Post on 18-Dec-2014
description
Een pilot met OpenID in onderwijsfederaties
Kijk mam - zonder wachtwoord!
Joost van Dijk, SURFnetDé Onderwijsdagen 2009,11 november 2009
!"##$%&"'$#()"#)*+",-.&".$#()
/0+1%%1&"2.%#"34".5)
6"78#-'-(9):7-2;#()
<"+.2$5%),".5"##$#()
=11'+11.*8"$&%%32&$"%)
"#))>$'-3%)
:;02'"."#)?0@'"0"#31;")"#)
<"+.2$5)
A$"#%3)B#34$55"'$#()
C2$'&$#(+'-75%D)?#3".-@".1+$'$3"$3)"#)B@"#)
Innovatiefase
!"#$%&
!!&'%()*+#)+&),&-#(#,&
!!&.(#,/#-001&
1%$#,2#(3#,&
!!&4%,5600(2%%(5#,&
3
Inhoud
- Wat is authenticatie?
- Wat is OpenID?
- Wat is een federatie?- Entree- SURFfederatie
- OpenID vs Federatie
- Pilots:- Inloggen met OpenID bij SURFnet- Inloggen met je instellingsaccount bij OpenID sites
- Pros & Cons
Authenticatie
4
Wiebenje?
5
Wachtwoordmoeheid
Gedistribueerd
DB
IDP
B
SP
6
Identity / Service Providers
Lokaal
DB
Extern
IDPSP
B
SP
B
8
Voordelen
- Voor gebruikers:- Single Login - maar één wachtwoord onthouden- Single Sign-on - maar één keer inloggen
- Voor IDPs:- gebruik credentials maar op één plek
- Voor SPs:- Schaalbaarheid: User-account database, registratie- Integriteit: Synchronisatie, up-to-date- Kostenbesparing: Infrastructuur en support (!)- Single Login, Single Sign-on: geen barrière voor
gebruikers
9
Wat is OpenID?
- Inloggen bij een Service Provider, ...door te authenticeren bij een Identity Provider
- Gebruik een URL i.p.v. een gebruikersnaam,bijvoorbeeld: http://joost.myopenid.com
- Authenticeren = “bewijs” dat de URL “van jou” is
- extra’s: Single Sign On, user consent
- NB: OpenID hanteert andere terminologie:- OpenID Provider i.p.v. Identity Provider- Relying Party i.p.v. Service Provider
Federatie?
12
Federaties
- SURFfederatie en Entree zijn voorbeelden van (Identity) Federaties
- Een federatie bestaat uit:- (A) een technische infrastructuur- (B) een set met afspraken (contracten/policies)
- De afspraken zorgen ervoor dat SPs de informatie van IDPs vertrouwen
- SURFnet en Kennisnet treden op als Trusted Third Party binnen resp. SURFfederatie en Entree
13
SURFfederatie: Identity Providers
14
SURFfederatie: Service Providers
15
Federatie vs OpenID
Federatie OpenID
Vertrouwen
gemeenschap
IDP discovery
Protocol
Beveiliging
Bron van informatie
+ -
gesloten open
WAYF service op basis van URL
SAML, WS-Federation, A-Select
OpenID
+ +/-
IDP Gebruiker
IDP Discovery
16
Whereareyoufrom?
(C) 2007-2009 SURFnet B.V.19
Federatie: Attributen
- Autorisatiekenmerken: naam + waarde(n)
Voorbeelden:- naam: Jan Janssen- organisatie: Universiteit Leiden- studierichting: Rechtsgeleerdheid
- De IDP geeft attributen vrij richting SPs
- Bij OpenID wordt om toestemming gevraagd aan de gebruiker voordat informatie wordt vrijgegeven (user consent)
20
22
Pilots
- Inloggen met je instellingsaccount bij OpenID sites- bijvoorbeeld: inloggen bij Plaxo via http://openid.tudelft.surfnet.nl/peter
- Inloggen bij SURFnet met je OpenID- bijvoorbeeld: inloggen bij SURFmedia met je
OpenID van Google
23
OpenID Gateway
IDP
IDP SP
IDP SP
SP
SP
SP
Federatie OpenID
Gateway
IDP
IDP
IDP
- Inloggen met je instellingsaccount bij OpenID sites- bijvoorbeeld: inloggen bij Plaxo via http://openid.tudelft.surfnet.nl/peter
(C) 2007-2009 SURFnet B.V.24
User Consent
(C) 2007-2009 SURFnet B.V.25
IDP Select
28
OpenID Gateway
Gateway
IDP SP
IDP SP
SP
SP
SP
FederatieOpenID
IDP
IDP
IDP
SP
X
X
- Inloggen bij SURFnet met je OpenID- bijvoorbeeld: inloggen bij SURFmedia met je OpenID
van Google inloggen
32
Pilots: Pros & Cons
- Pros:- Single Sign On naar OpenID sites
(Kijk mam, geen wachtwoord!)
- Cons:- Afstudeerd? Geen toegang meer!
- oplossing (?): delegation- Geen betrouwbare gegevens
- Volgend jaar: pilot OpenID+
33
Joost van Dijkjoost.vandijk@surfnet.nl
www.surfnet.nl
Contact