Føderal brugerstyring og SSO Morten Strunge Nielsen 23. september 2010
Brugere bliver gns. provisioneret i 16 systemer og de-provisioneret i 10 Gns. bruger anvender 16 minutter pr. dag på login 38% af brugerne genbruger deres passwords; 18% skriver dem ned Helpdesk en bruger 1/3 af deres dag på banal brugeradministration
Dagens løsninger til SSO Kerberos/NTLM (direkte AD-integration): Vaskeægte SSO (et enkelt brugerlogin) Kræver at alle forstår Active Directory sk Fungerer i realiteten kun på LAN Er en dyr (og i realiteten umulig) opgave Kan ikke håndteres af tilnærmelsesvis alle applikationsleverandører Giver udfordringer, hvis man har mere end en Active Directory forest Provisioning (indirekte directory-integration): Et login i hver applikation (dog med samme brugernavn og password) Provisioning har mange, velkendte og veldokumenterede begrænsninger, såsom Kollisioner ved kopiering af brugere/brugernavne Udfordringer med kopiering af roller og attributter Herunder ikke mindst konvertering mellem forskellige formater samt håndtering af unikke nøgler Replikering af passwordskift Håndtering af passwords til nye systemer (og brugere) Brugere kan ikke forstå tidsforsinkelserne Ikke mere sikker end den svageste applikation (der er en kopi af alle brugernes passwords i alle applikationerne!) Og dem er der altid mere end en af! Er stærkt problematisk udenfor sikrede miljøer (LAN er ikke nok!) pga overførsel af passwords En meget dyr løsning i relation til implementering og drift
Den nye løsning til SSO: Føderation ( fødereret identitet ) Føderation: Vaskeægte SSO (et enkelt brugerlogin) Er stort set tilgængeligt fra alle computerplatforme allerede nu, da baseret på industristandarder (SAML 2.0 og WS-Federation) Bygget til internet-brug Fungerer både med webapplikationer og web services Er relativt prisbilligt og meget hurtigt at implementere Leverer ægte single sign-on Samme identitet på tværs af web en! Autentificering på tværs af organisationer Autentificering til cloud-baserede tjenester Ingen ekstra logins, da login til AD bliver genbrugt!
Hvordan fungerer det?
Føderation er baseret på tokens Token: En datastruktur som viser og beviser hvem man taler med. P.t. en XML-formatteret samling af attributter (claims) Claim: Et udsagn, som bliver afgivet af et subjekt omkring et andet subjekt Email-adresse CPR nr. Roller... Føderation er infrastrukturen til udveksling af claims mellem flere uafhængige parter Udsteder af tokens: STS (Security Token Service) Forbruger af tokens: Applikation
Fødereret login på tværs af to organisationer Partnerorganisationens sikkerhedsdomæne Applikationsleverandørens sikkerhedsdomæne Active Directory ADFS-server (Security Token Service) ADFS-server (Security Token Service) ` Intern klient Fagapplikation (Web-applikation)
Fødereret login på tværs af to organisationer Applikationen 1. Bruger ankommer til applikation (ej autenticeret) 2. Bruger bliver sendt videre til SP en 7. Claims I token afgør adgang til site SP (Service Provider) 3. Bruger bliver videresendt til IdP til autenticering 5. Token bliver overgivet til ADFS af brugeren 6. ADFS validerer token IdP (Identity Provider) 4. Brugeren autenticeres
Microsoft ADFS er et oplagt valg
ADFS har ingen oplagte svage punkter Det er ikke nødvendigt at skrive en eneste kodelinje i.net til autentificering Autorisering er blot et spørgsmål om at benytte.net Framework s isinrole-funktion Ingen performancemæssige udfordringer En almindelig webserver kan håndtere 50-100 logins pr. sek. Sætter flere servere op og load balancer mellem dem, når behov for mere performance eller oppetidssikring ADFS passer ind i en Microsoft-baseret infrastruktur ADFS er exceptionelt billig, da del af Windows Server Billigste konkurrerende kommercielle implementering koster ca. 10 gange mere pr. server Dyreste konkurrent tager ca. 100 gange mere pr. server! Mange af konkurrenterne kræver også en pris pr. bruger..
AD FS 2.0 opfylder de danske krav IT og Telestyrelsen satser på SAML 2.0 tokens SAML 2.0 protokollen til webapplikationer Speciel dansk OIO WS-Trust Profile til web services (WS Trust-baseret profil) AD FS 2.0 SAML 1.1 og SAML 2.0 tokens Webapplikationer og web services WS Trust, WS-Federation såvel som SAML 2.0-protokollen
ADFSv1 Danmarks Miljøportal Se referencehistorie på Globeteams webside Den første store SSO-løsning herhjemme og formentlig stadig den mest avancerede! Mere end 20 organisationer og ca. 40 applikationer tilsluttet via føderation Implementeret 2006/2007 pga kommunereformen Sygeforsikringen Danmark SSO til alle deres interne systemer, inkl. mainframe Flere mindre løsninger Fx MOCH til elearning via internettet
ADFSv1 Miljøportalen har p.t. følgende føderationspartnere: Bornholm Kommune Gentofte Kommune Herning Kommune Hjørring Kommune Holbæk Kommune Horsens Kommune Næstved Kommune Odense Kommune Ringkøbing Skjern Kommune Silkeborg Kommune Slagelse Kommune Stevns Kommune Vejle Kommune Århus Kommune Geodata Miljøministeriet Danmarks Miljøundersøgelser Region Syddanmark
AD FS 2.0 (frigivet i starten af maj 2010) Domstolsstyrelsen har kørt drift på det siden januar 2010 Referencehistorie på Globeteams webside Har udviklet en skræddersyet løsning til Sundhedsstyrelsen Se referencehistorie på Globeteams webside PoC med IT- og Telestyrelsen omkring den nye danske web service-standard (OIOIDWS) Migrering af Danmarks Miljøportal næsten tilendebragt Implementeret hos en række andre organisationer og virksomheder til Extranet-løsninger
Applikationerne Vi kan klare næsten alt på alle platforme Det kunne vi faktisk også på ADFSv1, selvom den strengt taget var begrænset til.net Framework-baserede webapplikationer Kørende løsninger på ADFSv1-platformen: Java webapplikationer såvel som web services.net Framework web services SiteMinder ASP3 Mainframe-løsning Vi har bygget forskellige værktøjer til at håndtere applikationer med egen brugerdatabase. Håndteres ved hjælp af on-the-fly synkronisering af brugere og roller mod den lokale database Det er heldigvis blevet lidt nemmere med AD FS 2.0, da der nu er indbygget støtte af web services og lidt større fleksibilitet
De primære forretningsmæssige argumenter
Føderation er Løsningen på ledelsens ønske om Partnering Forbedret fleksibilitet i forhold til sammenlægninger og opsplitninger Større dynamik i applikationsporteføljen Løsningen på brugernes ønske om et enkelt login til alle applikationer Uanset om det er på Intranet eller Internet!
For IT-afdelingen er føderation Bedre Intet bøvl med flere brugernavne og passwords Hurtigere logintider Fleksibilitet i forhold til computerplatforme og web browsere Høj sikkerhed Billigere Færre opkald omkring brugernavne/passwords Lettere integration af applikationer og directory services Mindre designarbejde og mere fleksibilitet for arkitekten (og udvikleren ) Meget mindre kodeskrivning og fuldstændig samme kodebiblioteker for udvikleren Webapplikationer og web services
..og reelt slet ikke til at komme udenom Positiv nyskabelse til webapplikationer Eliminerer behov for at bruge passwords henover linjen (samt huske forskellige brugernavne) Standardiserer udvekslingen af identitetsinformationer Afgørende nødvendighed til web services, hvis man skal kunne tilfredsstille alle krav til sikkerhed Hvordan skal man ellers kunne videregive brugerens kontekst, når man kalder videre? Passer som fod i hose med cloud services Uanset om det gælder Google eller Microsoft..
Den superkorte version ADFS (og føderation) er ikke en ny teknisk løsning, der leder efter et behov Det er derimod en løsning, der langt om længe er i stand til at opfylde en række behov Og endda fuldt ud og uden en hel masse snærende begrænsninger! ADFS leverer noget så sjældent for infrastrukturløsninger som forøget forretningsmæssig nytte Herunder ikke mindst agilitet ADFS er exceptionelt billigt i anskaffelse ADFS kræver ingen ændringer af infrastrukturen Kan integrere med alle versioner af Active Directory Meget overskueligt at integrere applikationer mod Vaskeægte single sign-on (et login og så er du på!) Stærk sikkerhed