ULAKAAI Kimlik Federasyonu

... konulu sunumlar: "ULAKAAI Kimlik Federasyonu"— Sunum transkripti:

1 ULAKAAI Kimlik Federasyonu
Serdar Yiğit ULAKNETÇE 2011

2 Başlıklar Motivasyon Kimlik Doğrulama ve Yetkilendirme
KDY Mekanizmaları Dağıtık Tek Oturum Açma ( SSO ) Kimlik Federasyonu Kavramı ULAKAAI Kimlik Federasyonu ULAKAAI Bileşenleri REFEDs SWITCHaai, UKFederation eduGAIN

3 Motivasyon Gün geçtikçe ULAKNET içindeki çoklu etki alanları arasında çalışan servisler artıyor, artacak. Kütüphane Servisleri Uzaktan Eğitim Servisleri ULAKNET Servisleri ….. Servisler “ULAKNET içerisindeki farklı etki alanları arasında kimlik doğrulama ve yetkilendirme” nasıl gerçekleştirilmeli” Şu anki işleyiş ve özel çözümler Tek oturum açma yöntemi ( SSO ) Federasyon Kavramı

4 Kimlik Doğrulama ve Yetkilendirme
Kullanıcı adı + parola + diğer bilgilerin doğruluğu /etc/passwd rfid kerberos PKI Biometrics One-Time Pass Yetkilendirme Servise erişim yetkisi kontrolü LDAP Radius vb.

5 Kimlik Doğrulama ve Yetkilendirme Mekanizmaları ( Dağıtık )

6 Kimlik Doğrulama ve Yetkilendirme Mekanizmaları (Dağıtık)
Dezavantajları Kullanıcı açısından parola yönetimi Yönetim ve bakım için harcanan işgücü Avantajları “Uygulaması kolay”?

7 Kimlik Doğrulama ve Yetkilendirme Mekanizmaları Tek Oturum Açma ( Single Sign-On)
Kerberos Shibboleth SimpleSAMLphp JBOSS SSO Google Apps SSO Athens Service OpenID

8 Avantajları Dezavantajları
Kimlik Doğrulama ve Yetkilendirme Mekanizmaları Tek Oturum Açma ( Single Sign-On) Avantajları Kullanıcı bilgileri kurum içinde ( Kısmen ) Kullanıcılar açısından parola yönetimi kolay Sistemci açısından kimlik yönetimi kolay İşgücü ve maliyet düşük Dezavantajları Tek bir TOA (SSO) sunucusu kullanmak “Uygulamadaki zorluklar”?!

9 ULAKNET - Tek Oturum Açma

10 “TOA (SSO) - Çoklu etki alanları arasında çalışmak için yeterli mi?!”
Kimlik Doğrulama ve Yetkilendirme Mekanizmaları Tek Oturum Açma ( Single Sign-On) “TOA (SSO) - Çoklu etki alanları arasında çalışmak için yeterli mi?!”

11 Kimlik Federasyonu Kavramı
Belirli bir kural seti, Teknik Standartlar, altında tüm kimlik doğrulama ve yetkilendirme sistemlerinin birlikte çalışabilmesini amaçlar. Böylece ; Farklı altyapıların birlikte çalışabilmesi, Altyapılar arası güvenin sağlanması, Etki alanlarındaki servislerin ağ dışına da açılması, gibi isteklere çözüm getirir.

12 ULAKAAI Kimlik Federasyonu ( Pilot )
ULAKNET içerisindeki kdy sistemlerinin birleşmesini, Elektronik kaynakların ve servislerin tüm etki alanıyla paylaşılabilmesini, sağlamak amacıyla kurulmuş kimlik federasyonudur.

13 ULAKAAI Kimlik Federasyonu

14 ULAKAAI Bileşenleri Teknik Bileşenler Kimlik Sağlayıcılar
Kimlik Doğrulama ( authentication ) Kullanıcı Nitelikleri ( user attributes ) Servis Sağlayıcılar Yetkilendirme ( authorization ) Nitelik Filtreleme ( attribute filtering ) Federasyon Bağlantı Noktası Karşılama Servisi ( Discovery Service ) Metadata Deposu Federasyon KS ve SS Bilgileri

15 ULAKAAI Bileşenleri

16 ULAKAAI Bileşenleri İdari ULAKAAI Yönetim Grubu ULAKAAI İşletim Grubu
Federasyona katılım ( idari işler ) Diğer federasyonlarla ilişkiler ULAKAAI İşletim Grubu Federasyona katılım ( teknik işler ) * Federasyon Politikası * Kural Seti ( Sözleşme ) Kurum ile Federasyon Merkezi arasında imzalanır.

17 ULAKAAI Bileşenleri

18 Federasyonsuz KDY Kimlik Sağlayıcı Servis Sağlayıcı
1) Erişebilir miyim? 2) Yetkin Var mı???? 3) Kullanıcı adı ve Parola Versem? Kimlik Sağlayıcı Servis Sağlayıcı Kullanıcı kimlik ve nitelik bilgileri herkesçe biliniyor Servis Sağlayıcı gereğinden fazla ve ihtiyacından daha az veriye sahip Kurumların değerli bilgileri, servislere dağıtılıyor

19 Federasyonlu Kimlik Sağlayıcı Servis Sağlayıcı
3) Yetkim Var mı? 1) Erişebilir miyim? 2) Yetkin Var mı? Kimlik Sağlayıcı Servis Sağlayıcı 4) Kimlik Bilgileri ve Yetkileri Kullanıcı kimlik bilgileri kurum içerisinde kalıyor Servis Sağlayıcı sadece ihtiyacın olanı biliyor Dağıtılılan nitelikler azalıyor ve daha kontrollü gerçekleşiyor

20 ULAKAAI Federasyon Uygulamaları SAML Protokolü SimpleSAMLphp
Shibboleth Federasyonlar tarafından geliştirilen diğer uygulamalar SAML Protokolü Etki alanları arasında ( KS <-> SS ) kimlik doğrulama ve yetkilendirme verilerinin değişimi için kullanılan XML tabanlı açık standarttır. OASIS tarafından geliştirilmiş Avustralya,Danimarka,Finlandiya,Fransa,Norveç,İsviçre,İsveç,Amerika SAML tabanlı federasyonlar

21 ULAKAAI Pilot Federasyon Uygulamaları SimpleSAMLphp Shibboleth
LDAP, sql, radius vb. modulleri var, Kurulumu ve bakımı kolay, Türkçe kurulum dökümanı hazırlandı. Web geliştirici ekibimiz konuya hakim Free Software Shibboleth SAML destekliyor, Türkçe doküman yok, uygulayan yazarsa seviniriz ;)

22 ULAKAAI Pilot REFEDS Research and Education Federations

23

24 Dünyadaki Kimlik Federasyonları İstatistikler
Dünya Genelinde 30 Federasyon bulunuyor. ( Akademik ) SWITCHaai ( İsviçre Akademik Ağı Genelinde ) Ağustos 2005 ‘ ten bu yana çalışır halde, 300'000 akademik personel (İsviçre Akademik Ağının %96 ‘ sı) 44 Kimlik Sağlayıcı (IDP), 475 Servis Sağlayıcı (SP) Son 12 ayda 10 Milyon oturum açılmış UKFederation ( İngiltere Genelinde ) 30 Ekim 2006 ‘ dan bu yana çalışır halde Üye Kurum Sayısı (Lise ve Üniversiteler dahil) 864 İngiltere Akademik Ağının %90 ‘ ı

25 eduGAIN eduGAIN Federasyonların Federasyonu
eduroam mimarisi gibi, federatif bir yapı, Network tabanlı SSO : eduroam Web/Servis tabanlı SSO : eduGAIN

26 eduGAIN eduGAIN ‘ e Katılım Kural Seti Teknik Standartlar
ULAKAAI katılıyor, üniversiteler ULAKAAI üzerinden dahil oluyor. Avrupa ‘ daki servislerden ULAKNET kullanıcıları da yararlanabiliyor

27 ULAKAAI Pilot ULAKAAI Pilot Aşaması ilerleyen günlerde
Web sitesi Kurulum ve çeviri dökümanları ÇOMÜ ile testler devam ediyor. Testlere katılmak isteyen diğer kurumlar ile bir çalışma grubu oluşturulup çalışmalara devam edilecek.

28 Sorular – Eksikler ?