„Föderáció” változatai közötti eltérés

Innen: KIFÜ Wiki
(létrehozás)
 
(Szerepek)
7. sor: 7. sor:
 
* '''Single Sign-on''': a felhasználónak elég egyszer megadni az azonosító adatait, a többi rendszer automatikusan megszerzi az identitáshoz kötődő információkat. Ez egyrészt kényelmesebb a felhasználónak, másrészt megkönnyíti a több faktoros (pl. smartcard) azonosítási módszerek bevezetését.
 
* '''Single Sign-on''': a felhasználónak elég egyszer megadni az azonosító adatait, a többi rendszer automatikusan megszerzi az identitáshoz kötődő információkat. Ez egyrészt kényelmesebb a felhasználónak, másrészt megkönnyíti a több faktoros (pl. smartcard) azonosítási módszerek bevezetését.
 
== Szerepek ==
 
== Szerepek ==
=== Azonosítás szolgáltatók (Identity Provider, IdP) ===
+
A legtöbb [[:Kategória:Föderációs modellek | föderációs modell]] lehetővé teszi azt, hogy egy intézmény egyszerre több szereppel is részt vegyen egy föderációban.
 +
=== Identitás szolgáltatók (Identity Provider, IdP) ===
 +
A felhasználók adatait az identitás szolgáltató tárolja. Az identitás szolgáltató funkciói:
 +
; Azonosítás
 +
* Felhasználó azonosítása
 +
* Felhasználó azonosítással kapcsolatos információk átadása a tartalomszolgálatóknak (SP)
 +
* Tartalomszolgáltatóktól érkező azonosítási kérések (AuthRequest) feldolgozása
 +
; Attribútumok kiadása
 +
* Felhasználóhoz köthető attribútumok meghatározása
 +
* A tartalomszolgáltató számára hozzáférhető felhasználói adatok átadása a tartalomszolgáltatónak (közvetlenül ill. a felhasználón keresztül)
 +
; Felhasználó menedzsment
 +
* Felvétel / törlés
 +
* Attribútumok, role-ok kezelése
 +
* Jelszó ill. adatmódosítás
 
=== Tartalom / erőforrás szolgáltatók (Service Provider, SP) ===
 
=== Tartalom / erőforrás szolgáltatók (Service Provider, SP) ===
=== Metadata ===
+
A tartalomszolgáltatók védett tartalmakat szolgáltatnak a felhasználók számára. Általában nincsenek közvetlenül a felhasználókhoz kapcsolatos adataik, ezért nem szükséges a felhasználókat adminisztrálniuk sem.
 +
 
 +
A tartalomszolgáltató funkciói (a funkciók föderációs modelltől függően ezektől eltérhetnek):
 +
* azonosított kapcsolat létrehozása az identitás szolgáltató segítségével (általában HTTP átirányítás használatával)
 +
* az identitás szolgáltatótól kapott adatok értelmezése
 +
* az identitás szolgáltatótól kapott adatok alapján meghatározni, hogy a felhasználó jogosult-e a művelet végrehajtására ('''autorizáció''')
 +
=== Metadata adminisztráció ===
 +
A szolgálatókhoz kötődő háttérinformációkat (pl. tanúsítvány, név, scope, stb.) sok esetben a föderációs szoftver számára is elérhetővé kell tenni, ez esetben [[Metadata]] használatáról beszélünk. Adminisztrációja általában központilag történik, és ''push'' vagy ''pull'' módszerrel jut el a föderációba bevont számítógépekhez.
 +
 
 +
Speciális szolgáltatás a [[WAYF | "Where Are You From?" (WAYF)]] szolgáltatás, amely a felhasználó számára lehetőséget ad, hogy az identitás szolgáltatóját kiválassza. Ez a szolgáltatás a föderációs metadata állomány(ok)ra épül.
 +
 
 
== Technológiák ==
 
== Technológiák ==
 
=== SAML ===
 
=== SAML ===

A lap 2007. augusztus 6., 16:59-kori változata

Az Identitás Föderáció olyan intézmények halmaza, amelyek között lehetséges az identitás-információk átadása. Az intézmények - szabályozott keretek között - megbíznak a másik intézmény által kiállított identitás-információkban.

A Föderáció a pont-pont bizalmi kapcsolati modell általánosítása. Ekkor nem szükséges egy intézménynek minden egyes társintézménnyel külön megállapodást kötnie, hanem a szövetséghez csatlakozással automatikusan létrejön közöttük a lehetőség az identitás-információk átadására. Általában lehetőség van arra, hogy egy intézmény több Föderációhoz is kapcsolódjon, ill. külön bilaterális megállapodásai legyenek.

Célja

A föderációk célja, hogy az identitás információk egyébként autonóm rendszerek között átjárhatók legyenek. Ez a következő előnyökkel járhat:

  • redundáns felhasználó-adminisztráció elkerülése: az identitáshoz kapcsolódó adatoknak elegendő egy helyen rendelkezésre állni; nem kell "idegen", "külsős" felhasználókat felvenni az intézményi adatbázisba
  • Single Sign-on: a felhasználónak elég egyszer megadni az azonosító adatait, a többi rendszer automatikusan megszerzi az identitáshoz kötődő információkat. Ez egyrészt kényelmesebb a felhasználónak, másrészt megkönnyíti a több faktoros (pl. smartcard) azonosítási módszerek bevezetését.

Szerepek

A legtöbb föderációs modell lehetővé teszi azt, hogy egy intézmény egyszerre több szereppel is részt vegyen egy föderációban.

Identitás szolgáltatók (Identity Provider, IdP)

A felhasználók adatait az identitás szolgáltató tárolja. Az identitás szolgáltató funkciói:

Azonosítás
  • Felhasználó azonosítása
  • Felhasználó azonosítással kapcsolatos információk átadása a tartalomszolgálatóknak (SP)
  • Tartalomszolgáltatóktól érkező azonosítási kérések (AuthRequest) feldolgozása
Attribútumok kiadása
  • Felhasználóhoz köthető attribútumok meghatározása
  • A tartalomszolgáltató számára hozzáférhető felhasználói adatok átadása a tartalomszolgáltatónak (közvetlenül ill. a felhasználón keresztül)
Felhasználó menedzsment
  • Felvétel / törlés
  • Attribútumok, role-ok kezelése
  • Jelszó ill. adatmódosítás

Tartalom / erőforrás szolgáltatók (Service Provider, SP)

A tartalomszolgáltatók védett tartalmakat szolgáltatnak a felhasználók számára. Általában nincsenek közvetlenül a felhasználókhoz kapcsolatos adataik, ezért nem szükséges a felhasználókat adminisztrálniuk sem.

A tartalomszolgáltató funkciói (a funkciók föderációs modelltől függően ezektől eltérhetnek):

  • azonosított kapcsolat létrehozása az identitás szolgáltató segítségével (általában HTTP átirányítás használatával)
  • az identitás szolgáltatótól kapott adatok értelmezése
  • az identitás szolgáltatótól kapott adatok alapján meghatározni, hogy a felhasználó jogosult-e a művelet végrehajtására (autorizáció)

Metadata adminisztráció

A szolgálatókhoz kötődő háttérinformációkat (pl. tanúsítvány, név, scope, stb.) sok esetben a föderációs szoftver számára is elérhetővé kell tenni, ez esetben Metadata használatáról beszélünk. Adminisztrációja általában központilag történik, és push vagy pull módszerrel jut el a föderációba bevont számítógépekhez.

Speciális szolgáltatás a "Where Are You From?" (WAYF) szolgáltatás, amely a felhasználó számára lehetőséget ad, hogy az identitás szolgáltatóját kiválassza. Ez a szolgáltatás a föderációs metadata állomány(ok)ra épül.

Technológiák

SAML

TODO

Liberty Alliance

TODO

WS-Federation

TODO

OpenID

TODO

Ügyfélkapu

TODO

Szabályozás

A lazán csatolt modellek (pl. az OpenID) nem igényelnek központi szabályozást, de a magasabb biztonság-igényű, nagy bizalmat igénylő modellek esetén szükséges az, hogy a föderációban résztvevő intézmények kidolgozzák (esetleg szerződésbe is foglalják) az együttműködés feltételeit.

A megállapodás pl. az alábbi területeket érintheti

  • Felhasználó-kezelés (pl. lejárt azonosítók inaktívvá tétele, password policy)
  • Felhasználói adatok védelme (privacy követelmények)
  • Felhasználó-azonosítási technológiák, ezek elnevezése
  • Scope-ok kiosztása
  • Felhasználói attribútumok használatának a feltételei (pl. milyen feltételekkel mondhatja egy intézmény XY-ról, hogy ő egy oktató?)
  • Metadata információk karbantartása
  • Új intézmény csatlakozásának feltételei (IdP, ill. SP szerepben)
  • Audit, nemmegfelelőségi szankciók
  • Költségviselés szabályai
  • stb.