Federaties in de praktijk

26
Federaties in de praktijk Harold Teunissen SURFnet

description

 

Transcript of Federaties in de praktijk

Page 1: Federaties in de praktijk

Federaties in de praktijk

Harold Teunissen SURFnet

Page 2: Federaties in de praktijk

De SURFfamilie

2

Vraagbundeling sinds 1985 Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel

Instellingen (160)

Klantrelatie

Strategische Aansturing

Page 3: Federaties in de praktijk

Wie is SURFnet?

-  Ontwikkelt en exploiteert het nationale onderzoeksnetwerk voor Hoger Onderwijs en Onderzoek

-  Werkgebied: elektronisch verbinden van mensen, faciliteiten en organisaties

-  100% eigendom van Stichting SURF

-  Not for profit, 80- medewerkers

-  180 aangesloten instellingen, 1 miljoen gebruikers

-  Financiering -  Innovatie door overheid en bedrijfsleven -  Exploitatie kostenverdeelmodel instellingen

3 Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel

Page 4: Federaties in de praktijk

Focusgebieden

4

Netwerkinfrastructuur

Basis voor alle samenwerking

Identity en Trust

Om vertrouwde toegang te verlenen

Grensverleggend Samenwerken

Middellen voor internationale en instellingsoverstijgende samenwerking

Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel

Page 5: Federaties in de praktijk

Federaties in de Praktijk

Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel 5

Page 6: Federaties in de praktijk

Federaties?!

Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel 6

Page 7: Federaties in de praktijk

Gefedereerde Identiteit

-  Een federatie is een collaboration of trust

-  Gebruikers loggen in met eigen credentials bij hun hun instelling om diensten af te nemen bij Service Providers

7 Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel

JISC2007

Page 8: Federaties in de praktijk

Greep uit Instellingen (60+)

Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel 8

Page 9: Federaties in de praktijk

Greep uit Service Providers

9 Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel

Page 10: Federaties in de praktijk

Al last van wachtwoordmoeiheid?

Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel 10

Page 11: Federaties in de praktijk

Federeren: 1 + 1 = 3?

-  Voor eindgebruikers

-  Single Login maar één wachtwoord onthouden

-  Single Sign-on maar één keer inloggen voor toegang

tot instellingsdiensten en daar buiten

-  Voor Identity Providers (de instellingen)

-  Gebruik van de eindgebruiker’s credentials alleen binnen

domein identiteiten en attributen op één plek

-  Reductie overhead bij aansluiten en gebruik van Service

Providers

-  Voor Service Providers

-  In een keer aansluiten van een groep IdPs HO&O

-  Single login en Single Sign-on verlaagt barrieres bij

gebruikers

Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel 11

Page 12: Federaties in de praktijk

Voorbeeld federatieve login

Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel 12

Welkom, Harold Teunissen Logout U bent niet ingelogd. Login …terug

redirect…

SP

Gebruikersnaam

Wachtwoord

harold

IdP

Page 13: Federaties in de praktijk

Federatie Modellen

1-1

IDP SP

n x n

IDP SP

IDP SP

IDP SP

n + n

IDP SP

IDP SP

IDP SP CFC

Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel 13

Page 14: Federaties in de praktijk

Rol van SURFnet

SP IDP SURFfederatie Service

A-Select Cross

A-Select Cross

Shibboleth

SAML 2.0

WS-Fed / ADFS

SAML 2.0

WS-Fed / ADFS

Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel 14

Page 15: Federaties in de praktijk

SURFfederatie en Trust (A) Een technische infrastructuur

SURFnet als Trusted Third Party / central authority

(B) Een set met afspraken (contracten/policies SURFdiensten als licentieorganisatie

-  Trust is omgekeerd evenredig met de grootte van een federatie

15 Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel

Page 16: Federaties in de praktijk

Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel 16

Waar�kom je

vandaan?

Page 17: Federaties in de praktijk

Voorbeeld (1)

Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel 17

Page 18: Federaties in de praktijk

Voorbeeld (2)

Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel 18

Page 19: Federaties in de praktijk

Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel 19

Wat�mag je�

allemaal?

Page 20: Federaties in de praktijk

Attributen

-  Autorisatiekenmerken: naam + waarde(n) Voorbeelden: -  naam: Alex van Buuren!-  organisatie: Universiteit Leiden -  studierichting: Geschiedenis

-  De IdP geeft attributen vrij richting SPs (via de SURFfederatie gateway)

-  NB: Er moet overeenstemming bestaan tussen IdPs en SPs over de gebruikte attributen!

-  NB: Maar er moet langzamerhand ook overeenstemming bestaan tussen IdP en de eindgebruiker over de gebruikte attributen!

20 Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel

Page 21: Federaties in de praktijk

Waarom attributen?

-  Personalisatie

-  Automatische enrollment/provisioning

-  Geen eigen user-account database nodig bij SP

-  Altijd up-to-date

-  Fijnmazige en correctere autorisatie

-  Betere implementatie van licentie voorwaarden

Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel 21

Page 22: Federaties in de praktijk

Waar werken we nu aan?

-  Provisioning en de-provisioning

-  OpenID en OpenID+ voor gastgebruik

-  Cross-layer identity management Zero Sign In

-  User Centric Privacy

-  Identity as a Service en Federation-in-the-Box

-  SURFfederatie als een one-stop-shop voor koppelingen tussen IdPs en SPs

-  Federatie inzetten als enabler voor multi-disciplinaire e-Science onderzoeksinfrastructuren

-  Alle instelling aansluiten op SURFfederatie

Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel 22

Page 23: Federaties in de praktijk

Key Take Aways

-  Eindgebruikers Gemak van Single Login, Single Sign-on

-  Identity Providers Vat op gebruik identiteit binnen domein

-  Service Providers Rechtstreeks toegang tot een grote gebruikerspopulatie

Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel 23

Page 24: Federaties in de praktijk

Q&A

Harold Teunissen [email protected]

Page 25: Federaties in de praktijk

Backup Slides

Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel 25

Page 26: Federaties in de praktijk

Van lokaal naar federaal

Identity & Access Management - 21 April 2010 - Sheraton Amsterdam Airport Hotel 26

Extern

HTTP

LDAP IDP SP

B

Lokaal

DB

HTTP

LDAP

SP

B

Federatief

HTTP

LDAP

SAML (HTTP)

DB

IDP

B

SP

HTTP