Download   Report
  1. No category

K2 knagerækken er den traditionelle og sikre løsning i indretningen

GLOBETEAM
Føderal brugerstyring
og SSO
Morten Strunge Nielsen
23. september 2010
GLOBETEAM
Brugere bliver gns.
provisioneret i 16 systemer
og de-provisioneret i 10
Gns. bruger anvender
16 minutter pr. dag på
login
38% af brugerne genbruger
deres passwords; 18%
skriver dem ned
Helpdesk’en bruger 1/3
af deres dag på banal
brugeradministration
Globeteam A/S · Virumgårdsvej 17A · 2830 Virum · Telefon +45 7026 2970 · www.globeteam.com
Integritet
Relationer
Kompetencer
GLOBETEAM
Dagens løsninger til SSO
•
Kerberos/NTLM (direkte AD-integration): Vaskeægte SSO (et enkelt brugerlogin)
–
–
–
Kræver at alle forstår Active Directory’sk
Fungerer i realiteten kun på LAN
Er en dyr (og i realiteten umulig) opgave
•
•
•
Kan ikke håndteres af tilnærmelsesvis alle applikationsleverandører
Giver udfordringer, hvis man har mere end en Active Directory forest
Provisioning (indirekte directory-integration): Et login i hver applikation (dog med
samme brugernavn og password)
–
Provisioning har mange, velkendte og veldokumenterede begrænsninger, såsom
•
•
Kollisioner ved kopiering af brugere/brugernavne
Udfordringer med kopiering af roller og attributter
•
•
•
•
Replikering af passwordskift
Håndtering af passwords til nye systemer (og brugere)
Brugere kan ikke forstå tidsforsinkelserne
Ikke mere sikker end den svageste applikation (der er en kopi af alle brugernes passwords i alle
applikationerne!)
–
–
–
–
Herunder ikke mindst konvertering mellem forskellige formater samt håndtering af unikke nøgler
Og dem er der altid mere end en af! 
Er stærkt problematisk udenfor sikrede miljøer (LAN er ikke nok!) pga overførsel af
passwords
En meget dyr løsning i relation til implementering og drift
Globeteam A/S · Virumgårdsvej 17A · 2830 Virum · Telefon +45 7026 2970 · www.globeteam.com
Integritet
Relationer
Kompetencer
GLOBETEAM
Den nye løsning til SSO: Føderation
(”fødereret identitet”)
•
Føderation: Vaskeægte SSO (et enkelt brugerlogin)
–
–
–
–
•
Leverer ægte single sign-on
–
–
–
•
Er stort set tilgængeligt fra alle computerplatforme allerede nu, da baseret på
industristandarder (SAML 2.0 og WS-Federation)
Bygget til internet-brug
Fungerer både med webapplikationer og web services
Er relativt prisbilligt og meget hurtigt at implementere
Samme identitet på tværs af web’en!
Autentificering på tværs af organisationer
Autentificering til cloud-baserede tjenester
Ingen ekstra logins, da login til AD bliver genbrugt!
Globeteam A/S · Virumgårdsvej 17A · 2830 Virum · Telefon +45 7026 2970 · www.globeteam.com
Integritet
Relationer
Kompetencer
GLOBETEAM
Hvordan fungerer det?
Globeteam A/S · Virumgårdsvej 17A · 2830 Virum · Telefon +45 7026 2970 · www.globeteam.com
Integritet
Relationer
Kompetencer
GLOBETEAM
Føderation er baseret på tokens
• Token: En datastruktur som viser og beviser hvem
man taler med.
– P.t. en XML-formatteret samling af attributter (claims)
• Claim: Et udsagn, som bliver afgivet af et subjekt
omkring et andet subjekt
–
–
–
–
Email-adresse
CPR nr.
Roller
...
• Føderation er infrastrukturen til udveksling af claims
mellem flere uafhængige parter
– Udsteder af tokens: STS (Security Token Service)
– Forbruger af tokens: Applikation
Integritet
Relationer
Globeteam A/S · Virumgårdsvej 17A · 2830 Virum · Telefon +45 7026 2970 · www.globeteam.com
Kompetencer
GLOBETEAM
Fødereret login på tværs af to organisationer
Partnerorganisationens
sikkerhedsdomæne
Applikationsleverandørens
sikkerhedsdomæne
Active Directory
ADFS-server
(Security Token Service)
ADFS-server
(Security Token Service)
`
Intern klient
Globeteam A/S · Virumgårdsvej 17A · 2830 Virum · Telefon +45 7026 2970 · www.globeteam.com
Fagapplikation
(Web-applikation)
Integritet
Relationer
Kompetencer
GLOBETEAM
Fødereret login på tværs af to organisationer
Applikationen
SP (Service Provider)
IdP (Identity Provider)
3. Bruger bliver videresendt
til IdP til autenticering
4. Brugeren autenticeres
1. Bruger ankommer til
applikation (ej autenticeret)
2. Bruger bliver sendt
videre til SP’en
5. Token bliver overgivet
til ADFS af brugeren
6. ADFS validerer token
7. Claims I token afgør
adgang til site
Globeteam A/S · Virumgårdsvej 17A · 2830 Virum · Telefon +45 7026 2970 · www.globeteam.com
Integritet
Relationer
Kompetencer
GLOBETEAM
Microsoft ADFS er et oplagt valg
Globeteam A/S · Virumgårdsvej 17A · 2830 Virum · Telefon +45 7026 2970 · www.globeteam.com
Integritet
Relationer
Kompetencer
GLOBETEAM
ADFS har ingen oplagte svage punkter
• Det er ikke nødvendigt at skrive en eneste kodelinje i
.NET til autentificering
– Autorisering er blot et spørgsmål om at benytte .NET
Framework’s isinRole-funktion
• Ingen performancemæssige udfordringer
– En almindelig webserver kan håndtere 50-100 logins pr. sek.
– Sætter flere servere op og load balancer mellem dem, når
behov for mere performance eller oppetidssikring
• ADFS passer ind i en Microsoft-baseret infrastruktur
• ADFS er exceptionelt billig, da del af Windows Server
– Billigste konkurrerende kommercielle implementering koster
ca. 10 gange mere pr. server
– Dyreste konkurrent tager ca. 100 gange mere pr. server!
– Mange af konkurrenterne kræver også en pris pr. bruger..
Globeteam A/S · Virumgårdsvej 17A · 2830 Virum · Telefon +45 7026 2970 · www.globeteam.com
Integritet
Relationer
Kompetencer
GLOBETEAM
AD FS 2.0 opfylder de danske krav
• IT og Telestyrelsen satser på
– SAML 2.0 tokens
– SAML 2.0 protokollen til webapplikationer
– Speciel dansk OIO WS-Trust Profile til web services (WS
Trust-baseret profil)
• AD FS 2.0
– SAML 1.1 og SAML 2.0 tokens
– Webapplikationer og web services
– WS Trust, WS-Federation såvel som SAML 2.0-protokollen
Globeteam A/S · Virumgårdsvej 17A · 2830 Virum · Telefon +45 7026 2970 · www.globeteam.com
Integritet
Relationer
Kompetencer
GLOBETEAM
ADFSv1
• Danmarks Miljøportal
• Se referencehistorie på Globeteams webside
– Den første store SSO-løsning herhjemme og formentlig stadig den
mest avancerede!
– Mere end 20 organisationer og ca. 40 applikationer tilsluttet via
føderation
– Implementeret 2006/2007 pga kommunereformen
• Sygeforsikringen Danmark
– SSO til alle deres interne systemer, inkl. mainframe
• Flere mindre løsninger
– Fx MOCH til eLearning via internettet
Globeteam A/S · Virumgårdsvej 17A · 2830 Virum · Telefon +45 7026 2970 · www.globeteam.com
Integritet
Relationer
Kompetencer
GLOBETEAM
ADFSv1
• Miljøportalen har p.t. følgende føderationspartnere:
–
–
–
–
–
–
–
–
–
–
–
–
–
–
–
–
–
–
Bornholm Kommune
Gentofte Kommune
Herning Kommune
Hjørring Kommune
Holbæk Kommune
Horsens Kommune
Næstved Kommune
Odense Kommune
Ringkøbing Skjern Kommune
Silkeborg Kommune
Slagelse Kommune
Stevns Kommune
Vejle Kommune
Århus Kommune
Geodata
Miljøministeriet
Danmarks Miljøundersøgelser
Region Syddanmark
Globeteam A/S · Virumgårdsvej 17A · 2830 Virum · Telefon +45 7026 2970 · www.globeteam.com
Integritet
Relationer
Kompetencer
GLOBETEAM
AD FS 2.0 (frigivet i starten af maj 2010)
• Domstolsstyrelsen har kørt drift på det siden januar
2010
– Referencehistorie på Globeteams webside
• Har udviklet en skræddersyet løsning til
Sundhedsstyrelsen
– Se referencehistorie på Globeteams webside
• PoC med IT- og Telestyrelsen omkring den nye
danske web service-standard (OIOIDWS)
• Migrering af Danmarks Miljøportal næsten tilendebragt
• Implementeret hos en række andre organisationer og
virksomheder til Extranet-løsninger
Globeteam A/S · Virumgårdsvej 17A · 2830 Virum · Telefon +45 7026 2970 · www.globeteam.com
Integritet
Relationer
Kompetencer
GLOBETEAM
Applikationerne
• Vi kan klare næsten alt på alle platforme
– Det kunne vi faktisk også på ADFSv1, selvom den strengt taget var
begrænset til .NET Framework-baserede webapplikationer
– Kørende løsninger på ADFSv1-platformen:
• Java webapplikationer såvel som web services
• .NET Framework web services
• SiteMinder
• ASP3
• Mainframe-løsning
– Vi har bygget forskellige værktøjer til at håndtere applikationer med egen
brugerdatabase.
•
Håndteres ved hjælp af on-the-fly synkronisering af brugere og roller mod den lokale database
• Det er heldigvis blevet lidt nemmere med AD FS 2.0, da der nu er
indbygget støtte af web services og lidt større fleksibilitet
Globeteam A/S · Virumgårdsvej 17A · 2830 Virum · Telefon +45 7026 2970 · www.globeteam.com
Integritet
Relationer
Kompetencer
GLOBETEAM
De primære forretningsmæssige argumenter
Globeteam A/S · Virumgårdsvej 17A · 2830 Virum · Telefon +45 7026 2970 · www.globeteam.com
Integritet
Relationer
Kompetencer
GLOBETEAM
Føderation er
• Løsningen på ledelsens ønske om
– Partnering
– Forbedret fleksibilitet i forhold til sammenlægninger og
opsplitninger
– Større dynamik i applikationsporteføljen
• Løsningen på brugernes ønske om et enkelt login til
alle applikationer
– Uanset om det er på Intranet eller Internet!
Globeteam A/S · Virumgårdsvej 17A · 2830 Virum · Telefon +45 7026 2970 · www.globeteam.com
Integritet
Relationer
Kompetencer
GLOBETEAM
For IT-afdelingen er føderation
• Bedre
–
–
–
–
Intet bøvl med flere brugernavne og passwords
Hurtigere logintider
Fleksibilitet i forhold til computerplatforme og web browsere
Høj sikkerhed
• Billigere
– Færre opkald omkring brugernavne/passwords
– Lettere integration af applikationer og directory services
– Mindre designarbejde og mere fleksibilitet for arkitekten (og
udvikleren )
– Meget mindre kodeskrivning og fuldstændig samme
kodebiblioteker for udvikleren
• Webapplikationer og web services
Globeteam A/S · Virumgårdsvej 17A · 2830 Virum · Telefon +45 7026 2970 · www.globeteam.com
Integritet
Relationer
Kompetencer
GLOBETEAM
..og reelt slet ikke til at komme udenom
• Positiv nyskabelse til webapplikationer
– Eliminerer behov for at bruge passwords henover linjen (samt
huske forskellige brugernavne)
– Standardiserer udvekslingen af identitetsinformationer
• Afgørende nødvendighed til web services, hvis man
skal kunne tilfredsstille alle krav til sikkerhed
– Hvordan skal man ellers kunne videregive brugerens
kontekst, når man kalder videre?
• Passer som fod i hose med cloud services
– Uanset om det gælder Google eller Microsoft..
Globeteam A/S · Virumgårdsvej 17A · 2830 Virum · Telefon +45 7026 2970 · www.globeteam.com
Integritet
Relationer
Kompetencer
GLOBETEAM
Den superkorte version
• ADFS (og føderation) er ikke en ny teknisk løsning, der leder efter
et behov
• Det er derimod en løsning, der langt om længe er i stand til at
opfylde en række behov
– Og endda fuldt ud og uden en hel masse snærende begrænsninger!
• ADFS leverer noget så sjældent for infrastrukturløsninger som
forøget forretningsmæssig nytte
– Herunder ikke mindst agilitet
• ADFS er exceptionelt billigt i anskaffelse
• ADFS kræver ingen ændringer af infrastrukturen
–
–
–
–
Kan integrere med alle versioner af Active Directory
Meget overskueligt at integrere applikationer mod
Vaskeægte single sign-on (et login og så er du på!)
Stærk sikkerhed
Globeteam A/S · Virumgårdsvej 17A · 2830 Virum · Telefon +45 7026 2970 · www.globeteam.com
Integritet
Relationer
Kompetencer
Principper for teamsamarbejde

Principper for teamsamarbejde

Fortællesti nr. 8 er på 4,3 km

Fortællesti nr. 8 er på 4,3 km

Læs case - Globeteam

Læs case - Globeteam

Billeder af det gamle Virum

Billeder af det gamle Virum

Anna Marie Fisker

Anna Marie Fisker

sammenfatning af litteraturgennemgang om medarbejderinddragelse

sammenfatning af litteraturgennemgang om medarbejderinddragelse

Logeliv januar 2013 - Broderloge nr. 41 Petrus Beyer

Logeliv januar 2013 - Broderloge nr. 41 Petrus Beyer

Formand Morten Hejl takker af. - Lyngby

Formand Morten Hejl takker af. - Lyngby

VIRUM ROTARY KLUB UGEBREV NR. 29 – 2010 – 2011

VIRUM ROTARY KLUB UGEBREV NR. 29 – 2010 – 2011

Entré 110 - Lundberg Data

Entré 110 - Lundberg Data

abcdocz.com

© Copyright 2024