Mettere insieme i pezzi

Documenti analoghi
I Metadati per il protocollo SAMLv2. Giancarlo Birello CNR CERIS Simona Venuti - GARR

Shibboleth SP con Debian

Shibboleth SP installazione e configurazione di base per SSO

simplesamlphp Implementazione SP a livello applica1vo Marco Ferrante Università di Genova/CTS IDEM

SPID - Regole Tecniche

Shibboleth SP: configurazione avanzata

REGOLAMENTO. RECANTE LE REGOLE TECNICHE (articolo 4, comma 2, DPCM 24 ottobre 2014)

Utilizzare IDEM per controllare l'accesso wireless. Case Study: la rete wireless dell Università di Ferrara

Shibboleth SP installazione e configurazione di base per SSO

SPID - Politecnico di Milano Roberto Gaffuri - Area Servizi ICT Workshop GARR 2017 Roma 7 aprile 2017

Identità digitale federata: il caso ICAR-INF3. Francesco Meschia CSI-Piemonte

Shibboleth enabling a web service: Nilde s case study

Installazione Shibboleth Service Provider su Debian-Linux

Rinnovare l'identity Management con Shibboleth e Esse3

Installazione di uno Shibboleth SP 2 su Microsoft Windows 2003/2008 Server

Installare un Service Provider Shibboleth su Linux Debian

Shibboleth SP: configurazione avanzata

SPID nella Community Developers Italia

L accesso alla rete wireless di UniFe e la sua integrazione con la federazione IDEM. Relatore: Michele Lugli

Specifiche tecniche per l integrazione dell IdP della Regione Puglia

SPID Gateway: l'interfacciamento dei sistemi di ateneo con il Sistema Pubblico di Identita Digitale CINECA 7 Febbraio 2017

Le problematiche di Identity Management per una organizzazione grande ed eterogenea 2 Convegno IDEM Bari, 9-10 Marzo 2010

Installazione di un Identity Provider

Guida all'installazione dello Shibboleth Embedded Discovery Service v1.1.0 su Debian-Linux

Shibboleth e Google Apps

Integrazione in SPID Note e Modifiche necessarie per i SP. Vers 1.0

Wi-Fi protetto da autenticazione Federata

Accesso Wireless Federato presso l'infrastruttura di Rete CNR Piemonte

Integrazione Gateway Enti Locali (GEL) tramite Shibboleth

Informazioni sull'installazione della libreria e del plugin per Joomla! Spid for Joomla!

Integrazione Gateway Enti Locali (GEL) tramite Shibboleth

IDENTITY MANAGEMENT AND GOVERNANCE

La Federazione IDEM. IDEntity Management per l accesso federato. WS9, Roma, Maria Laura Mantovani 1

Manuale di Integrazione IdM-RAS

Configurazione base di un IdP

FedERa: sinergie tra federazioni di identità ed enti locali Gianluca Mazzini - Direttore Generale Lepida SpA

L ABC per capire IDEM

IDEM eduroam. Infrastrutture di Autenticazione e Autorizzazione (Franco Tinarelli Coffee talk IRA 13 aprile 2012)

Il problema che abbiamo davanti è l accesso alle informazioni. Come favorirlo? Le informazioni disponibili aumentano. E non c è dubbio che Google

Le Attribute Authority e il Virtual Organization Management

ICTARC ICT per i Beni Architettonici e Archeologici. BORSISTA: Arch. Maria Cristina Diamanti TUTOR: Dott.ssa Mirella Serlorenzi

Il progetto IDEM. Roberto Cecchini. Workshop GARR 08 Milano, 3 Aprile 2008

Attori nella Federazione e Profili SAML. Massimiliano Pianciamore massimiliano.pianciamore@cefriel.it

L Identity Provider: il nostro primo attore. Raffaele Conte, CNR - IFC Barbara Monticini, GARR

Integrazione di CampusNet nell infrastruttura di autenticazione ed autorizzazione della rete GARR (IDEM) basata su Shibboleth

Transcript:

Mettere insieme i pezzi Esempi di funzionamento e controllo degli accessi Giacomo Tenaglia CNR Bologna 5 Marzo 2007 Giacomo Tenaglia (CNR Bologna) Mettere insieme i pezzi 5 Marzo 2007 1 / 16

Mettere insieme i pezzi Esempi di funzionamento e controllo degli accessi 1 Punto della situazione 2 Una federazione di test Metadati della federazione 3 Esempi di funzionamento Protezione risorsa (1 IdP, 1 SP) Aggiunta di SP e IdP alla federazione Protezione risorsa (2 IdP, 2 SP) Uso degli attributi Protezione fine: lazy sessions 4 Riferimenti Giacomo Tenaglia (CNR Bologna) Mettere insieme i pezzi 5 Marzo 2007 2 / 16

Punto della situazione (semplice) Giacomo Tenaglia (CNR Bologna) Mettere insieme i pezzi 5 Marzo 2007 3 / 16

Punto della situazione (approfondito) Giacomo Tenaglia (CNR Bologna) Mettere insieme i pezzi 5 Marzo 2007 4 / 16

Metadati della federazione Informazioni di base: [ file:///etc/shibboleth/metadata.xml ] <EntitiesDescriptor xmlns="urn:oasis:names:tc:saml:2.0:metadata" xmlns:xsi="http://www.w3.org/2001/xmlschema-instance" xmlns:ds="http://www.w3.org/2000/09/xmldsig#" xmlns:shibmd="urn:mace:shibboleth:metadata:1.0" xsi:schemalocation="urn:oasis:names:tc:saml:2.0:metadata../schemas/saml-schema-metadata-2.0.xs Name="urn:mace:test.shib:federation" validuntil="2010-01-01t00:00:00z"> <Extensions> <shibmd:keyauthority> <ds:keyinfo> <ds:x509data> <ds:x509certificate>miidndccawwgawibagijairfhysyxlfvma0gcsqgsib3dqebbauamigrmqw VQQKEwNDTlIxEDAOBgNVBAsTB1Rlc3QgQ0ExKTAnBgkqhkiG9w0BCQEWGmdpYWNv... </ds:x509certificate> </ds:x509data> </ds:keyinfo> </shibmd:keyauthority> </Extensions> Giacomo Tenaglia (CNR Bologna) Mettere insieme i pezzi 5 Marzo 2007 5 / 16

Metadati della federazione (2) Dati dell Identity Provider: [ file:///etc/shibboleth/metadata.xml ] <EntityDescriptor entityid="https://idp.test.shib/shibboleth"> <IDPSSODescriptor protocolsupportenumeration="urn:oasis:names:tc:saml:1.1:protocol urn:mace:shi <Extensions> <shibmd:scope>idp.test.shib</shibmd:scope> </Extensions> <KeyDescriptor use="signing"> <ds:keyinfo> <ds:keyname>idp.test.shib</ds:keyname> </ds:keyinfo> </KeyDescriptor> <ArtifactResolutionService index="1" Binding="urn:oasis:names:tc:SAML:1.0:bindings:SOAP-binding" Location="https://idp.test.shib/shibboleth-idp/Artifact"/> <NameIDFormat>urn:mace:shibboleth:1.0:nameIdentifier</NameIDFormat> <SingleSignOnService Binding="urn:mace:shibboleth:1.0:profiles:AuthnRequest" Location="https://idp.test.shib/shibboleth-idp/SSO"/> </IDPSSODescriptor> Giacomo Tenaglia (CNR Bologna) Mettere insieme i pezzi 5 Marzo 2007 6 / 16

Metadati della federazione (3) Dati dell Identity Provider (2): [ file:///etc/shibboleth/metadata.xml ] <AttributeAuthorityDescriptor protocolsupportenumeration="urn:oasis:names:tc:saml:1.1:protocol" <Extensions> <shibmd:scope>idp.test.shib</shibmd:scope> </Extensions> <AttributeService Binding="urn:oasis:names:tc:SAML:1.0:bindings:SOAP-binding" Location="https://idp.test.shib:8443/shibboleth-idp/AA"/> <NameIDFormat>urn:mace:shibboleth:1.0:nameIdentifier</NameIDFormat> </AttributeAuthorityDescriptor> <Organization> <OrganizationName xml:lang="en">test Shibboleth</OrganizationName> <OrganizationDisplayName xml:lang="en">test Shibboleth</OrganizationDisplayName> <OrganizationURL xml:lang="en">http://www.test.shib/</organizationurl> </Organization> <ContactPerson contacttype="technical"> <SurName>Technical Support</SurName> <EmailAddress>giacomo.tenaglia@area.bo.cnr.it</EmailAddress> </ContactPerson> </EntityDescriptor> Giacomo Tenaglia (CNR Bologna) Mettere insieme i pezzi 5 Marzo 2007 7 / 16

Metadati della federazione (4) Dati del Service Provider: [ file:///etc/shibboleth/metadata.xml ] <EntityDescriptor entityid="https://sp.test.shib/sp"> <SPSSODescriptor protocolsupportenumeration="urn:oasis:names:tc:saml:1.1:protocol"> <KeyDescriptor> <ds:keyinfo> <ds:keyname>sp.test.shib</ds:keyname> </ds:keyinfo> </KeyDescriptor> <NameIDFormat>urn:mace:shibboleth:1.0:nameIdentifier</NameIDFormat> <AssertionConsumerService index="1" Binding="urn:oasis:names:tc:SAML:1.0:profiles:browser-post" Location="https://sp.test.shib/Shibboleth.sso/SAML/POST"/> <AssertionConsumerService index="2" Binding="urn:oasis:names:tc:SAML:1.0:profiles:artifact-01" Location="https://sp.test.shib/Shibboleth.sso/SAML/Artifact"/> </SPSSODescriptor> </EntityDescriptor> Giacomo Tenaglia (CNR Bologna) Mettere insieme i pezzi 5 Marzo 2007 8 / 16

Modifica configurazioni Configurazione Identity Provider: [ file:///usr/local/shibboleth-idp/idp.xml ] <MetadataProvider type="edu.internet2.middleware.shibboleth.metadata.provider.xmlmetadata" uri="file:/usr/local/shibboleth-idp/etc/metadata-1.xml"/> Configurazione Service Provider: [ file:///etc/shibboleth/shibboleth.xml ] <MetadataProvider type="edu.internet2.middleware.shibboleth.metadata.provider.xmlmetadata" uri="/etc/shibboleth/metadata-1.xml"/> Giacomo Tenaglia (CNR Bologna) Mettere insieme i pezzi 5 Marzo 2007 9 / 16

Esempio: protezione directory (1 IdP, 1 SP) https://sp.test.shib/secure/ Giacomo Tenaglia (CNR Bologna) Mettere insieme i pezzi 5 Marzo 2007 10 / 16

Aggiunta di un SP Modifica metadati della federazione: [ file:///etc/shibboleth/metadata.xml ] <EntityDescriptor entityid="https://sp2.test.shib/sp"> <SPSSODescriptor protocolsupportenumeration="urn:oasis:names:tc:saml:1.1:protocol"> <KeyDescriptor> <ds:keyinfo> <ds:keyname>sp2.test.shib</ds:keyname> </ds:keyinfo> </KeyDescriptor> <NameIDFormat>urn:mace:shibboleth:1.0:nameIdentifier</NameIDFormat> <AssertionConsumerService index="1" Binding="urn:oasis:names:tc:SAML:1.0:profiles:browser-post" Location="https://sp2.test.shib/Shibboleth.sso/SAML/POST"/> <AssertionConsumerService index="2" Binding="urn:oasis:names:tc:SAML:1.0:profiles:artifact-01" Location="https://sp2.test.shib/Shibboleth.sso/SAML/Artifact"/> </SPSSODescriptor> </EntityDescriptor> Modifica configurazioni IdP e SP (banale). Giacomo Tenaglia (CNR Bologna) Mettere insieme i pezzi 5 Marzo 2007 11 / 16

Aggiunta di un IdP Modifica metadati della federazione: [ file:///etc/shibboleth/metadata.xml ] vedi slide precedenti. Modifica configurazioni IdP e SP (banale). Giacomo Tenaglia (CNR Bologna) Mettere insieme i pezzi 5 Marzo 2007 12 / 16

Esempio: protezione directory (2 IdP, 2 SP) https://sp2.test.shib/secure-sp2/ https://sp.test.shib/secure/ Giacomo Tenaglia (CNR Bologna) Mettere insieme i pezzi 5 Marzo 2007 13 / 16

Uso degli attributi Incapsulati in header HTTP: HTTP_$NOME_IN_AAP https://sp2.test.shib/secure-sp2/shibenv.php Validità limitata all interno della Location protetta. Giacomo Tenaglia (CNR Bologna) Mettere insieme i pezzi 5 Marzo 2007 14 / 16

Protezione fine: lazy sessions L applicazione decide quando stabilire la sessione Shibboleth. ShibRequireSession settato a false (in Apache). L applicazione deve conscere: handlerurl: URL dell handler associato all applicazione. location: il SessionInitiator che si intende utilizzare. target: URL dell applicazione al quale tornare. Utile per affiancare o sostituire sistemi di autenticazione esistenti. https://sp2.test.shib/lazy Giacomo Tenaglia (CNR Bologna) Mettere insieme i pezzi 5 Marzo 2007 15 / 16

Riferimenti Shib-users ML: https: //mail.internet2.edu/wws/arc/shibboleth-users Shibboleth Attribute Release Policy Editor: http://federation.org.au/sharpe Non funziona! : mailto:giacomo.tenaglia@area.bo.cnr.it Giacomo Tenaglia (CNR Bologna) Mettere insieme i pezzi 5 Marzo 2007 16 / 16

2026 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back