2007 IT Arkitekt Søren Peter Nielsen
!
" #$! %
& & '() *
Links og Clipping - Bruger überportal Anonym bruger Myndighedsportal A Myndighedsportal B
Links og Clipping - Bruger überportal Login? Login? Med Login Myndighedsportal A Myndighedsportal B
Links og Clipping - Bruger De eksisterende anbefalinger om tværgående brugerstyring understøtter SSO for dette scenarie såvel som muligheden for at vælge mellem login-metoder, fx - Digital Signatur - Pinkoder überportal Arkitekturen understøtter også en række privacy-tiltag hvis det ønskes, fx forskellige id er for brugeren i de forskellige løsninger Myndighedsportal A Myndighedsportal B
Links og Clipping Vejviser - Bruger überportal og Vejviser Loginservice (IdP) Identity Provider (IdP) Service Provider (SP) Med Login og SSO Myndighedsportal A Myndighedsportal B
) + $ $,) +! $ &- &-$ $ '*.'/&-/&-* 0 1 2 $! 3 % / &$ 4/&- / 2
5/+!& Step 1: User starts at the portal and is guided Vejviser through the selection of an IdP and SP Step 2: User is directed to Login - Internal re-direct Step 3: User authenticates IdP To the IdP and gets session cookie as well as common domain cookie c Saml_idp Step 4:Signed and Encrypted SAML assertion with user identity and attributes is sent to SP with POST binding SP n
Step 2: The SP reads which IdP the user has logged into from the common domain cookie, and redirects the user to that IdP with AuthNRequest c Vejviser c Saml_idp IdP n Step 3: The IdP reads the session cookie (or similar) and determines that the user is already logged in and signed and encrypted SAML assertion w user id and attributes is sent to SP with POST binding Step 1: User starts at any SP Saml_idp SP n
5 4!!. 6" 4 7773 3 $)!$ &!$ 0 4) 0 / 2 $ $7/"! & $3" 6"839:; 5 ;.$ $ /2 6"839 6"/"</ /=!
6 $ $> $? ) ) $/ /. $ /, "!
En Attributservice er ikke en Rettighedskomponent En attributservice er ikke en full-blown rettighedskomponent, men en beholder for attributter, der vitterlig har fælles betydning fx tværgående fuldmagter og andre fælles attributter. IT-løsninger der ikke kræver stor sikkerhed, eller som har en meget simpel adgangspolitik hvor tilladelse til adgang kan afgøres af en given attribut - vil kunne forlade sig på kataloget med hensyn til administration af rettigheder. De fleste offentlige it-løsninger, vil imidlertid have behov for mere granulær autorisation end hvad fælles attributter kan give. Dette er illustreret på vedhæftede figur, hvor ellipsen viser hvilken del af autorisationsspektret, som en attributservice kan understøtte.
Overførsel af bruger attributter Der er tre primære (og kombinerbare) måder at en attributservice kan anvendes sammen med login-servicen - Borger - Privat ansat - Offentligt ansat Web Loginservice Katalog med Fælles Roller + andre fælles attributter Digital Evt. nuværende Signatur pin-koder ID + attributter Adgangspolitikker og evt. konti for eksterne brugere A) Efter login overføres brugerens ID og fælles attributter til it-løsningen, som anvender attributterne til autorisation i samspil med eget rettighedsstyringssystem - Borger - Privat ansat - Offentligt ansat Web Loginservice Katalog med Fælles Roller + andre fælles attributter Digital Evt. nuværende Signatur pin-koder ID Forespørgsel attributter Adgangspolitikker og evt. konti for eksterne brugere B) Efter login overføres brugerens ID til it-løsningen. It-løsningen forespørger på et senere tidspunkt om brugeren besidder en eller flere fælles attributter. - Borger - Privat ansat - Offentligt ansat Web Loginservice Katalog med Fælles Roller + andre fælles attributter Digital Evt. nuværende Signatur pin-koder ID + attributter Adgangspolitikker C) Efter login overføres brugerens ID og fællesattributter til it-løsningen, som via dette har fået al nødvendig information vedrørende autenticitetssikring og autorisation.
$ /6" 839 / $ $
& & '() *
&: & überportal WSRP Composition - Bruger Webservice Webservice Webservice WSRP Identitet? Myndighedsportal A Service B Identitet? Service C Identitet?
.$! Figur er lånt fra præsentation om Shibboleth-WS vs. WS-Shibboleth vs. SAML 2.0 SSO with Constrained Delegation by Francisco Pinto and Christian Fernau, 14 november 2005
! 6"! 8! Figur er lånt fra præsentation om Shibboleth-WS vs. WS-Shibboleth vs. SAML 2.0 SSO with Constrained Delegation by Francisco Pinto and Christian Fernau, 14 november 2005
<$4 2 4! $ 4 " $) )#$ %7 '.!#%*
#.!#%> 7 ) $#$ @ A ( )!$#$ 7 & B )'336) : * :$ & - ) &!$ $ ; $' ) )*3
FFGG # ) > ( ) ) ) )( &!$7$ 7) )$) 7 )$7 /33 C$(D 7 E!$E 7 ) C&)D 77)$ 7 ) $
.!#%0 7: #$ : '#:*) )/ )!$ #$ & '#&*) )/ )!$. '.* ( $7 7 )!$ $ /7 $ )33.!&&.!5)&. ) '.*% $; ) )!$ '*7#&$ A )3 '* &.!#%) '&.!%%*3
FFGG : $76"8@#% 6"8$$.!#% & 7 $. &#:.!#% '* & &C6"8! D '!7$* 6"8 $ :. #% 76" $ ) $7#%
6"8.!#% SAML2: The SP uses SAML2 to obtain the identity credential for Jane. SP/WSC WSP WSP ID-WSF: The SP (acting as a WSC) uses IF-WSF to invoke services at the WSPs on Jane s behalf.. SAML2 IdP DS ID-WSF
Charge $5,235.03 Transaction Approved Ask Jane if. Is OK? Jane says it s OK. Buy some electronics CoolToys.com Hey, CoolToys.com wants to. Is this OK? Jane using a browser Yes, that s fine. Interaction Svc Hmm Jane s rules say that if the charge is over $300 to confirm with her Wallet
<. $ $ 2 $ $ 6" H ) #&: $ $ 3" $) ) #$ %7 $ 4 " $)#!I4 $ /(#!.#!J.!#%
F>G
1 0" 4 >
K!" 44 8! 44 L! 12 44 M! 62 44 $ $ N / )
/( K0 ( /: " 44 80 (< 44 L0 (. 12 44 M0 (%/< 2 /3 62 44 + $ 3. 1 O.5$! 2 3.$ 3