ULAKAAI Kimlik Federasyonu Serdar Yiğit ULAKNETÇE 2011

Başlıklar Motivasyon Kimlik Doğrulama ve Yetkilendirme KDY Mekanizmaları Dağıtık Tek Oturum Açma ( SSO ) Kimlik Federasyonu Kavramı ULAKAAI Kimlik Federasyonu ULAKAAI Bileşenleri REFEDs SWITCHaai, UKFederation eduGAIN

Motivasyon Gün geçtikçe ULAKNET içindeki çoklu etki alanları arasında çalışan servisler artıyor, artacak. Kütüphane Servisleri Uzaktan Eğitim Servisleri ULAKNET Servisleri ….. Servisler “ULAKNET içerisindeki farklı etki alanları arasında kimlik doğrulama ve yetkilendirme” nasıl gerçekleştirilmeli” Şu anki işleyiş ve özel çözümler Tek oturum açma yöntemi ( SSO ) Federasyon Kavramı

Kimlik Doğrulama ve Yetkilendirme Kullanıcı adı + parola + diğer bilgilerin doğruluğu /etc/passwd rfid kerberos PKI Biometrics One-Time Pass Yetkilendirme Servise erişim yetkisi kontrolü LDAP Radius vb.

Kimlik Doğrulama ve Yetkilendirme Mekanizmaları ( Dağıtık )

Kimlik Doğrulama ve Yetkilendirme Mekanizmaları (Dağıtık) Dezavantajları Kullanıcı açısından parola yönetimi Yönetim ve bakım için harcanan işgücü Avantajları “Uygulaması kolay”?

Kimlik Doğrulama ve Yetkilendirme Mekanizmaları Tek Oturum Açma ( Single Sign-On) Kerberos Shibboleth SimpleSAMLphp JBOSS SSO Google Apps SSO Athens Service OpenID

Avantajları Dezavantajları Kimlik Doğrulama ve Yetkilendirme Mekanizmaları Tek Oturum Açma ( Single Sign-On) Avantajları Kullanıcı bilgileri kurum içinde ( Kısmen ) Kullanıcılar açısından parola yönetimi kolay Sistemci açısından kimlik yönetimi kolay İşgücü ve maliyet düşük Dezavantajları Tek bir TOA (SSO) sunucusu kullanmak “Uygulamadaki zorluklar”?!

ULAKNET - Tek Oturum Açma

“TOA (SSO) - Çoklu etki alanları arasında çalışmak için yeterli mi?!” Kimlik Doğrulama ve Yetkilendirme Mekanizmaları Tek Oturum Açma ( Single Sign-On) “TOA (SSO) - Çoklu etki alanları arasında çalışmak için yeterli mi?!”

Kimlik Federasyonu Kavramı Belirli bir kural seti, Teknik Standartlar, altında tüm kimlik doğrulama ve yetkilendirme sistemlerinin birlikte çalışabilmesini amaçlar. Böylece ; Farklı altyapıların birlikte çalışabilmesi, Altyapılar arası güvenin sağlanması, Etki alanlarındaki servislerin ağ dışına da açılması, gibi isteklere çözüm getirir.

ULAKAAI Kimlik Federasyonu ( Pilot ) ULAKNET içerisindeki kdy sistemlerinin birleşmesini, Elektronik kaynakların ve servislerin tüm etki alanıyla paylaşılabilmesini, sağlamak amacıyla kurulmuş kimlik federasyonudur.

ULAKAAI Kimlik Federasyonu

ULAKAAI Bileşenleri Teknik Bileşenler Kimlik Sağlayıcılar Kimlik Doğrulama ( authentication ) Kullanıcı Nitelikleri ( user attributes ) Servis Sağlayıcılar Yetkilendirme ( authorization ) Nitelik Filtreleme ( attribute filtering ) Federasyon Bağlantı Noktası Karşılama Servisi ( Discovery Service ) Metadata Deposu Federasyon KS ve SS Bilgileri

ULAKAAI Bileşenleri

ULAKAAI Bileşenleri İdari ULAKAAI Yönetim Grubu ULAKAAI İşletim Grubu Federasyona katılım ( idari işler ) Diğer federasyonlarla ilişkiler ULAKAAI İşletim Grubu Federasyona katılım ( teknik işler ) * Federasyon Politikası * Kural Seti ( Sözleşme ) Kurum ile Federasyon Merkezi arasında imzalanır.

ULAKAAI Bileşenleri

Federasyonsuz KDY Kimlik Sağlayıcı Servis Sağlayıcı 1) Erişebilir miyim? 2) Yetkin Var mı???? 3) Kullanıcı adı ve Parola Versem? Kimlik Sağlayıcı Servis Sağlayıcı Kullanıcı kimlik ve nitelik bilgileri herkesçe biliniyor Servis Sağlayıcı gereğinden fazla ve ihtiyacından daha az veriye sahip Kurumların değerli bilgileri, servislere dağıtılıyor

Federasyonlu Kimlik Sağlayıcı Servis Sağlayıcı 3) Yetkim Var mı? 1) Erişebilir miyim? 2) Yetkin Var mı? Kimlik Sağlayıcı Servis Sağlayıcı 4) Kimlik Bilgileri ve Yetkileri Kullanıcı kimlik bilgileri kurum içerisinde kalıyor Servis Sağlayıcı sadece ihtiyacın olanı biliyor Dağıtılılan nitelikler azalıyor ve daha kontrollü gerçekleşiyor

ULAKAAI Federasyon Uygulamaları SAML Protokolü SimpleSAMLphp Shibboleth Federasyonlar tarafından geliştirilen diğer uygulamalar SAML Protokolü Etki alanları arasında ( KS <-> SS ) kimlik doğrulama ve yetkilendirme verilerinin değişimi için kullanılan XML tabanlı açık standarttır. OASIS tarafından geliştirilmiş Avustralya,Danimarka,Finlandiya,Fransa,Norveç,İsviçre,İsveç,Amerika SAML tabanlı federasyonlar

ULAKAAI Pilot Federasyon Uygulamaları SimpleSAMLphp Shibboleth LDAP, sql, radius vb. modulleri var, Kurulumu ve bakımı kolay, Türkçe kurulum dökümanı hazırlandı. Web geliştirici ekibimiz konuya hakim Free Software Shibboleth SAML destekliyor, Türkçe doküman yok, uygulayan yazarsa seviniriz ;)

ULAKAAI Pilot REFEDS Research and Education Federations

Dünyadaki Kimlik Federasyonları İstatistikler Dünya Genelinde 30 Federasyon bulunuyor. ( Akademik ) SWITCHaai ( İsviçre Akademik Ağı Genelinde ) Ağustos 2005 ‘ ten bu yana çalışır halde, 300'000 akademik personel (İsviçre Akademik Ağının %96 ‘ sı) 44 Kimlik Sağlayıcı (IDP), 475 Servis Sağlayıcı (SP) Son 12 ayda 10 Milyon oturum açılmış UKFederation ( İngiltere Genelinde ) 30 Ekim 2006 ‘ dan bu yana çalışır halde Üye Kurum Sayısı (Lise ve Üniversiteler dahil) 864 İngiltere Akademik Ağının %90 ‘ ı

eduGAIN eduGAIN Federasyonların Federasyonu eduroam mimarisi gibi, federatif bir yapı, Network tabanlı SSO : eduroam Web/Servis tabanlı SSO : eduGAIN

eduGAIN eduGAIN ‘ e Katılım Kural Seti Teknik Standartlar ULAKAAI katılıyor, üniversiteler ULAKAAI üzerinden dahil oluyor. Avrupa ‘ daki servislerden ULAKNET kullanıcıları da yararlanabiliyor

ULAKAAI Pilot ULAKAAI Pilot Aşaması ilerleyen günlerde Web sitesi http://aai.ulak.net.tr Kurulum ve çeviri dökümanları ulakaai@ulakbim.gov.tr ÇOMÜ ile testler devam ediyor. Testlere katılmak isteyen diğer kurumlar ile bir çalışma grubu oluşturulup çalışmalara devam edilecek.

Sorular – Eksikler ?