ULAKAAI Kimlik Federasyonu Serdar Yiğit ULAKNETÇE 2011
Başlıklar Motivasyon Kimlik Doğrulama ve Yetkilendirme KDY Mekanizmaları Dağıtık Tek Oturum Açma ( SSO ) Kimlik Federasyonu Kavramı ULAKAAI Kimlik Federasyonu ULAKAAI Bileşenleri REFEDs SWITCHaai, UKFederation edugain
Motivasyon Gün geçtikçe ULAKNET içindeki çoklu etki alanları arasında çalışan servisler artıyor, artacak. Kütüphane Servisleri Uzaktan Eğitim Servisleri ULAKNET Servisleri.. Servisler ULAKNET içerisindeki farklı etki alanları arasında kimlik doğrulama ve yetkilendirme nasıl gerçekleştirilmeli Şu anki işleyiş ve özel çözümler Tek oturum açma yöntemi ( SSO ) Federasyon Kavramı
Kimlik Doğrulama ve Yetkilendirme Kimlik Doğrulama Kullanıcı adı + parola + diğer bilgilerin doğruluğu /etc/passwd rfid kerberos PKI Biometrics One-Time Pass Yetkilendirme Servise erişim yetkisi kontrolü LDAP Radius vb.
Kimlik Doğrulama ve Yetkilendirme Mekanizmaları ( Dağıtık )
Kimlik Doğrulama ve Yetkilendirme Mekanizmaları (Dağıtık) Dezavantajları Kullanıcı açısından parola yönetimi Yönetim ve bakım için harcanan işgücü Avantajları Uygulaması kolay?
Kimlik Doğrulama ve Yetkilendirme Mekanizmaları Tek Oturum Açma ( Single Sign-On) Kerberos Shibboleth SimpleSAMLphp JBOSS SSO Google Apps SSO Athens Service OpenID
Kimlik Doğrulama ve Yetkilendirme Mekanizmaları Tek Oturum Açma ( Single Sign-On) Avantajları Kullanıcı bilgileri kurum içinde ( Kısmen ) Kullanıcılar açısından parola yönetimi kolay Sistemci açısından kimlik yönetimi kolay İşgücü ve maliyet düşük Dezavantajları Tek bir TOA (SSO) sunucusu kullanmak Uygulamadaki zorluklar?!
ULAKNET - Tek Oturum Açma
Kimlik Doğrulama ve Yetkilendirme Mekanizmaları Tek Oturum Açma ( Single Sign-On) TOA (SSO) - Çoklu etki alanları arasında çalışmak için yeterli mi?!
Kimlik Federasyonu Kavramı Kimlik Federasyonu ; Belirli bir kural seti, Teknik Standartlar, altında tüm kimlik doğrulama ve yetkilendirme sistemlerinin birlikte çalışabilmesini amaçlar. Böylece ; Farklı altyapıların birlikte çalışabilmesi, Altyapılar arası güvenin sağlanması, Etki alanlarındaki servislerin ağ dışına da açılması, gibi isteklere çözüm getirir.
ULAKAAI Kimlik Federasyonu ( Pilot ) ULAKAAI ULAKNET içerisindeki kdy sistemlerinin birleşmesini, Elektronik kaynakların ve servislerin tüm etki alanıyla paylaşılabilmesini, sağlamak amacıyla kurulmuş kimlik federasyonudur.
ULAKAAI Kimlik Federasyonu
ULAKAAI Bileşenleri Teknik Bileşenler Kimlik Sağlayıcılar Kimlik Doğrulama ( authentication ) Kullanıcı Nitelikleri ( user attributes ) Servis Sağlayıcılar Yetkilendirme ( authorization ) Nitelik Filtreleme ( attribute filtering ) Federasyon Bağlantı Noktası Karşılama Servisi ( Discovery Service ) Metadata Deposu Federasyon KS ve SS Bilgileri
ULAKAAI Bileşenleri
ULAKAAI Bileşenleri İdari ULAKAAI Yönetim Grubu Federasyona katılım ( idari işler ) Diğer federasyonlarla ilişkiler ULAKAAI İşletim Grubu Federasyona katılım ( teknik işler ) * Federasyon Politikası * Kural Seti ( Sözleşme ) Kurum ile Federasyon Merkezi arasında imzalanır.
ULAKAAI Bileşenleri
Federasyonsuz KDY Kimlik Sağlayıcı Servis Sağlayıcı Kullanıcı kimlik ve nitelik bilgileri herkesçe biliniyor Servis Sağlayıcı gereğinden fazla ve ihtiyacından daha az veriye sahip Kurumların değerli bilgileri, servislere dağıtılıyor
Federasyonlu Kimlik Sağlayıcı 4) Kimlik Bilgileri ve Yetkileri Servis Sağlayıcı Kullanıcı kimlik bilgileri kurum içerisinde kalıyor Servis Sağlayıcı sadece ihtiyacın olanı biliyor Dağıtılılan nitelikler azalıyor ve daha kontrollü gerçekleşiyor
ULAKAAI Federasyon Uygulamaları SimpleSAMLphp Shibboleth Federasyonlar tarafından geliştirilen diğer uygulamalar SAML Protokolü Etki alanları arasında ( KS <-> SS ) kimlik doğrulama ve yetkilendirme verilerinin değişimi için kullanılan XML tabanlı açık standarttır. OASIS tarafından geliştirilmiş Avustralya,Danimarka,Finlandiya,Fransa,Norveç,İsviçre,İs veç,amerika SAML tabanlı federasyonlar
ULAKAAI Pilot Federasyon Uygulamaları SimpleSAMLphp LDAP, sql, radius vb. modulleri var, Kurulumu ve bakımı kolay, Türkçe kurulum dökümanı hazırlandı. Web geliştirici ekibimiz konuya hakim Free Software Shibboleth SAML destekliyor, Türkçe doküman yok, uygulayan yazarsa seviniriz ;)
ULAKAAI Pilot REFEDS Research and Education Federations
Dünyadaki Kimlik Federasyonları İstatistikler Dünya Genelinde 30 Federasyon bulunuyor. ( Akademik ) SWITCHaai ( İsviçre Akademik Ağı Genelinde ) Ağustos 2005 ten bu yana çalışır halde, 300'000 akademik personel (İsviçre Akademik Ağının %96 sı) 44 Kimlik Sağlayıcı (IDP), 475 Servis Sağlayıcı (SP) Son 12 ayda 10 Milyon oturum açılmış UKFederation ( İngiltere Genelinde ) 30 Ekim 2006 dan bu yana çalışır halde Üye Kurum Sayısı (Lise ve Üniversiteler dahil) 864 İngiltere Akademik Ağının %90 ı
edugain edugain Federasyonların Federasyonu eduroam mimarisi gibi, federatif bir yapı, Network tabanlı SSO : eduroam Web/Servis tabanlı SSO : edugain
edugain edugain e Katılım Kural Seti Teknik Standartlar ULAKAAI katılıyor, üniversiteler ULAKAAI üzerinden dahil oluyor. Avrupa daki servislerden ULAKNET kullanıcıları da yararlanabiliyor
ULAKAAI Pilot ULAKAAI Pilot Aşaması ilerleyen günlerde Web sitesi http://aai.ulak.net.tr Kurulum ve çeviri dökümanları ulakaai@ulakbim.gov.tr ÇOMÜ ile testler devam ediyor. Testlere katılmak isteyen diğer kurumlar ile bir çalışma grubu oluşturulup çalışmalara devam edilecek.
Sorular Eksikler?