Add to collection(s) Add to saved
  1. Engineering
  2. Webdesign

SURFfederatie

advertisement 
SURFfederatie
Een overzicht
27/7/2011
Overzicht
1. SURFnet
2. Authenticatie, Autorisatie
3. Federaties
4. SURFfederatie
5. Diensten
6. Samenvatting/Vragen
1
(C) 2008 SURFnet B.V.
SURFnet
- National Research and Education Network (NREN)
- ISP, innovatie centrum, service provider
- Hoger onderwijs en onderzoek
- > 160 instellingen
- > 750.000 studenten en medewerkers
- Focus: van netwerk naar middleware en diensten
infrastructuur
- Federatief IdM/SURFfederatie als speerpunt voor
2008-2010
- Samenwerking met andere NRENs, TERENA,
europsese projecten (GEANT2)
2
(C) 2008 SURFnet B.V.
Authenticatie en Autorisatie
Infrastructuren (AAI)
- Authenticatie
- “wie ben je” - bewijs wie je bent: ja/nee
- Autorisatie
- “wat mag je” - gebruikerskenmerken: attributen
- Single Login
- Gebruik dezelfde credentials gebruik op
meerdere plekken
- Single-Signon (SSO)
- = Single-Login + zonder opnieuw in te loggen
- Provisioning
- Geautomatiseerd account beheer/rechten
toekennen (dienstaanbieder)
3
(C) 2008 SURFnet B.V.
(AAI) Federaties
- Algemeen: samenwerkingsverbanden
- In deze context: AAI Federaties/federatief IdM
- Inloggen/authenticeren/autoriseren met je
instellingsaccount bij internet diensten
- 2 of 3 rollen:
- Identity Provider (IDP): user accounts
- Service Provider (SP): dienst/content
- + soms: centrale infrastructuur (CFC)
- Voor SPs:
- “out-sourcing” van AA op basis van “preestablished trust”
- Voor IDPs:
- “binnenshuis” authenticeren/autoriseren
4
(C) 2008 SURFnet B.V.
SURFfederatie: history
1996
5
2001
2004
(C) 2008 SURFnet B.V.
2006
2007
2008
SURFfederatie (1)
- Doel: het bevorderen van de samenwerking over
instellingsgrenzen heen
- AAI federatie voor de SURFnet community
- Instellingen leveren identiteiten (IDP) en
diensten (SP)
- Externe partijen leveren diensten (SP)
- inloggen (AA) met je instellingsaccount bij derden
- je credentials verlaten de instelling niet
- op een gestandaardiseerde manier autorisatie
gegevens uitwisselen: attributen schema
- Bijv: “sn”: achternaam, eduPersonAffiliation: rol
6
(C) 2008 SURFnet B.V.
Authenticatie -> FIdM
Lokaal
Extern
Federatief
DB
DB
LDAP
SP
SP
HTTP
HTTP
B
7
(C) 2008 SURFnet B.V.
B
LDAP
LDAP
IDP
SP
HTTP
B
SAML
(HTTP)
HTTP
IDP
FIDM
protocollen/produkten
- Secure Assertion Markup Language (SAML)
- SAML 1.x (geen SP-initiated) (OASIS)
- IDFF 1.x (SP-initiated) (Liberty)
- WS-Federation/ADFS 1.x/2.x (IBM/Microsoft)
- SAML 2.0 (OASIS, Liberty)
- A-Select cross protocol 1.4.2/1.5.x
- geen LDAP/Radius => wel in backend
- Producten oa:
- HP/Oracle/Novell/IBM/Microsoft/…
- Shibboleth/A-Select/SimpleSAMLphp
- PingFederate (SURFnet)
8
(C) 2008 SURFnet B.V.
Federatie Modellen
-
1-1
- Business VS: SAML 1.x
IDP
SP
IDP
SP
- Education VS/Europa
IDP
SP
- Shibboleth
IDP
SP
- Nieuw(?) paradigma
IDP
SP
protocol translatie
IDP
SP
- de-facto
-
NxN
- Shared trust, pt2pt
-
2xN
- Centrale gateway (CFC)
- SURFfederatie
SURFnet = CFC, IDP, SP
9
(C) 2008 SURFnet B.V.
IDP
CFC
SP
SURFfederatie (2)
- (A) een set met afspraken
- Contracten, policies, attributen schema
- (B) een technische infrastructuur
- Centraal georganizeerd (!)
- Technisch; dienstencontract=bilateraal
- Focus op web-based Single-Signon
- Browser applicaties/services
- Toekomstige extensies mogelijk (Webservices,
netwerk toegang)
- SURFnet als Trusted Third Party / central authority
- Protocol translatie (!!)
- Gevolg: grootst gemene deler aan
functionaliteit… (geen nadeel)
10
(C) 2008 SURFnet B.V.
Functional View
since 1 august 2008
Identity Providers
SURFfederatie CORE
Service Providers
A-Select Cross
Credentials
A-Select Cross
Applications
Central
Federation
Components
SAML 2.0
WS-Fed / ADFS
11
(C) 2008 SURFnet B.V.
Shibboleth
SAML 2.0
WS-Fed / ADFS
Authenticatie Redirect
Flow
web service
SP
SFS
IDP
authentication
backend
browser request
auth request
SSO1 request
SSO2 request
LDAP/Radius/..
SSO2 response
SSO1 response
auth response
access & attributes
12
(C) 2008 SURFnet B.V.
Voordelen (1) - IDP
-
Hergebruik van authenticatie oplossing(en)
- credentials + techniek,
intern,instellingsspecifiek=>extern
-
Autorisatie/RBAC/ABAC
- Fijnmaziger, correcter toegang verlenen
-
Security/controle/herleidbaarheid
- gebruik credentials alleen *binnen* domein
-
Integratie: eigen systemen/IdM/rollen/rechten
-
Efficientie/kostenbesparing: infra, support, licenties (!)
-
Eenvoud: 1x technisch aansluiten voor meerdere
diensten
13
-
Toekomstperspectieven: SAAS, online internet applicaties
-
Gebruikerservaring: betere service
(C) 2008 SURFnet B.V.
Voordelen (2) - SP
- Schaalbaarheid
- User-account database, enrollment
- Integriteit
- Verificatie, synchronisatie, up-to-date
- Autorisatie
- Fijnmazig, correct, betere implementatie van
licentie voorwaarden
- Kostenbesparing
- Infrastructuur en support (!)
- Eenvoud
- 1x aansluiten voor meerdere IDPs (protocollen)
- Efficientie
- Sneller op de markt zetten door hergebruik
14
(C) 2008 SURFnet B.V.
Voordelen (3) - Users
- Privacy
- Persoonlijke data op 1 plaats opgeslagen
- Veiligheid
- Contractuele afspraken tussen IDPs en SPs over
gebruik van persoonsgegevens
- Single-Login
- Beperken digitale sleutelbos -> veiligheid
- Single-Signon
- 1x inloggen: meerdere diensten benaderen
15
(C) 2008 SURFnet B.V.
Diensten
- SURFspot (SURFdiensten), ICT webwinkel
- Dashboard/Rapportage/Demo (SURFnet)
- ScienceDirect (Elsevier), wetenschappelijke
artikelen
- EBSCOhost (EBSCO), research database
- EduPoort (EduPoort), educatieve content
- PiCarta (OCLC Leiden), informatie/catalogi
- Ellips (member RUG), oefenomgeving
taalvaardigheid
- ZOEP (RUG), video zoek engine
- SURFmedia (SURFnet), video integratie project
- Google Apps for Education (Google), web apps)
- SURFconext
16
(C) 2008 SURFnet B.V.
Aandachtspunten
- kip/ei probleem (zien = geloven)
- complexiteit protocollen/produkten tov. de
gebruikte/benodigde functionaliteit
- SAML 2.0 specifications ea.
- schaalbaarheid van het centrale model
- initieel zeer goed
- implementatie bij IDP/SP
- kennis en beschikbaarheid daarvan
- processen/procedures
- wijziging keys/URL/metadata
- Web-based SSO -> web-services ++ features
- protocol convergentie
17
(C) 2008 SURFnet B.V.
Samenvatting
- Service Providers (SP) in de SURFfederatie, bieden
diensten aan aan Identity Providers (IDPs) uit de
SURFnet doelgroep
- Gebruikers worden geauthenticeerd/geautoriseerd
met eigen credentials door IDPs
- Technisch: 1x technisch aansluiten voor afname
meerdere diensten en leveranciers
- Contractueel: afname van individuele diensten
bilateraal met SP, bijv. SURFdiensten
- Verschillende producten/implementaties voor
koppelen mogelijk
18
(C) 2008 SURFnet B.V.
Contact
SURFfederatie
www.surffederatie.nl
Federatie Beheer
[email protected]
PM
• Eefje van der Harst
• Sabita Behari
TPM
• Joost van Dijk
• Pieter van der Meulen
• Remco Poortinga – van Wijnen
19
(C) 2008 SURFnet B.V.
Vragen
20
(C) 2008 SURFnet B.V.
Related documents
SURFnet
SURFnet
SARA: Met hyperscherpe 4K-video naar de sterren, en daar
SARA: Met hyperscherpe 4K-video naar de sterren, en daar
Virtuele Netwerk Functies
Virtuele Netwerk Functies
Project Brief
Project Brief
Regeling derdenverkeer SURFnet
Regeling derdenverkeer SURFnet
het aanleggen van een computernetwerk is voor surfnet nooit een
het aanleggen van een computernetwerk is voor surfnet nooit een
logboek art 2 5 2e lid Wsb def
logboek art 2 5 2e lid Wsb def
Introductie Lambda networking
Introductie Lambda networking
remedie tegen haperende videostreams?
remedie tegen haperende videostreams?
PIA risicoformulier
PIA risicoformulier
Good practices open leermateriaal binnen vakcommunity`s
Good practices open leermateriaal binnen vakcommunity`s
Artikel 9. Rechten van de werknemer mbt - saMBO-ICT
Artikel 9. Rechten van de werknemer mbt - saMBO-ICT
1.Algemene omschrijving
1.Algemene omschrijving
hoe data de kwaliteit van het hoger onderwijs kunnen
hoe data de kwaliteit van het hoger onderwijs kunnen
Download
advertisement