Osnova přednášky Správa uživatelů, User Management PV 017 Bezpečnost IT Jan Staudek Úvod do správy uživatelů bázové pojmy, cíle Funkcionalita správy uživatelů, Správa životního cyklu účtu uživatele Standardizované technologie pro tvorbu správy identity stručný průvodce, orientační přehled principů a uplatnění řízení přístupu, web services bezpečnost, workflow,... w ΛΞΠ± ΦΩfffiflffi» μνοßρχψ!"#$%&'()+,-./012345<y A } Verze : podzim 2006 http://www.fi.muni.cz/usr/staudek/vyuka/ Jan Staudek, FI MU Brno PV017 Správa uživatelů, User Management 1 User Management aplikační systém, který pomocí kombinací jím vykonávaných procesů a používaných technologií řeší správu přístupů identifikovaných uživatelů k informacím a zdrojům organizace a přispívá k bezpečnosti těchto přístupů, přitom respektuje a prosazuje profily definující oprávnění a omezení těchto uživatelů tyto správní činnosti vykonávají pro uživatele činné jak uvnitř organizace (zaměstnanci), tak i vně organizace (zákazníci, partneři,...) někdy používaný termín I&AM Identity and Access Management Identita Použité bázové pojmy totožnost entity (osoby, místa, věci, obecně jistého objektu) vyjádření vztažnosti vymezení entityvůči jiným entitám Identifikace určení, kterou entitu určuje jméno (ID) udané v jistém kontextu, a jaký má tato entita v udaném kontextu profil výsady, omezení (Specifikace informací, nástrojů, preferencí, omezení azdrojů potřebných pro řádné plnění roleentity) Digitální identita Elektronický záznam atributů určujících identitu Jméno, jednoznačné ID, adresa, doklady vlastností / udělených výsad Jan Staudek, FI MU Brno PV017 Správa uživatelů, User Management 2 Jan Staudek, FI MU Brno PV017 Správa uživatelů, User Management 3
Použité bázové pojmy Použité bázové pojmy Kontext, role, profil Jedná a táž entita může vystupovat jako zaměstnanec, zákazník, abonent služby,... vystupuje v jedné, resp. v jedné zvíce rolích, každá role se realizuje v jistém kontextu Jedna a táž entitamůže v průběhu své činnosti působit v různých kontextech Vrůzných kontextech je vymezovaná kdo je identifikovaná jinak (odlišně), může mít více (digitálních) identit V jednotlivých kontextechjsoupráva a omezení entityurčované relevantními profily Autentizace Proces ověření, že entita je tou entitou, za kterou se prohlašuje Autorizace Proces určující zda entita s identifikovaným a ověřeným účtem (držitel účtu) smí přistupovat k určitému zdroji Účet, account Záznam (record) specifikující profil entity aktivní vjistém kontextu Řízení přístupu, Access Control Politiky definující pravidla toho, co je držiteli účtu povoleno dělat Doklady, Credentials Dokument potvrzující pravdivosturčitých stanovených faktů, výsad vázaný na jednotlivce, kterému byl vydán (pro identifikaci) nebo najehodržitele (pro jisté formyautorizace) Certifikát identity, certifikát vlastnosti (práva na...), ověřovaný ověřovači v autentizační transakci... Oprávnění, výsady, privilegia, (přístupová) práva, Entitlements, Privileges práva něco vykonávat Adresář, Directory, digitálních identit paměť (sklad) digitálních identit Jan Staudek, FI MU Brno PV017 Správa uživatelů, User Management 4 Jan Staudek, FI MU Brno PV017 Správa uživatelů, User Management 5 Správa identit (IDM) jako součást správy uživatelů Správa identit (IDM) jako součást správy uživatelů soubor nástrojů pro: Definování identitentit Bezpečnéavdaném prostředí efektivníuchovávání relevantních identitních informacíoentitách (jmen, dokladů,...) Zpřístupňování identitních informací pomocí standardizovaných rozhraní Poskytování odolné distribuované a výkonné infrastruktury pro správu vztahů zdrojů a entit v daném kontextu zajišťuje, že vždy je uplatněn správný kontext pokrývá obvykle jak mateřskou organizaci, tak i její byznys partnery, zákazníky, dodavatele je nezávislá na podpůrném komunikačním systému jedná se o aplikaci budovanou nad transportními službami je často chápaná jako součást bezpečnosti organizace Jak moc musí být sdělená identita věrohodná? Záleží na kontextu ve kterém je entita činná Správa uživatelů organizace vyžaduje obvykle silnou věrohodnost IDM předpokládá, že DI je odvozena z důvěryhodného oficiálního zdroje Vytváření DI je monitorované a auditované atudíž DIjedůvěryhodná atudíž ibezpečná IDM musí umožňovat sdílet DI více systémy tzv. federování identit vytváření a podpora federací id-domén DI musí být předávaná včas, bezchybně asezachováním soukromí IDM musí podporovat Perzonifikovatelnost, škálovatelnost, přenositelnost identity mezi systémy Jan Staudek, FI MU Brno PV017 Správa uživatelů, User Management 6 Jan Staudek, FI MU Brno PV017 Správa uživatelů, User Management 7
Cíle, smysl, poslání, úkoly plněné správou uživatelů Federování identity Poskytování účinné, efektivní správy identit uživatelů Tvorba/určení zřejmé a jednoznačné identity pro každého uživatele Racionalizace definice kontextu pro danou identitu Podpora bezpečného, rychlého přístupu uživatelů k informacím a aplikacím potřebných pro plnění jejich rolí Automatizace procesůsouvisejících se správou účtůuživatelů Definování politiky a bezpečnost na bázi stanovení profilů Aby správa uživatelů splnila své poslání, plní úkoly ozn. 4A Authentication, dokazování kdouživatel je Authorization, určování práv a výsad uživatelů Access Control, správa nástrojů prořízení přístupu Audit, Reporting, zpravodajství aauditníčinnost Dohody, standardy a technologie umožňující učinit identitu a oprávnění přenositelnými mezi autonomními doménami Možnost sdílení DI mezi partnerskými systémy Úkoly 4A jsou splnitelné i bez centralizace skladů DIutřetí strany Poskytuje se možnost kooperace více nezávislých autorit na pojmenovávání aderefencích segmentů DI Hlavní rysy federace identit Schopnost rozšířit účtový profil a správu přístupu organizace A organizaci B, která potřebuje si zpřístupnit vnitřní zdroje A Schopnost promítnout, předat identity entit správou identit organizace A správě identit organizace B Je nutné řešit problém zachování soukromí (osobních dat) Analogie uznávání platnosti řidičských průkazů Organizace B důvěřuje důkazním identitním postupů organizace A Jan Staudek, FI MU Brno PV017 Správa uživatelů, User Management 8 Jan Staudek, FI MU Brno PV017 Správa uživatelů, User Management 9 Klíčové kategorie technologií pro řešení správy uživatelů Klíčové technologie pro řešení správy uživatelů Autentizace, sekterousedruží SAML, Security Access Markup Language správa hesel, SSO Single Sign-On,... LDAP Lightweight Directory Access Protocol DSML Directory Services Markup Language Řízení přístupu, převážně v rovině nástrojů Web Access Management WS Web Services WS-S Web Services Security SOAP Simple Object Access Protocol SAML Security Assertion Markup Language WSDL Web Services Description Language UDDI Universal Description, Discovery, and Integration ACML etended Access Control Markup Language SPML Service Provisioning Markup Language BPEL Business Process Execution Language Jak pomocí MLvýrazů zajistit autentizaci a autorizace vrámci relace mezi systémy SPML, Service Provisioning Markup Language Jak pomocí ML výrazů zajistit aktivaci účtů mezi systémy ACML, etenzible Access Control Markup Language Jak pomocí ML specifikovat politiky přístupu kinformacím na Internetu Kdo, co, kdy a jak smí sizpřístupňovat Access Control, resp. také Right Managements / Entitlement Management /... Jan Staudek, FI MU Brno PV017 Správa uživatelů, User Management 10 Jan Staudek, FI MU Brno PV017 Správa uživatelů, User Management 11
Klíčové technologie pro řešení správy uživatelů Funkční pohled na správu uživatelů Web Service Security, WS-Security Od r. 2002 převzala péči o rozvoj od původních majitelů (IBM, Microsoft a VeriSign) OASIS Podpora integrace, unifikace bezpečnostních modelů, mechanismů, technologií mezi systémy na jazykově nezávislé platformě WS-Security Specification = záhlaví zpráv podle pravidel komunikačního protokolu SOAP (Simple Object Access Protocol) Zajišťuje se integrita a důvěrnost Web Services důvěryhodnost, federace identit a politik řešívyššívrstvy Bázová funkcionalita Správa životního cyklu účtu uživatele Správa profilů podporovaná workflow správy životního cyklu účtů uživatelů Aktivace a deaktivace prostředí uživatele Delegování administrace Samoobslužnost uživatelů Správa hesel a synchronizace hesel Řízení přístupu a autorizace Zpravodajství aauditníčinnost Nadstavbová funkcionalita Federování identity Integrace webovských služeb Prosazování politik a podpora managementu řízeného politikami Jan Staudek, FI MU Brno PV017 Správa uživatelů, User Management 12 Jan Staudek, FI MU Brno PV017 Správa uživatelů, User Management 13 Standardizace technologií prosprávu uživatelů Správa životního cyklu účtu uživatele, Správa profilů 80. léta.500, DAP, Directory Access Protocol, definovaný ISO/ITU 90. Léta LDAP, Lightweight DAP, definovanýietfjakorfc současnost ML technologie, vývoj zastřešuje OASIS, Organization for Advancement of Structured Information Standards http://www.oasis-open.org/ SAML, SPML, ACML, Web Services, Web Services Security,... Další iniciativy (v oblasti IDM) Microsoft, Passport monolit, centrálně řízená IDM, 200 miliónůúčtů Liberty Alliance Project http://www.projectliberty.org/ AOL, Screen Name Service, cca 180 mil. účtů AOL a Microsoft jsou vlastníci identifikačních dat, uživatelé a poskytovatelé služeb nad daty ztrácejí kontrolu Cíl Správa identit a jejich distribuce do externích DB, adresářů, aplikací organizace (a partnerů) Podpora samoobslužnosti při správě profilů Podpora automatických replikací informací zprofilůuživatelů systémům Funkční komponenty (odpovídají cílům) Vytváření aspráva jedinečných uživatelských profilů Samoobslužnost definic identitních informací vuživatelských profilech Automatické replikace identitních informací z uživatelských profilů do podporovaných systémů Jan Staudek, FI MU Brno PV017 Správa uživatelů, User Management 14 Jan Staudek, FI MU Brno PV017 Správa uživatelů, User Management 15
Správa životního cyklu účtu uživatele, Workflow... Správa životního cyklu..., Aktivace/deaktivace uživatele Workflow správy životního cyklu účtů podporuje Plnění cílů Workflow se uplatňuje přirozeně vevšech komponentách správy uživatelů Monitorování procesůsprávy změn DI a distribuce změn DI Sledování, zda jsou dodržované stanovené politiky Řešení anomálií manuální zásahy,... Zvláště pak podpora v případech, kdy se vyžaduje schvalování schvalování práv přístupu uživatele k jistým zdrojům určení jak postupovat, když nenídodržený standardní časový limity pro schválení... Proces zpřístupnění (znepřístupnění) informačních zdrojů zaměstnancům, smluvním partnerům, zákazníkům,... Klasický příklad kroky procesu přijetí nového zaměstnance: 1. Zřízení e-mailúčtu 2. Zpřístupnění služeb CRM 3. Zpřístupnění vzdálených služeb 4. Získání iniciálních oprávnění 5. Zanesení DI uživatele do aplikací 6. Zpřístupnění portálů organizace 7. Zpřístupnění služeb ERP 8. Korekce pravidel na firewallu 9. Zaslání certifikátů uživateli 10. Vytvoření jmenovky/idkarty 11.... Jan Staudek, FI MU Brno PV017 Správa uživatelů, User Management 16 Jan Staudek, FI MU Brno PV017 Správa uživatelů, User Management 17 Správa životního cyklu..., Aktivace/deaktivace uživatele Správa životního cyklu..., Aktivace/deaktivace uživatele Změny identitních dat při změně rolezaměstnance Likvidace identity a účtůpři rozvázání pracovního poměru Snižuje se cena a doba aktivace / deaktivace Dosahuje se zvýšení zaručitelné bezpečnosti Typická aktivační architektura: Přidání entity: 1. Úředník/manager dodá přes WEB-formulář (nebo výstup systémů typu CRM, ERP,...přes relevantní API) informaci o novém zaměstnanci nebo novém dodavateli. 2. Informace se nasměrují předdefinovanými pravidly workflow schvalující entitě(zda ano či ne, závisí na přijatých byznys pravidlech) 3. Po schválení siaktivační serverzpřístupní cílové systémy (přímo nebo via agenta) a vytvoří příslušný účet uživatele. Umožní se použití konzistentní pojmenovávacích standardů, vázání účtu, konzistentních identitních informací a umožní se zavedení rolí. Jan Staudek, FI MU Brno PV017 Správa uživatelů, User Management 18 Jan Staudek, FI MU Brno PV017 Správa uživatelů, User Management 19
Správa životního cyklu..., Aktivace/deaktivace uživatele Meta adresářeajejichrolevidm Modifikace/zrušení entity: Výsledek snahy o integraci technologií 1. Úředník/manager dodápřes WEB-formulář informaciozměnách vinformacích novém zaměstnanci nebo novém dodavateli. (změna jména, příslušnosti k oddělení, přístupových práv, reset hesla,...) Identitní informace/aktivační data jsou uchovávány v adresářích typu LDAP,.500, nativní adresáře NOS (Network OS),... meta-adresář je adresářová služba, která integruje více používaných adresářových služeb v organizaci do jednoho konceptu 2. Informace se nasměruje před definovanými pravidly workflow schvalující entitě(zda ano či ne, závisí na přijatých byznys pravidlech) 3. Po schválení siaktivační serverzpřístupní cílové systémy (přímo nebo via agenta) a informuje o změně a změnu si poznačí ve své vnitřní databázi /adresáři. Tím se umožní udržet konzistentní identitní informace ve všech svázaných systémech. Klasický postup v IT již několik dekád na úrovni x se neúměrně rozkošatí funkcionalita do mnoha typů, kvalit,... problém přílišné heterogenity se vyřeší zavedením nové funkcionality ve vrstvě vsunuté nad vrstvu x ařeší senovýproblém jak efektivně zvládnout tuto změnu vpůvodních vrstvách vyšších než x Jan Staudek, FI MU Brno PV017 Správa uživatelů, User Management 20 Jan Staudek, FI MU Brno PV017 Správa uživatelů, User Management 21 Problémy k řešení vaktivačním systému Delegování administrace a samoobslužnost udržení bezpečnosti problém přenosu hesel,... dynamická konfigurovatelnost Změny ve struktuře organizace, ve skupinách uživatelů, v umístění a struktuře serverů vč. mail serverů apod. integrace se stávající infrastrukturou a s operačními systémy auditovatelnost, protokolovatelnost a provozování varovacích subsytémů škálovatelnost odolnost proti výpadkům Implementace přímým spojením nebo pomocí agentů? Agenti umožní snazší dosažení zaručené bezpečnosti bez ohledu na vlastnosti podpůrné (komunikační) infrastruktury Přímá spojení využívající podpůrnou komunikační infrastrukturu mohou být efektivnější Určení účtů, ze kterých lze provádět manažerské akce typu Zřízení nového účtu, změna privilegií, změna hesla, obnova hesla,... V prostředích účtů s delegovanými právy administrace musí být vytvořené a po dobu akce udržované bezpečné prostředí se manažerské akcemusíprovádět řádnou formou Všechny akce, které se odehrají vsystému musí být Protokolované, loggované Zálohované Auditovatelné Samoobslužnost Extrémní ažabsolutní delegace administrace na uživatele Z individuálního účtu lze upravovat profil držitele účtu bez intervence Help Desku / administrátora Typicky možnost úpravy hesla v jiném systému Případně obnova zapomenutého hesla přes vhodný protokoltypuvýzva / odpověď Jan Staudek, FI MU Brno PV017 Správa uživatelů, User Management 22 Jan Staudek, FI MU Brno PV017 Správa uživatelů, User Management 23
Správa hesel a synchronizace IDM, správa uživatelů, standardizace Noční můra uživatele: na každém systému, ke kterému smí / musípřistupovat, mádefinovanéjinéheslo Systémové řešení SSO, Single Sign-On. Připomenutí: pseudo SSO poskytovatel autentizačních služeb spravuje uživatelovy pověřovací doklady pro každého poskytovatele služby řeší autentizační procespszauživatele pravý SSO poskytovatel autentizačních služeb má explicitní vztah s poskytovatelem služby, poskytuje mu informace o uživateli (např. informace, jak se uživatel u PAS autentizoval) poskytovatel služby plně důvěřuje poskytovateli aut. služeb SSO s lokálním poskytovatelem autentizačních služeb Relevantní standardizační organizace OASIS, Organization for the Advancement of Structured Information Standards, http://www.oasis-open.org/ WS-I, Web Services Interoperability,http://www.ws-i.org/ W3C, World Wide Web Consortium, http://www.w3.org/ IETF, Internet Engineering Task Force, http://www.ietf.org/ ISO, International Standards Organization,http://www.iso.ch/ ITU T, ITU Telecommunication Standardization Sector, http://www.itu.int/itu-t/ typické pro pseudo SSO SSO s proxy řešením poskytovatele autentizačních služeb typicképropravé SSO, např. Kerberos Jan Staudek, FI MU Brno PV017 Správa uživatelů, User Management 24 Jan Staudek, FI MU Brno PV017 Správa uživatelů, User Management 25 Standardy adresářových služeb LDAP, Lightweight Directory Access Protocol.500 Standard ukládání dat, jejich organizování a přístupů k nim V současnosti má význam hlavně dílčí standard.509 certifikáty PKI LDAP Lightweight Directory Access Protocol LDAP adresář může hrát roli centrálního zdroje dat kolektoru dat Prakticky nejrozšířenější soudobá technologie DSML Directory Services Markup Language služby pro sběr dat z jiných adresářových služeb pomocí tzv.konektorů běžících přímo v prostředí jiné adresářové služby Definice v1 v r. 1999, inovace v2 v r. 2002 ML dokument pro publikování schémat adresářů a vyměňování adresářových dat transportními protokoly NS Extensible Name Service Identifikační protokolnabázi SOAP, SAML a ML Původní cíl rozšíření konceptu DNS do oblasti IDM Uplatnění LDAPadresářů centrální databáze uživatelů pro aplikace a systémy vpodpůrných systémech SSO (Single-Sign-On) pro podporu přihlašování uživatele k relaci pomocí jednoho autentizačního místa vsystémech PKI jako distribuční služba pro diseminaci a prezentaci CRL a veřejných klíčů, centrální registr parametrů pro konfiguraci systémů a aplikací, meta-adresář sjednoceníadresářových informacívrámci IS apod. Jan Staudek, FI MU Brno PV017 Správa uživatelů, User Management 26 Jan Staudek, FI MU Brno PV017 Správa uživatelů, User Management 27
LDAP, Lightweight Directory Access Protocol DSML, Directory Services Markup Language LDAP Proxy konfigurovatelné LDAProzhraníumožňující nastavovat na celou strukturu bezpečnostnífiltrynebo vytvořit jinýstromovýpohlednaexistujícíuspořádání adresářové struktury ZáznamyvLDAPadresáři se uspořádávají do hierarchie DIT (Directory Information Tree) Nástroj pro reprezentaci informace o struktuře adresáře formou ML dokumentu vznikl na popud praxe jako klíčová komponenta e-com a webovských aplikací, která váže do jednoho celku byznys procesy Přidává ML funkcionalitu do adresářových služeb Definuje ML dokument použitelný pro zobrazení obsahůadresářů pro publikování schémat adresářů a pro vyměňování adresářových dat transportními protokoly DIT definuje uspořádání záznamů takovým způsobem, aby ke každému záznam v hierarchii vedla pevně danálogickácestua aby se záznam v celém stromě vyskytoval pouze jednou Jeden server LDAP může pracovat s více DIT DSML umožňuje Vyjádřit odlišné formáty různých síťových adresářů jedním formátem společným pro mnoho adresářů a mnoha adresáři sdíleným Zadat aplikacím založeným na ML profil a zdroj informace z adresáře jim přirozeným způsobem Zpřístupňovat LDAP informace jako ML data Sdílet data Internetovskými protokoly (HTTP, SMTP) a aplikacemi Jan Staudek, FI MU Brno PV017 Správa uživatelů, User Management 28 Jan Staudek, FI MU Brno PV017 Správa uživatelů, User Management 29 Uplatnění protokolůldap,dsml,ns Standardy světa WS, WEB Services Cílem DSML není anebylo specifikovat atributy, které musíosahovatvšechny adresáře definovat metody, kterými se informace z adresáře dostává standardy WS úzce související s filozofií SOA, Service Oriented Architecture SOAP, Simple Object Access Protocol WSDL, Web Services Description Language UDDI,Universal Description, Discovery, and Integration WS, rovněž aplikační služby, reprezentují algoritmickou logickou aktivitu, data, činnosti lidských činitelů,... Jsou dostupné webovským uživatelům a programům napojených na www na aplikačních www serverech Jan Staudek, FI MU Brno PV017 Správa uživatelů, User Management 30 Jan Staudek, FI MU Brno PV017 Správa uživatelů, User Management 31
Standardy světa WS, WEB Services Související standardy se správou uživatelů, IDM, SOA Škála WS pokrývá oblasti Získávání aukládání dat Jazyková báze, podpora komunikací Customer relationship management (CRM) Správa skladových zásob Verifikace čipových karet a platební transakce ML, univerzální formát dat HTTP(S), transport dat TCP/IP, síťová podpora Plánování cest Zpřístupňování datvrámci federací IDM,... WS lze zpřístupňovat jejich aktivací nacentrálním serveru, ve vhodném p2p uspořádání WS mohou mezi sebou komunikovat potřebná výměna procedur a dat middleware WS standardizace formátů datavýměn dat vychází zml Služby se popisují ML nástrojem WSDL (Web Services Description Language) Základ WS SOAP, volání služby WSDL, popisslužby UDDI, publikace, hledání Nadstavba WS vhodná mj. pro IDM a správu uživatelů SAML, autentizace a autorizace ACML, řízení přístupu SPML, aktivace WS-Security, bezpečnost WS BPEL, workflow Jan Staudek, FI MU Brno PV017 Správa uživatelů, User Management 32 Jan Staudek, FI MU Brno PV017 Správa uživatelů, User Management 33 Protokolová suita správy uživatelů WEB Services, SOA a související standardy Jan Staudek, FI MU Brno PV017 Správa uživatelů, User Management 34 Jan Staudek, FI MU Brno PV017 Správa uživatelů, User Management 35
SOAP, Simple Object Access Protocol SOAP, Simple Object Access Protocol Protokol pro řízení komunikace mezi aplikacemi Jednoduchý, rozšiřitelný, platformově ajazykověnezávislý založený naml SOAP je vhodné chápat spíše jako e-mail mezi aplikacemi než jako tmel / pojivo aplikací Vhodnější je Messaging SOAP (Document-based SOAP) než RPC SOAP Předpisuje formáty vyměňovaných zpráv SOAP byl navržen pro komunikaci na bázi protokolu HTTP HTTP je podporován všemi internetovskými prohlížeči i servery Standardizovaná rozšíření SOAP MLSignature,MLEncryption,WS-Security,WS Attachments, WS Policy, WS Trust, WS Privacy, WS Coordination, WS Routing,... vobálce SOAP se popisuje Co obsahuje vlastní zpráva a Jak se má jejíobsahzpracovat Vše pomocí pravidel instance aplikačních datových typů SOAP zprávy procházejí přes firewally Na rozdíl od protokolů typu RPC (Remote Procedure Calls), jimi řízený provoz je normálně blokován ve firewallech a proxy serverech Jan Staudek, FI MU Brno PV017 Správa uživatelů, User Management 36 Jan Staudek, FI MU Brno PV017 Správa uživatelů, User Management 37 SOAP, ilustrace použití WSDL, Web Services Description Language ML syntaxe programového rozhraní WS a jejich umístění Vytváří se WSDL soubor, který Popisuje službu Zprávy pro komunikaci se službou Operace podporované službou Jakými protokoly službu vyvolat a jakmusíbýt formátovaná příslušná protokolovádata Port,nakterém se služba poskytuje Síťové adresy,kdeseslužba poskytuje Je publikovaný na Internetu (identifikace UDDI) Publikované WSDL soubory mohou používat programy na straně klienta a vývojové nástroje pro získání informacíodostupných WS pro zpřístupnění WS pomocí proxies nebo programových šablon Jan Staudek, FI MU Brno PV017 Správa uživatelů, User Management 38 Jan Staudek, FI MU Brno PV017 Správa uživatelů, User Management 39
UDDI, Universal Description, Discovery, and Integration UDDI, Universal Description, Discovery, and Integration Standardní mechanismus pro registraci a vyhledávání WS Ke každé WSbyměl být k dispozici její formální popis v jazyce WSDL Klient, který chce využít webovou službu, získá jejíwsdl popis buď přes UDDI registr nebo přímo Z WSDL popisu je jasné, Z tohoto popisu lze automaticky generovat požadavek v SOAP Ve větších systémech nebo přímo v otevřeném prostředí Internetu se popis služby může zaregistrovat do UDDI registru,,barevných stránek jakou strukturu mámít SOAP zpráva kam se má poslatsoapzpráva určená prows Bílé byznys informace, jméno, adresa, kontakt na organizaci Zlaté kategorizace poskytovaných služeb podle standardní taxonometrie Zelené technické informace (rozhraní, URL) kontaktované při získávání WSDLpopisu Jan Staudek, FI MU Brno PV017 Správa uživatelů, User Management 40 Jan Staudek, FI MU Brno PV017 Správa uživatelů, User Management 41 NS Extensible Name Service NS a RI, Extensible Resource Identifier Identifikační p2p protokol na bázi SOAP, SAML a ML Velmi robustní aotevřený protokol open source platforma pro Univerzální adresování Automatizaci výměn dat a Řízení důvěrnosti informací mezi jejich vydavateli a konzumenty realizuje se pomocí webovských agentů Použití MLumožňuje dosažení platformovénezávislosti NS Původní cíl vývoje NS rozšíření konceptu DNS do oblasti IDM Od r. 2003 je vývoj NS součástí iniciativ konsorcia OASIS při vývoji RI identifikačního schématu kompatibilního s URI (Uniform Resource Identifier ), RFC 3986, a IRI (Internationalized Resource Identifier ), RFC 3987 a odpovídajících identifikačních protokolů RI jsou nezávislé na umístění, na aplikacích a na transportních službách RI mohou být tudíž sdílené v libovolných doménách a adresářích Jan Staudek, FI MU Brno PV017 Správa uživatelů, User Management 42 Jan Staudek, FI MU Brno PV017 Správa uživatelů, User Management 43
Bezpečnostní standardy,saml,ws-s SAML, Security Assertions Markup Language SAML, Security Assertions Markup Language ML prostředí pro tvorbu webovských služeb, které partnerům na aplikační úrovni umožňují vyměňovat autentizační a autorizační informace (tvrzení, assertions). WS-S, Web Services Security podporuje spolupráci na úrovni www mezi správou přístupu a bezpečnostními produkty uživatel by se měl být schopný seelektronickypodepsatnaněkteré stránce u poskytovatele, se kterým komunikuje, a předpokládat, že se jeho pověřovací bezpečnostní data přenesou automaticky na všechna další místa která navštíví, spravovaná i jinými poskytovateli Také podnázvem WS Security Language Specifikace pro SOAP, definují způsob zajištění důvěrnosti a integrity jak a kam umístit bezpečnostní informaci do obálky SOAP zprávy Do WS-S modelu lze zahrnout SAML, volání PKI, Kerberos, SSL WS-S rozvíjí WS I, Web Services Interoperability, staráseiosoap http://www.ws-i.org/ SAML nepodporuje dosažení důvěrnosti Z hlediska přínosů probezpečnost, nepřichází s žádnou novou technikou autentizace Byl navržený prořešení transakcí pro B2B a B2C Definuje množinu ML formátů pro reprezentaci identity a dalších atributů a pro definici protokolů pro zadávání požadavků na informace z oblasti řízení přístupu a autentizace a pro tvorbu odpovědí. Jan Staudek, FI MU Brno PV017 Správa uživatelů, User Management 44 Jan Staudek, FI MU Brno PV017 Správa uživatelů, User Management 45 SAML, Security Assertions Markup Language SAML, tvrzení Základem jsou tvrzení, assertions Výroky, které o někom vydává důvěryhodná strana Tvrzení a protokolární postupy SAML určují strukturu dokumentů přenášejících bezpečnostní informace Definují způsob výměny autentizačních a autorizačních informací Tvrzení jsou deklaracemi pravd o uživatelích Autentizační tvrzení, co prokazuje identitu uživatele Autorizační tvrzení, zda je autorizován pro... Tvrzení o atributech,jaké má uživatel vlastnosti Každý typ tvrzení může mít svoje politiky, profily, atributy Tvrzení může obsahovat důkazový řetěz použitý pro rozhodnutí o právu přístupu Důkazový řetěz může sloužit jako doklad prokazující kdo přistoupil ke kterým datům, kdy a kdo to povolil Partneři své vnitřní bezpečnostní architektury nemusí měnit Autentizační tvrzení Identity vydavatele a držitele dokladu Čas, kdy byl doklad vydán a do které dobyjeplatný Použitá metoda autentizace (Heslo, Kerberos, certifikát.509, ML signature,...) Autorizační tvrzení URI ke kterému uživatel přistupuje Pro jaký typpřístupu je uživatel autorizován Přístup byl povolen / zamítnut Tvrzení oatributech Skladba atributů jedána (autorizační) politikou Atributy se zkoumají poúspěšné autentizaci Jan Staudek, FI MU Brno PV017 Správa uživatelů, User Management 46 Jan Staudek, FI MU Brno PV017 Správa uživatelů, User Management 47
SAML Authentication Assertion, příklad SAML, Security Assertions Markup Language IP (,,IdentityProvider.com ) tvrdí SP (,,ServiceProvider.com ), že jim oběma známý uživatel 342ad3d8 se autentizoval 22.10.2005 asi v 9:30 <?xml version= 1.0?> <saml:assertion Issuer= http://identityp rovider.com IssueInstant= 2005 10 22T 09:30:47 05:00 > <saml:conditions NotOnOrAfter= 2005 10 22T 09:35:47 05:00 > <saml:audiencerestrictioncondition> <saml:audience>http://servicep rovider.com</saml:audience> </saml:audiencerestrictioncondition> </saml:conditions> <saml:authenticationstatement> AuthenticationInstant= 2005 10 22T 09:30:47 05:00 > <saml:subject xsi:type= SubjectType > <saml:nameidentifier>342ad3d8</saml:nameidentifier> <lib:idp P rovidednameidentifier>342ad3d8</lib:idp P rovidednameidentifier> </saml:subject> </saml:authenticationstatement> </saml:assertion> Protokol pro výměnu zpráv má charaktervýzva/odpověď Vsoučasné době SAML podporuje protokol SOAP nad HTTP výzvy SAML jsou mapovány do výměn SOAP zpráv nad HTTP lze očekávat brzké zabudování i dalších komunikačních atransportních protokolů Způsob zabudovávání tvrzeníavýměn tvrzení lzepředepsat pomocí SAMLprofilů SAML je nástroj pro vyjádření tvrzení o nutných akreditačních datech žádné autentizaceaautorizaceuživatelů SAMLneřeší Toto provádí autentizační server využívající adresář LDAP SAML vytvoří spoj na skutečnou autentizaci a tvrzení se vypracuje z dat získaných tímto krokem Jan Staudek, FI MU Brno PV017 Správa uživatelů, User Management 48 Jan Staudek, FI MU Brno PV017 Správa uživatelů, User Management 49 ACML, etended Access Control Markup Language SPML, Service Provisioning Markup Language Standard řízení přístupu (také ML Access Control Markup Language) Standard procesu aktivace automatizace úloh plnících aktivaci prostředí a podpůrné infrastruktury pro plnění služeb a interopoerabilitu různých aktivačních systémů Tři základní komponenty požadující autorita(ra, Requesting Authority) aktivační server(psp, Provisioning Service Point) aktivovaná služba (PST, Provisioning Service Target) Jan Staudek, FI MU Brno PV017 Správa uživatelů, User Management 50 Jan Staudek, FI MU Brno PV017 Správa uživatelů, User Management 51
SPML, příklad Personalista zřizuje e-mailový účet pro nového zaměstnance, klasický postup: Personalista zavolá správce e-mailového serveru a optá se ho co on potřebuje vědět, aby novému zaměstnanci zřídil e-mailový účet Dozví se,že musí dostat jméno a příjmení nového zaměstnance, preferovaný ID zaměstnance v e-mail adrese, pracovní funkce zaměstnance, jaké odpovědnosti z takové funkce plynou a na kterém projektu bude pracovat. Personalista správci požadované informace poskytne a požádá správce, aby ho zpětně informoval, až bude účet zřízený a aby ho rovněž informoval o omezeních, která budou na zřízený účet aplikovaná. SPML, příklad Personalista zřizuje e-mailový účet pro nového zaměstnance, SPML postup: Konverzace pomocí SPML zpráv mezi systémem personalistiky a mail serverem, ve kterém se má zřídit nový e-mail účet nového zaměstnance zprávy jsou kódované pomocí protokolusoap zprávy jsou vytvářené a vyměňované podle pravidel, deklarovaných v ML schématu služby Jan Staudek, FI MU Brno PV017 Správa uživatelů, User Management 52 Jan Staudek, FI MU Brno PV017 Správa uživatelů, User Management 53 SPML, příklad BPEL, Business Process Execution Language 1. Personalistický systém vystupuje v roli RA a pošle na PSP,který je odpovědný za správu mail serveru, který vystupuje v roli PST, žádost o sdělení informací potřebných pro zřízení nového e-mail účtu nového zaměstnance 2. Oslovený PSP vrátí RA zprávu s popisem informací, které mail server požaduje pro zřízení účtu Standard Workflow (pro Web Services) BPEL, resp.bpel4ws, vychází z WSDL a z WSDL Extensions Je využívaný hlavně svými původními vývojáři MS a IBM Cíl Popis byznys procesů složených z více WS plněných více partnery Standardizace výměn zpráv, jak v rámci organizace, tak i mezi partnery 3. Třetí zprávu s požadavkem na zřízení nového účtu posílá RA opět na již oslovenýpsp 4. PSP posílá čtvrtou zprávu na PST zahajuje proces zřízení nového e-mail účtu buďto přímým voláním API mail serveru nebo předáním SPML zprávy s žádostí ozřízení nového účtu 5. Detaily o zřízení nového e-mail účtu PSP poznačí v loggovacím souboru a na RA vrací specifikace uplatněných omezení (např. horní mez kapacity mailboxu) BPEL definuje kroky a pořadí běhu kroků vč. paralelizace BPEL nedefinuje co se v krocích děje, to řeší WS Instrumentace, Orchestration Tok byznys procesů zpohleduapodřízením 1 koncového bodu Choreografie Výměna zpráv, pravidla interakce a dohod mezi 2 a více koncovými body byznys procesů Jan Staudek, FI MU Brno PV017 Správa uživatelů, User Management 54 Jan Staudek, FI MU Brno PV017 Správa uživatelů, User Management 55