Upload
harold-teunissen
View
378
Download
1
Embed Size (px)
DESCRIPTION
Citation preview
Federaties in de praktijk
Harold Teunissen SURFnet
De SURFfamilie
2
Vraagbundeling sinds 1985 Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel
Instellingen (160)
Klantrelatie
Strategische Aansturing
Wie is SURFnet?
- Ontwikkelt en exploiteert het nationale onderzoeksnetwerk voor Hoger Onderwijs en Onderzoek
- Werkgebied: elektronisch verbinden van mensen, faciliteiten en organisaties
- 100% eigendom van Stichting SURF
- Not for profit, 80- medewerkers
- 180 aangesloten instellingen, 1 miljoen gebruikers
- Financiering - Innovatie door overheid en bedrijfsleven - Exploitatie kostenverdeelmodel instellingen
3 Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel
Focusgebieden
4
Netwerkinfrastructuur
Basis voor alle samenwerking
Identity en Trust
Om vertrouwde toegang te verlenen
Grensverleggend Samenwerken
Middellen voor internationale en instellingsoverstijgende samenwerking
Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel
Federaties in de Praktijk
Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel 5
Federaties?!
Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel 6
Gefedereerde Identiteit
- Een federatie is een collaboration of trust
- Gebruikers loggen in met eigen credentials bij hun hun instelling om diensten af te nemen bij Service Providers
7 Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel
JISC2007
Greep uit Instellingen (60+)
Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel 8
Greep uit Service Providers
9 Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel
Al last van wachtwoordmoeiheid?
Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel 10
Federeren: 1 + 1 = 3?
- Voor eindgebruikers
- Single Login maar één wachtwoord onthouden
- Single Sign-on maar één keer inloggen voor toegang
tot instellingsdiensten en daar buiten
- Voor Identity Providers (de instellingen)
- Gebruik van de eindgebruiker’s credentials alleen binnen
domein identiteiten en attributen op één plek
- Reductie overhead bij aansluiten en gebruik van Service
Providers
- Voor Service Providers
- In een keer aansluiten van een groep IdPs HO&O
- Single login en Single Sign-on verlaagt barrieres bij
gebruikers
Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel 11
Voorbeeld federatieve login
Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel 12
Welkom, Harold Teunissen Logout U bent niet ingelogd. Login …terug
redirect…
SP
Gebruikersnaam
Wachtwoord
harold
IdP
Federatie Modellen
1-1
IDP SP
n x n
IDP SP
IDP SP
IDP SP
n + n
IDP SP
IDP SP
IDP SP CFC
Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel 13
Rol van SURFnet
SP IDP SURFfederatie Service
A-Select Cross
A-Select Cross
Shibboleth
SAML 2.0
WS-Fed / ADFS
SAML 2.0
WS-Fed / ADFS
Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel 14
SURFfederatie en Trust (A) Een technische infrastructuur
SURFnet als Trusted Third Party / central authority
(B) Een set met afspraken (contracten/policies SURFdiensten als licentieorganisatie
- Trust is omgekeerd evenredig met de grootte van een federatie
15 Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel
Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel 16
Waar�kom je
vandaan?
Voorbeeld (1)
Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel 17
Voorbeeld (2)
Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel 18
Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel 19
Wat�mag je�
allemaal?
Attributen
- Autorisatiekenmerken: naam + waarde(n) Voorbeelden: - naam: Alex van Buuren!- organisatie: Universiteit Leiden - studierichting: Geschiedenis
- De IdP geeft attributen vrij richting SPs (via de SURFfederatie gateway)
- NB: Er moet overeenstemming bestaan tussen IdPs en SPs over de gebruikte attributen!
- NB: Maar er moet langzamerhand ook overeenstemming bestaan tussen IdP en de eindgebruiker over de gebruikte attributen!
20 Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel
Waarom attributen?
- Personalisatie
- Automatische enrollment/provisioning
- Geen eigen user-account database nodig bij SP
- Altijd up-to-date
- Fijnmazige en correctere autorisatie
- Betere implementatie van licentie voorwaarden
Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel 21
Waar werken we nu aan?
- Provisioning en de-provisioning
- OpenID en OpenID+ voor gastgebruik
- Cross-layer identity management Zero Sign In
- User Centric Privacy
- Identity as a Service en Federation-in-the-Box
- SURFfederatie als een one-stop-shop voor koppelingen tussen IdPs en SPs
- Federatie inzetten als enabler voor multi-disciplinaire e-Science onderzoeksinfrastructuren
- Alle instelling aansluiten op SURFfederatie
Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel 22
Key Take Aways
- Eindgebruikers Gemak van Single Login, Single Sign-on
- Identity Providers Vat op gebruik identiteit binnen domein
- Service Providers Rechtstreeks toegang tot een grote gebruikerspopulatie
Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel 23
Q&A
Harold Teunissen [email protected]
Backup Slides
Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel 25
Van lokaal naar federaal
Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel 26
Extern
HTTP
LDAP IDP SP
B
Lokaal
DB
HTTP
LDAP
SP
B
Federatief
HTTP
LDAP
SAML (HTTP)
DB
IDP
B
SP
HTTP