Správa identit, Identity Management, IDM

Podobné dokumenty
Správa identit, Identity Management, IDM

SSL Secure Sockets Layer

Federativní přístup k autentizaci

IDENTITY MANAGEMENT Bc. Tomáš PRŮCHA

Šifrování Autentizace Bezpečnostní slabiny. Bezpečnost. Lenka Kosková Třísková, NTI TUL. 22. března 2013

Bezpečnost internetového bankovnictví, bankomaty

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

STORK Secure Identity Across Borders Linked

Jednotný identitní prostor Provozní dokumentace

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

Uživatelská příručka Portálu CMS Centrální místo služeb (CMS)

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok

1.1. Základní informace o aplikacích pro pacienta

TECHNICKÁ SPECIFIKACE VEŘEJNÉ ZAKÁZKY

E-DOKLAD. Elektronický občanský průkaz. STÁTNÍ TISKÁRNA CENIN, státní podnik. Petr Fikar, ředitel rozvoje produktů a služeb

E-DOKLAD. Elektronický občanský průkaz. STÁTNÍ TISKÁRNA CENIN, státní podnik. Petr Fikar, ředitel rozvoje produktů a služeb

PV157 Autentizace a řízení přístupu

SIM karty a bezpečnost v mobilních sítích

Registrace a aktivace uživatelského profilu k přístupu do systému erecept pro pacienta

Národní Identitní Prostor ČR

Digitální identita Moderní přístup k identifikaci klienta. Pavel Šiška, Štěpán Húsek, Deloitte Digital - Technology Services

SPRÁVA ZÁKLADNÍCH REGISTRŮ ČESKÉ REPUBLIKY. Základní registry a eidas

HP JetAdvantage Management. Oficiální zpráva o zabezpečení

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Příloha č. 12. Systém společného přihlašování, tzv. Single Sign On, ochrana dat

Rok informatiky 2016 SPRÁVA ZÁKLADNÍCH REGISTRŮ ČESKÉ REPUBLIKY SZR JE NYNÍ EIDENTITA READY

Jednorázová hesla pro zvýšení bezpečnosti vzdáleného přístupu mobilních uživatelů

SPRÁVA ŽIVOTNÍHO CYKLU UŽIVATELE. Roman Pudil, SOITRON

Směry rozvoje v oblasti ochrany informací KS - 7

MĚSTSKÝ ROK INFORMATIKY KLADNO

Autor. Potřeba aplikací sdílet a udržovat informace o službách, uživatelích nebo jiných objektech

1. Integrační koncept

Co je Symantec pcanywhere 12.0? Hlavní výhody Snadné a bezpečné vzdálené připojení Hodnota Důvěra

Informatika / bezpečnost

ISMS. Autentizace ve WiFi sítích. V Brně dne 5. a 12. prosince 2013

GDPR, eidas Procesní nebo technologický problém?

Bezpečnost v Gridech. Daniel Kouřil EGEE kurz 12. prosince Enabling Grids for E-sciencE.

NÁRODNÍ IDENTITNÍ AUTORITA V PRAXI MICHAL PEŠEK ŘEDITEL SPRÁVY ZÁKLADNÍCH REGISTRŮ ROK INFORMATIKY SLAVKOV U BRNA 6. ČERVNA 2019

Systémy jednotného přihlášení Single Sign On (SSO)

ERP-001, verze 2_10, platnost od

Správa přístupu PS3-1

Úvod - Podniková informační bezpečnost PS1-2

AUTENTIZAČNÍ SERVER CASE BEZPEČNÁ A OVĚŘENÁ IDENTITA

Využití sdílených služeb Jednotného identitního prostoru (JIP) a Katalogu autentizačních a autorizačních služeb (KAAS)

Návrh a implementace bezpečnosti v podnikových aplikacích. Pavel Horal

Gymnázium a Střední odborná škola, Rokycany, Mládežníků 1115

Desktop systémy Microsoft Windows

Pravidla komunikace registrátora Web4u s.r.o.

Uživatelská příručka: Portál CMS. Centrální místo služeb (CMS)

Sdílení uživatelských identit. Petr Žabička, Moravská zemská knihovna v Brně

Microsoft Windows Server System

Bezpečnost sítí

Dalibor Kačmář

Obsah. Úroveň I - Přehled. Úroveň II - Principy. Kapitola 1. Kapitola 2

Uživatelská příručka RAZR pro OVM

Použití čipových karet v IT úřadu

Bezdrátové sítě Wi-Fi Původním cíl: Dnes

Informační systémy 2008/2009. Radim Farana. Obsah. Obsah předmětu. Požadavky kreditového systému. Relační datový model, Architektury databází

Není cloud jako cloud, rozhodujte se podle bezpečnosti

VPN - Virtual private networks

Desktop systémy Microsoft Windows

SAML a XACML jako nová cesta pro Identity management. SAML and XACML as a New Way of Identity Management

ČESKÁ TECHNICKÁ NORMA

DOPLNĚK. Projekt Informační systém základních registrů je spolufinancován Evropskou unií z Evropského fondu pro regionální rozvoj.

Co pro nás bude znamenat eidas (aneb Lokální JIP) Ing. Aleš Kučera

Zákon o elektronickém zdravotnictví. Řízení identitních prostředků zdravotnických pracovníků a důsledky pro práci se zdravotnickou dokumentací

Směry rozvoje v oblasti ochrany informací PS 7

Zavádění PKI infrastruktury v organizaci - procesní aspekty. Vlastimil Červený, Kateřina Minaříková Deloitte Advisory, s.r.o.

MOBILNÍ ZAŘÍZENÍ JAKO AUTENTIZAČNÍ NÁSTROJ A JEHO INTEGRACE DO SYSTÉMŮ MILAN HRDLIČKA MONET+ BŘEZEN 2015

Referenční rozhraní národního konektoru Národního kontaktního místa pro ehealth úloha pacientský souhrn

Digitální identita. zlý pán nebo dobrý sluha? Martin Jelínek, ASKON INTERNATIONAL s.r.o.

E-DOKLAD. Elektronický občanský průkaz. STÁTNÍ TISKÁRNA CENIN, státní podnik. Petr Fikar, ředitel rozvoje produktů a služeb

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Bezpečnost bezdrátové komunikace 9 Téma číslo 1: bezpečnost 10. Základy bezpečnosti komunikačních sítí 13 Bezpečnost sítě 14 Bezpečnostní politika 15

eid Kolokvium Kontext a východiska Ing. Zdeněk Jiříček AFCEA - Pracovní skupina Kybernetická bezpečnost

12. Bezpečnost počítačových sítí

KAPITOLA 22. Autentizace Windows

eidas - zkušenosti s implementací řízení přístupu a federací identit ISSS 2016 Hradec Králové


Úvod Bezpečnost v počítačových sítích Technologie Ethernetu

Nasazení jednotné správy identit a řízení přístupu na Masarykově univerzitě s využitím systému Perun. Slávek Licehammer

Příručka nastavení funkcí snímání

INTEGRACE IS DO STÁVAJÍCÍ HW A SW ARCHITEKTURY

9. Sítě MS Windows. Distribuce Windows. Obchodní označení. Jednoduchý OS pro osobní počítače, pouze FAT, základní podpora peer to peer sítí,

Uživatelská dokumentace

IP telephony security overview

JSEM ELEKTRONICKÁ IDENTITA. VĚŘÍTE MI? Jiří Bořík CESNET Olomouc

Elektronický podpis. Základní princip. Digitální podpis. Podpis vs. šifrování. Hashování. Jednosměrné funkce. Odesílatel. Příjemce

Protokol TELNET. Schéma funkčních modulů komunikace protokolem TELNET. Telnet klient. login shell. Telnet server TCP/IP.

Microsoft SharePoint Portal Server Zvýšená týmová produktivita a úspora času při správě dokumentů ve společnosti Makro Cash & Carry ČR

PA159 - Bezpečnostní aspekty

I.CA RemoteSeal. Ing. Filip Michl První certifikační autorita, a.s

Extrémně silné zabezpečení mobilního přístupu do sítě.

Softwarové komponenty a Internet

Certifikáty a jejich použití

Správa přístupu PS3-2

Řízení přístupu ke zdrojům Auditování a právní odpovědnost Vlastní nastavení, personalizace Více relací zároveň

Př ihlaš ova ní do IS etešty př eš JIP

Transkript:

Osnova přednášky Správa identit, Identity Management, IDM PV 017 Bezpečnost IT Jan Staudek Úvod do identity a do správy identity bázové pojmy Systémy SSO, Single Sign-On, kategorizace Systémy SSO, Single Sign-On, příklady řešení: Kerberos, Microsoft Passport, Liberty Alliance,... w ΛΞΠ± ΦΩfffiflffi» μνοßρχψ!"#$%&'()+,-./012345<y A } Verze : podzim 2006 http://www.fi.muni.cz/usr/staudek/vyuka/ Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 1 Problém identity Správa identit je,,tvrdý oříšek Internet vznikl aniž by se nějak ujednocovalo chápání pojmů identita, identita uživatele,... Správa identit má tudíž mnoho forem řešení, ex. mnoho odlišných řešení správy účtů uživatelů, mnoho způsobů sběru personálních informací,... ex. mnoho forem řešení systémů typu SSO (Single Sign On),... Chaos v definicích a formách správy identit je zdrojem hrozeb phishing,... uživatel netuší, kdo s jeho PC hovoří uživatelé jsounavádění k vyzrazování svých pověřovacích informací a/nebo k instalacím zlomyslného software množí se útoky na instituce uchovávající velké objemy uživatelských identitních dat (např. čísla platebních karet) Jediná úspěšná schémata správy identit jsou ta, která byla vyvinuta pro konkrétní platformy Kerberos, speciální PKI pro vnitroorganizační účely a pro kartové systémy, MS Passport,... Kvalitní generické univerzální řešení správy identit zatím známé není Identita je kontextově specifickýrys vznik a respektované provozování univerzálního globálního poskytovatele identity nenípravděpodobné a to ani v dlouhodobém výhledu Správu identit je nutné řešit lépe, hledá secestajak Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 2 Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 3

Identita je...(příklady definic) 7zákonů oidentitě Microsoft Definice identity fy Microsoft: Identita = soubor prohlášení, které vysloví digitální subjekt o sobě aostatních digitálních subjektech digitální subjekt osoba nebo věc reprezentovaná neboexistující v digitálním světě prohlášení tvrzení, že něco je pravda tato definice bohužel nerozlišuje mezi prohlášeními typu: identifikátory/visačky/...: adresa e-mail, číslo pasu, ROČ, ČOP,... vlastnosti: držitel identity je zaměstnanec fy Y,... Časté chápání identity Identita = totožnost entity (osoby, místa, věci,... obecně jistého objektu), resp. vyjádření vztažnosti (vymezení) entity vůči jiným entitám Identifikace určení, kterou entitu určuje jméno udané vjistém kontextu, a jaký vněm profil (výsady, omezení,...) Autentizace procesověření, že entita je tou entitou, za kterou se prohlašuje Báze přístupu Microsoft k budování univerzálního systému správy identit InfoCard obecné pravdysouvisející se soukromím v IT systémech 1. zákon Uživatel řídí a souhlasí Technické identitnísystémy musí sdělovat pouze ty identifikační informaceouživateli, s jejichž sdělením uživatel souhlasí Uživatel musí identitnímu systému důvěřovat a musí mít tudíž možnost se na budování důvěry podílet zákon umožňuje i implementace, ve kterých metasystém uživateli umožní se rozhodnout pro automatické sdělování identitní informace v jistém kontextu Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 4 Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 5 7zákonů oidentitě Microsoft 7zákonů oidentitě Microsoft 2. zákon Minimální odhalování Nejstabilnějším dlouhodobým řešením identitního systému je to, které odhaluje nejmenší nutné množství identitních informací anejlépe omezuje jejich použití minimalizují se rizika útoků využívajících princip,,musí seznát minimalizuje se používání globálních identifikátorů (na rozdíl od lokálních identifikátorů) 3. zákon Ospravedlnitelná participace Digitální systémy musí být navrhované tak,že identitní informace se odhalují pouze těm stranám, které nutně a ospravedlnitelně participujívdaném identitním vztahu uživatelsimusíbýt vědom, kdo s ním sdílí jehoidentitníinformace 4. zákon Orientovaná identita Univerzální identitnísystém musí podporovat jak univerzální identifikátory používané veřejnými entitami (explicitní identifikaci), tak i,,jednosměrné identifikátory používané privátními entitami (pseudonymy) Pokud není dobrýdůvod k používání k explicitní identifikace, mají sepoužívat pseudonymy 5. zákon Pluralismus operátorů a technologií Univerzálníidentitnísystém musíumožnit komunikaci a kooperaci více identitním technologiím používaným více poskytovateli identitních služeb Záměr zákona je jasný každý používá více identit v závislosti na kontextu. Není šance toto změnit, univerzální identitní systém musí podporovat všechny takové identity. Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 6 Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 7

7zákonů oidentitě Microsoft Důvody používání IDM 6. zákon Integrace lidského faktoru Univerzální identitnísystém musí definovat lidského uživatele jako komponentu distribuovaného systému integrovaného pomocí mechanismů rozhraníčlověk-stroj nabízejících ochranu proti útokům na identitu. Uživatel chce používat službu Poskytovatel služby chce znát, kdo uživatel je např. aby mohl použití služby vyfakturovat Uživatel musí službě sdělit lidský uživatel je klíčovou komponentou nedokonalost porozumění lidskému faktoru na rozhraní PCjepříčinou útoků typuphishing sémantických útoků 7. zákon Zachování zkušeností Jednotící identitnímetasystém musí svým uživatelům zaručit konzistenci bázových principů vrůzných kontextech různých operátorůa technologií svoji identitu + nějaké důkazy, které může poskytovatel služby použít pro autentizaci deklarované identity např. doklady, credentials dokumenty potvrzující, že jistá udaná fakta jsou pravda Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 8 Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 9 majoritní jekonzistencechápání identity Identity a doklady Autorizace Uživatel může mít více identit (každá má svůj identifikátor), pro různé poskytovatele služeb může užívat různé identity jako zaměstnanec udává své osobní číslo při komunikaci se zaměstnavatelem jako občan udává ČOP při komunikaci se státní správou jako uživatel internetových služeb může mít řadu jmen, která používá pro komunikaci s jednotlivými poskytovateli služeb doklady, credentials autentizují uživatele jako legálního nositele udané identity heslo biometrika certifikát veřejného klíče MAC spočítaný sdíleným tajným klíčem symetrické kryptografie podpis výzvy zaslané poskytovatelem služby,... Jakmile poskytovatel služby uživatele autentizuje, musí rozhodnout, zda mu bude či nebude poskytovat službu Autorizace je nositel dané identity autorizovaný pro přístup ktéto službě? Autorizaci může podporovat na své straně server pomocí ACL Access Control List Uživatel může dodat autorizační sdělení podepsané vlastníkemzdrojeasdělující, že se držiteli tohoto sdělení má služba poskytnout Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 10 Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 11

Soukromí (Privacy)aformysoukromí Soukromí (Privacy)aformysoukromí Žadatel o poskytnutí služby může požadovat v některých případech zachování soukromí např. jeho identitu by jiné entityneměly poznat Anonymita uživatel chce čerpat služby anonymně žádnázestrannezjistí jakoukoliv identitu uživatele vpřípadě neplacených služeb triviální řešení vpřípadě placených služeb se musí použít EPS podporující anonymitu, např. elektronické peníze absolutní anonymitu lze mnohdy zajistit obtížně, uživatel může zanechávat stopu např. formou IP adresy Pseudonymita slabší forma anonymity uživatel vyzrazuje poskytovateli služby speciální fomuidentity pseudonym pseudonymy mívajíkrátkou životnost, nové pseudonymy se generují pravidelně např. číslo TMSI generované vgsmpři roamingu (dočasná identifikace) Nesvázatelnost (Unlinkability) požadované vlastnost pro podporu používání pseudonymů dva pseudonymy jsou nesvázatelné tehdy, když žádnátřetí strana není schopná říci, zda náleží nebo nenáleží jednomuuživateli obtížně sedosahuje, autorizační proces může informaci o uživateli vyzradit Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 12 Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 13 SSO, Single Sign-On Internetovské systémy SSO Schopnost se,,přihlásit (log) k používání služeb pouze jednou a poté být automaticky přihlašovaný k různým službám pro koncového uživatele se podstatně zjednoduší správa hesel SSO jako součást správy uživatelů (User Management) Tradiční SSO zjednodušuje život uživateli snižuje riziko používání jednoduchých hesel snižuje riziko vypisování hesel,,na taháky Internetovský SSO tradiční aplikace ve velkých společnostech (institucích) SSO =,,bezpečnostní vrstva v IT infrastruktuře instituce SSO tohoto typu jsou již,,vyzrálé a dobře zavedené viz navazující samostatnápřednáška přebírápřínosy tradičních SSO navíc řešíidůvěrnostníproblém pokud uživatel používá stejné heslo pro autentizaci u více PS, potenciálně dává možnost jednomu PS, aby se vydával u jiného PS za takového uživatele Internetovské systémy SSO Příklady iniciativ v tvorbě internetovských SSO přihlášení uživatele k poskytovateli (internetovské) služby, PS internetovský uživatel se pouze jednou přihlašuje k poskytovateli autentizační služby k (lokální či vzdálené) entitě anemusísekps přihlašovat opakovaně Microsoft Passport: podporuje službu SSO pro uživatele registrované u Passport vůči PS registrovaným u Passport Liberty Alliance konzorcium předních výrobců podporujících otevřenou specifikaci internetovských SSO Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 14 Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 15

Infrastruktura systémů SSO (obecně) Model SSO Role uživatel, U poskytovatel služby, PS poskytovatel autentizační služby, PAS Počítače U, PS a PAS jsou propojeny (sítí, sítí Internet) Mezi počítači U a PS je otevřena nějaká forma relace silnější nežprosté bezstavové http spojení (např. SSL/TLS spojení) Uživatel se v kontextu relace U PS autentizuje u PAS PAS dodává PS důkazy identit těch uživatelů, kteří siupsotevřeli relaci SSO identity a soukromí PAS může měnit ID uživatelů vzávislosti na zúčastněném PS tyto ID-U mohou být platné pouze v SSO, zaručují U-pseudonymitu Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 16 Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 17 Skutečné SSO a pseudo SSO Lokální SSO a proxy SSO Odlišovacím kritériem je podstata interakce ASP/PS pseudo SSO PASspravujeuživatelovy pověřovací informaceprokaždého PS tj.pasřeší autentizační procespszauživatele pravý SSO PASmá explicitní vztahsps, PAS je atestovaný poskytovatelem služby a PAS poskytuje PS informace o uživateli (např. informace, jak se uživatel u PAS autentizoval) V pseudo SSO, na rozdíl od pravého SSO, si PS nemusí vědomý existence a činnosti PAS na pravé SSO musí být aplikace poskytující službu upravena,,,našita Počítač PAS může fungovat jako vzdálený,,proxy systém nebo může být ztotožněný s počítačem uživatele Pseudo SSO mají obvykle lokální PAS správu hesel pro různé PSřešílokální procesvpočítači uživatele programy, které spravujíuživatelská hesla, jsou lokální pseudo SSO schémata Pravé SSO mají obvykle proxy PAS protože PS musí důvěřovat PAS PS musívěřit, že PAS uživatele autentizoval korektně to by ale bylo ošidné, kdyby PAS běžel na stroji uživatele Příklady pravých SSO s proxy PAS Microsoft Passport, Liberty Alliance, Kerberos Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 18 Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 19

Vesměs se požaduje, aby systém SSO podporoval pseudonymitu a nesvázatelnost Pseudo SSO schéma nesvázatelnost garantovat nemůže, identifikátory jsou vázané naps (např. adresa e-mail, jméno,...) Anonymní přístup do sítě i když pravý SSO poskytuje nesvázatelnou pseudonymitu, protokoly nižší vrstvy mohou U-identitu zradit odhalením síťových adres tento problém lze řešit anonymisujícími proxy na úrovni přístupu k síti Mobilita uživatelů Pravé SSO lze navrhnout tak, že se pro každého PS používají různé (anesvázatelné identifikátory) SSO schéma na bázi proxy podporuje mobilitu uživatelů vrozeně uživatel se musí pouze autentizovat na proxy Nasvázatelnost ovšem také závisí na existenci pseudoanonymních platebních schémat Lokání pseudo SSO schéma může být vypracované tak,aby podporovalo mobilitu uživatelů databáze pověřovacích informací (šifrovaná) se uchovává u třetí strany Lokální skutečná SSO schémata jsou obtížněji implementovatelná, důvodem jsou požadavky důvěryhodnosti Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 20 Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 21 Problém nedůvěryhodných prostředí zpřístupňování PSznedůvěryhodných počítačů, např. z internetových kaváren uživatelé sebudoubránit zpřístupnit takovému počítači dlouhodobě platné tajemství, např. heslo v takových případech je dobrým řešením schéma na bázi proxy, i když iniciální autentizace na proxy se musí řešit např. jednorázovým heslem Vztah důvěry Ve všech schématech musí uživatelé i poskytovatelé služeb důvěřovat PAS Vpravých SSO je vztah důvěry PS/PAS explicitní V pseudo SSO vztah není takjasný PSsinemusíbýt vědomý PAS Generování důkazů Problém ceny rozvoj pseudo SSO schémat je mnohem levnější, není žádný dopad na PS toto nemusí platit trvale, na PAS systému pseudo SSO má dopad každázměna autentizační metody u PS provozní náklady pseudo SSO jsou nižší, nepožaduje se činnost žádného serveru Vproxyschématech může jako TTP opatřující důkazy událostí fungovat proxy operátor Snadnější řešení jevpravých SSO, ve kterých je vztah PAS/PS dobře definovaný V lokálních SSO schématech se význam snižuje, důkazy nejsou spolehlivé (generují se na uživatelově stroji, který vystupuje v roli důvěryhodného systému) Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 22 Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 23

Otevřená auzavřená prostředí V uzavřených systémech jsou hlavním problémem náklady, udržování soukromí má menší význam Pseudo SSO jsou levnější, mnoho institucí jim proto dává ve svých prostředích přednost Pravé SSO dávají vyšší záruku za zachování soukromí, jsou vhodnější pro otevřená prostředí Vedení SSO procesu uživatelem Vlokálních SSO si vedení SSO procesu ponechává uživatel Ve (většině) řešení nabázi proxy si musí uživatel vybrat z několika málo poskytovatelů SSO služby a tudíž ztrácí moc nad SSO procesem Pokud se používají nezávislí poskytovatelé SSO, je problémem zachování soukromí Bezpečnost nějakým způsobem se musí svázat autentizace uživatele u PAS s relací uživatel/ps uživatelé nemusí nutně autentizovat PAS, uživatelovy autentizační informace může tudíž získat falešný PAS Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 24 Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 25 to je důvodem pro používání jednorázových autentizací na PAS Řešení SSO Liberty Alliance Řešení SSO Liberty Alliance Liberty Alliance http://www.projectliberty.org/ konzorcium výrobců zainteresovaných na SSO a správě identity publikuje specifikace otevřeného SSO systému na bázi ML Uživatel se (pouze jednou) autentizuje u PAS (Identity Povider, IP) PAS pomocí http redirekce autentizuje uživatele u jednotlivých PS automaticky Typický scénář Uživatel navštíví webovskou stránku PS a ustanoví se SSL spojení PS redirekcí přesměruje uživatelův prohlížečnalibertyip(pas) PAS ustanoví suživatelem SSL spojení a autentizuje ho (je-li to nutné) PAS redirekcí přesměruje uživatelův prohlížeč zpět na PS Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 26 Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 27

Řešení SSO Liberty Alliance Řešení SSO Liberty Alliance, příklad Vyměňované zprávy mezi PS a PAS PS zasílá autentizační požadavek apasvrací autentizační odpověď obsahující security assertions bezpečnostní požadavky zprávy jsou zabudované do URL nebo do http formulářích (pomocí metodypost) Syntaxe zpráv je odvozena ze SAML, Security Assertion Markup Language Pseudonymita PAS musí prokaždého PS používat jiný pseudonymuživatele problém vyzrazenícestousíťové adresyseneřeší PAS musí být pro PS plně důvěryhodný Zranitelnost SSO Liberty Aliance autentizace uživatele vůči PAS může být kompromitovaná škodlivým web serverem PS, který redirektuje uživatelův prohlížeč na falešného PAS, který neoprávněně získá autentizační informaci scénář uživatel Petr PAS Magistrát města Brna(MMB), zná Petrovy identitní informace partnerská skupina poskytovatelů služeb sdružená u PAS MMB ekniha, epostak,... Petr si kupuje přístup na placenou stránku u ekniha: 1. Petr si otevírá www stránku ekniha 2. ekniha si zjistí, že Petrovu identitu u ekniha může federovat s Petrovou identitou u MMB, apetrův prohlížeč redirektuje na PAS server MMB 3. Po autentizaci je Petrův prohlížeč redirektovaný zpět na ekniha 4. server ekniha si přečte SAML zprávu o proběhlé autentizaci Petra u MMB, která vznikápřiredirekci Petrova prohlížeče zpět na server ekniha, a pošle ji MMB (4a). MMB vrací naeknihasaml autentizační tvrzenívč. Session ID Petra (4b) 5. ekniha zpřístupní Petrovi placenou stránku Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 28 Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 29 Řešení SSO Liberty Alliance, příklad Řešení SSO Microsoft Passport PAS Microsoftí passport server uživatel se u PAS registruje udáním adresy e-mail a hesla uživatel získá 64bitové Passport User ID (PUID) Poskytovatelé ekniha a MMB musí znát Petra pod stejným Session ID, aby, každý jménem Petra, mohli vzájemně komunikovat Proces ustanovení sdíleného ID federace identity: Lokální identita Petra u MMB se federuje se lokální identitoupetra u ekniha v okamžiku, když ekniha žádá MMB o autentizaci Petra Petr může federovat svoji identitu u epošťáka se svojí identitou v rámci partnerské skupiny MMB PS, který chce využívat Passport, semusí u Microsoftu registrovat, zaplatí a obdrží jedinečný tajnýklíč(symetrická kryptografie) Passport nedodržuje identitní zákon o Ospravedlnitelné participaci, identitní informace každého dostane kdo si zaplatí Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 30 Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 31

Řešení SSO Microsoft Passport Passport idea komunikace Typický scénář kanály U/PAS a U/PS jsou řízené protokoly SSL/TLS (=projekt SSO Liberty) PS redirektuje prohlížeč uživatele na PAS PAS kontroluje v počítači uživatele Ticket Granting Cookie, TGC pokud TGC nalezne, autentizace je pozitivně potvrzená pokud TGC nenalezne, PAS uživatele autentizuje, TGC vytvoří a uloží vpočítači uživatele PAS použije TGC pro generování množiny cookies šifrovaných tajným klíčem PS uživatelův prohlížeč je redirektovaný zpět na PS, který čte cookies Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 32 Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 33 Řešení SSO Microsoft Passport Obecné řešení SSO formou webovského správce přístupu Zranitelnost SSO Passport alternativní název WAM, Web-based Access Manager podobně jako v Liberty SSO podvodný PS redirektuje uživatelův prohlížeč na falešného PAS, který neoprávněně získá autentizační informaci ochrana jednorázová autentizace uživatele Autentizuje uživatele Povoluje relace s více různorodými aplikacemi Autorizuje/řídí přístup, často na bází,,rolí Mnohdy proprietární technologie, začíná se aplikovat SAML Příklady Entrust, GetAccess Sun, Sun ONE Identity Server RSA, ClearTrust Baltimore Technologies, Select Access IBM, Tivoli Access Manager RSA, ClearTrust Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 34 Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 35

Obecné řešení SSO formou webovského správce přístupu Porovnání schémat SSO Typický algoritmus 1. Uživatel přistupuje k URL / zdroji chráněnému WAM 2. Přijme se uživatelův požadavek na zdroj a uživatel se přesměruje na centrální autentizační webovský formulář 3. Uživatel předá své oprávnění a WAM provede autentizaci proti centrální databázi uživatelů (mnohdy LDAP adresář) 4. WAM nastaví v uživatelově prohlížeči přístupový příznak (cookie) ke zdrojům chráněným pomocí WAM Šifrované nepersistentní cookie s ID uživatele v DB uživatelů Neheslo!! 5. WAM podle předdefinované politiky posoudí přístupová práva uživatele, a je-li uživatel autorizovaný, povolí mu přístup ke zdroji Jakmile WAM při dalším požadavku na přístup zjistí platný, neexpirovaný příznak v prohlížeči, kroky 1 4 vynechává Lokální SSO nízká provoznícena uživatel neztrácí řídicí vliv Proxy SSO podporuje anonymní přístup k síti podporuje mobilitu uživatelů podporuje používáníznedůvěryhodných prostředí Pravý SSO podporuje pseudonymitu nižší náklady na údržbu velmi dobře definovaný vztahdůvěry Pseudo SSO nižšínáklady na zavedení nemění seautentizaceups vhodné schéma pro uzavřené systémy Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 36 Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 37 Kerberos Kerberos architektura Pravý SSO systém na bázi proxy Původ projekt Athena na MIT používá dvě TTP autentizační server(as) ticket-granting server (TGS) Cíl poskytnout nástroj pro autentizaci uživatelských pracovních stanic (klientů) vůči serverům (a naopak) Implementační báze - symetrická kryptografie Poslední vývojová verze Kerberos Version 5 RFC 1510 použité mechanismy: Uživatel dlouhodobě sdílí tajnýklíčsas K U AS AS generuje krátkodobě platný tajnýklíč sdílený uživatelem a TGS K U TGS TGS se účastní nagenerování tajných klíčů relací sdílených mezi klientem a aplikačními servery K U ApSi AS a TGS společně hrají roli PAS (Identity Provider, Liberty) symetrická kryptografie Manipulation Detection Code (MDC) (integrita) časová razítka K U AS uživatel používá (zavádí dosvéstanice)řídce, např. na počátku pracovní doby, pro generování K U TGS K U AS se může odvozovat s hesla (fráze) znalého důvěryhodnému AS auživateli Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 38 Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 39

Kerberos idea komunikace Kerberos protokol Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 40 Jan Staudek, FI MU Brno PV017 Správa identit, Identity Management, IDM 41

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář