Sessio: Virtual people, muistiipanoja.
* * *
Rok Papež, “Connecting Web and Kerberos single sign-on”
Aluksi käytiin läpi Kerberoksen toimintaperiaatteet ja tiketit. Kerberoksen toimintaperiaatteista nähtiin myös demo. Kerberos on autentikointiprotokolla, ei siis auktorisointiin. Sitä voi käyttää SSO:hon. Kyseessä on vanha teknologia ja versio 5 on tullut käyttöön vuonna 1993 (RFC1510).
- Huono administrator-dokumentaatio ja vielä huonompi kehittäjille.
- Kyseenalainen turvallisuushistoria.
- Ei sovi käytettäväksi julkisissa palveluissa, kuten vaikkapa kampuksilla
- Huono tuki auktorisoinnille
- SPNEGO web-sovelluksille, rajalloinen paikallisen verkon käyttö
SAML – Security Assertion Markup Language. Soveltuu web-applikaatioille. Erillinen lolgin, SSO, Käyttäjien autentikointiin ja voi käsitellä auktorisointidataa. SAML2 on vuodelta 2005. Implementaatioita: Shibboleth IdP
SAML-AAI ja kerberos eivät ole kilpailevia protokollia, vaan niille on eroista johtuen eri käyttötarkoitukset. Ongelmana on esimerkiksi identiteettitietojen välittäminen.
Voi käyttää siten, että yhdessä esimerkiksi web-applikaatioissa, jos taustajärjestelmä vaatii kerberoskirjautumista. Web-applikaatiossa autentikointi tehdään SAML-AAI:n kautta ja se välittää tiedot KDC:n (Key Distribution Center) avulla esimerkiksi IMAP:lle. Tarvitaan Identity Mapper, joka muuntaa SAML:n eduPersonPrincipalNamen Kerberos Principaliksi.
Lisätietoja:
* * *
David Lutz, “Applied Federation Technology: The Charging of Roaming Students” (Payment in Identity Federations)
Tapauskuvausta:
Opiskelija opiskelee useammassa yliopistossa (“roaming student”), hänellä olisi normaalisti joka yliopistoon erillinen identiteetti. Ratkaisuna on federointi.
Yksi konkreettinen case: maksaminen.
Maksaminen paikallisesti hallita. Globaalisti on PayPal, luottokortit. Niiden käyttö on helppoa. Jos rahaa kuitenkin pitäisi liikutella yliopistojen välillä (siis opiskelijan maksua jotenkin osittaa), tarvitaan federointia.
Perinteisessä federaatioarkkitehtuurissa:
- Käyttäjä
- IdP
- SP
Kun kuvaan tulee maksaminen, tarvitaan vielä Payment Provider, joka hallinnoi käyttäjän maksutiliä. Tarvitsee yhteyden IdP:hen ja SP:hen. IdP antaa tietoja käyttäjästä attribuutteina Payment Providerille.
Sisältää turvallisuuskysymyksiä, kuten tavanomaiset tietoturvahyökkäykset, saldon ylikuluttamisen tai vaikkapa tietojen muuttamisen prosessissa. Pulmiin on useita ratkaisuja rautatasolla ja softatasolla.
Käyttää SAML-elementtejä ja assertioita.
Voidaan käyttää esimerkiksi mikropayment-pulman ratkaisuun. Ei oikein kiinnosta kaupallisia toimijoita. Ratkaisuksi maksaminen SAML:n yli.
* * *
Ville Tenhunen, “Mobile Signature Services, Authentication and Profile Distribution”
Tämän kirjoittajan oma esitys päättyneestä projektista. Ei muistiinpanoja tässä yhteydessä. Lisätietoja voi pyytää vaikka sähköpostitse.