SSO podporuje anonymní přístup k síti podporuje mobilitu uživatelů podporuje používáníznedůvěryhodných prostředí Pravý SSO podporuje pseudonymitu nižší náklady na údržbu velmi dobře definovaný vztahdůvěry Pseudo SSO nižšínáklady na zavedení nemění seautentizaceups vhodné schéma pro uzavřené systémy Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 37

Kerberos Pravý SSO systém na bázi proxy Původ projekt Athena na MIT Cíl poskytnout nástroj pro autentizaci uživatelských pracovních stanic (klientů) vůči serverům (a naopak) Implementační báze - symetrická kryptografie Poslední vývojová verze Kerberos Version 5 RFC 1510 použité mechanismy: symetrická kryptografie Manipulation Detection Code (MDC) (integrita) časová razítka Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 38

Kerberos architektura používá dvě TTP autentizační server(as) ticket-granting server (TGS) Uživatel dlouhodobě sdílí tajnýklíčsas K U AS AS generuje krátkodobě platný tajnýklíč sdílený uživatelem a TGS K U TGS TGS se účastní na generování tajných klíčů relací sdílených mezi klientem a aplikačními servery K U ApSi AS a TGS společně hrají roli PAS (Identity Provider, Liberty) např. na počátku pracovní doby, pro generování K U TGS K U AS uživatel používá (zavádí dosvéstanice)řídce, K U AS se může odvozovat s hesla (fráze) znalého důvěryhodnému AS auživateli Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 39

Kerberos idea komunikace Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 40

Kerberos protokol Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 41

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář