ADFS 2.0 ja Shibboleth
IdP ja SP
Haka- ja Virtu -seminaari 9.2.2011
Jukka Lauhia
Suomalainen tietoturvaan erikoistunut konsulttiyritys
Tehokasta tietoturvaa älykkäästi
Tietoturvan erikoisosaamisemme:
•  Tehokas tietojärjestelmien
pääsynhallinta
•  Helppo käyttäjätietojen hallinta
•  Turvallinen kumppaniverkostojen
hallinta
•  Älykäs tietoturvariskien hallinta
•  Säädösten mukainen tietoturva
•  Kattava tietoverkkojen tietoturva
Palvelumme:
•  Konsultointi
•  IT-hanke- ja -projektijohtaminen
•  Valmisohjelmistot
•  Koulutus ja tekninen tuki
•  IAM-ulkoistus
Perustettu: 2003
Liikevaihto: 5,4 M€ (2010)
Henkilöstö: 28
Palvelee: suuria ja keskisuuria eri toimialojen asiakkaita ja julkishallinnon yksiköitä
Trusteq on Suomen suurin käyttäjätietoturvan ja pääsynhallinnan
osaamiskeskittymä
)"!!!"#"
("!!!"#"
'"!!!"#"
&"!!!"#"
%"!!!"#"
$"!!!"#"
!"#"
%!!&" %!!'" %!!(" %!!)" %!!*" %!!+" %!!," %!$!"
ADFS ja Shibboleth - termistöä
ADFS
Shibboleth
Selitys
Security Token
Assertion
Käyttäjää kuvaava pala
XML:ää.
Claims provider
Identity Provider (IdP)
Käyttäjätietojen lähde
federaatiossa
Relying Party
Service Provider (SP)
Palvelu federaatiossa,
käyttäjätiedon kohde
Claims
Assertion Attributes
Security tokenin sisältä
löytyvä, käyttäjän jotain
tietuetta kuvaava XMLpalanen
Yhteensopivuus, ohjelmistot
•  ADFS2.0:lla pystyy liittymään Shibboleth 2 (SAML 2)
federaatioon joko Identity Provider-roolissa tai Service
Provider -roolissa
•  Windows Server 2008 R2
–  Vanhemmissa versioissa ongelmia, ei voi suositella tuotantoon
ilman pätsäämistä
•  IIS 6 + tarpeelliset moduulit
–  + Management compatibility role services (ohjelmointirajapinta
AD:n kanssa jutteluun)
•  Shibbolethin uusin versio + Java > 1.5
Yhteensopivuus, konfiguraatiot
•  Verkkoyhteydet ja DNS
•  Kellojen synkronointi
•  SSL ja sertifikaatit – myös Windowsin pitää luottaa
federaation sertifikaatteihin (ADFS on käyttöjärjestelmän
palvelu!)
•  (funet)EduPerson – skeema ei ole AD:n tukema,
(oletusarvoisesti) joten fEP-attribuutit pitää luoda
muuntamalla ne ADFS 2.0 Custom Rule Languagesäännöillä
Yhteensopivuus, attribuutit
•  Shibbolethin vastaanottamien ja ADFS 2.0:n julkaisemien
attribuuttien oletusarvoinen nimeämisformaatti on eri:
–  Shibboleth:
•  urn:oasis:names:tc:SAML:2.0:attrname-format:uri
–  ADFS:
•  urn:oasis:names:tc:SAML:2.0:attrnameformat:unspecified
•  ADFS tarjoaa hyvät perustyökalut muunnosten
tekemiseen. (Ei tarvitse ohjelmoida)
Yhteensopivuus, federaation metatiedot
•  ADFS 2.0 IdP ei julkaise metadatassaan scopea
•  Tämä tuki on Shibbolethissä käytössä oletusarvoisesti ja
sitä käytetään valtuutuksessa (esim. Verrataan, että
user.name@scope :ssa scope vastaa IDP:n scopea)
•  ADFS IdP:n generoimaa metadatakuvausta itsestään ei
voi muuttaa, joten ADFS:n metadataa joudutaan
muokkaamaan scopen osalta käsin.
Windows-sovellukset ja valtuustiedot
•  Unixeissa Shibbolethin kuljettamat valtuustiedot viedään
Service Providerin sovellukselle (tyypillisesti)
ympäristömuuttujissa.
•  Windowsissa voi tehdä samoin, mutta Windows Identity
Foundation (WIF) on todella vahva työkalu.
•  WIF:llä koko käyttövaltuutuksen logiikan voi käsitellä
sovelluksen ulkopuolella, ts. Esim. Kaikki työaseman
sovellukset voivat ymmärtää samaa kirjautumista
•  Käytännössä siis ADFS2.0 ja WIF mahdollistaa
federaation kautta tapahtuvan kirjautumisen Windowstoimialueeseen (ei enää vain web-sovelluksiin).
Kysymyksiä ?
Jukka Lauhia, Trusteq Oy
[email protected]
050-62301