„Föderáció” változatai közötti eltérés
(létrehozás) |
(→Szerepek) |
||
7. sor: | 7. sor: | ||
* '''Single Sign-on''': a felhasználónak elég egyszer megadni az azonosító adatait, a többi rendszer automatikusan megszerzi az identitáshoz kötődő információkat. Ez egyrészt kényelmesebb a felhasználónak, másrészt megkönnyíti a több faktoros (pl. smartcard) azonosítási módszerek bevezetését. | * '''Single Sign-on''': a felhasználónak elég egyszer megadni az azonosító adatait, a többi rendszer automatikusan megszerzi az identitáshoz kötődő információkat. Ez egyrészt kényelmesebb a felhasználónak, másrészt megkönnyíti a több faktoros (pl. smartcard) azonosítási módszerek bevezetését. | ||
== Szerepek == | == Szerepek == | ||
− | === | + | A legtöbb [[:Kategória:Föderációs modellek | föderációs modell]] lehetővé teszi azt, hogy egy intézmény egyszerre több szereppel is részt vegyen egy föderációban. |
+ | === Identitás szolgáltatók (Identity Provider, IdP) === | ||
+ | A felhasználók adatait az identitás szolgáltató tárolja. Az identitás szolgáltató funkciói: | ||
+ | ; Azonosítás | ||
+ | * Felhasználó azonosítása | ||
+ | * Felhasználó azonosítással kapcsolatos információk átadása a tartalomszolgálatóknak (SP) | ||
+ | * Tartalomszolgáltatóktól érkező azonosítási kérések (AuthRequest) feldolgozása | ||
+ | ; Attribútumok kiadása | ||
+ | * Felhasználóhoz köthető attribútumok meghatározása | ||
+ | * A tartalomszolgáltató számára hozzáférhető felhasználói adatok átadása a tartalomszolgáltatónak (közvetlenül ill. a felhasználón keresztül) | ||
+ | ; Felhasználó menedzsment | ||
+ | * Felvétel / törlés | ||
+ | * Attribútumok, role-ok kezelése | ||
+ | * Jelszó ill. adatmódosítás | ||
=== Tartalom / erőforrás szolgáltatók (Service Provider, SP) === | === Tartalom / erőforrás szolgáltatók (Service Provider, SP) === | ||
− | === Metadata === | + | A tartalomszolgáltatók védett tartalmakat szolgáltatnak a felhasználók számára. Általában nincsenek közvetlenül a felhasználókhoz kapcsolatos adataik, ezért nem szükséges a felhasználókat adminisztrálniuk sem. |
+ | |||
+ | A tartalomszolgáltató funkciói (a funkciók föderációs modelltől függően ezektől eltérhetnek): | ||
+ | * azonosított kapcsolat létrehozása az identitás szolgáltató segítségével (általában HTTP átirányítás használatával) | ||
+ | * az identitás szolgáltatótól kapott adatok értelmezése | ||
+ | * az identitás szolgáltatótól kapott adatok alapján meghatározni, hogy a felhasználó jogosult-e a művelet végrehajtására ('''autorizáció''') | ||
+ | === Metadata adminisztráció === | ||
+ | A szolgálatókhoz kötődő háttérinformációkat (pl. tanúsítvány, név, scope, stb.) sok esetben a föderációs szoftver számára is elérhetővé kell tenni, ez esetben [[Metadata]] használatáról beszélünk. Adminisztrációja általában központilag történik, és ''push'' vagy ''pull'' módszerrel jut el a föderációba bevont számítógépekhez. | ||
+ | |||
+ | Speciális szolgáltatás a [[WAYF | "Where Are You From?" (WAYF)]] szolgáltatás, amely a felhasználó számára lehetőséget ad, hogy az identitás szolgáltatóját kiválassza. Ez a szolgáltatás a föderációs metadata állomány(ok)ra épül. | ||
+ | |||
== Technológiák == | == Technológiák == | ||
=== SAML === | === SAML === |
A lap 2007. augusztus 6., 17:59-kori változata
Az Identitás Föderáció olyan intézmények halmaza, amelyek között lehetséges az identitás-információk átadása. Az intézmények - szabályozott keretek között - megbíznak a másik intézmény által kiállított identitás-információkban.
A Föderáció a pont-pont bizalmi kapcsolati modell általánosítása. Ekkor nem szükséges egy intézménynek minden egyes társintézménnyel külön megállapodást kötnie, hanem a szövetséghez csatlakozással automatikusan létrejön közöttük a lehetőség az identitás-információk átadására. Általában lehetőség van arra, hogy egy intézmény több Föderációhoz is kapcsolódjon, ill. külön bilaterális megállapodásai legyenek.
Tartalomjegyzék
Célja
A föderációk célja, hogy az identitás információk egyébként autonóm rendszerek között átjárhatók legyenek. Ez a következő előnyökkel járhat:
- redundáns felhasználó-adminisztráció elkerülése: az identitáshoz kapcsolódó adatoknak elegendő egy helyen rendelkezésre állni; nem kell "idegen", "külsős" felhasználókat felvenni az intézményi adatbázisba
- Single Sign-on: a felhasználónak elég egyszer megadni az azonosító adatait, a többi rendszer automatikusan megszerzi az identitáshoz kötődő információkat. Ez egyrészt kényelmesebb a felhasználónak, másrészt megkönnyíti a több faktoros (pl. smartcard) azonosítási módszerek bevezetését.
Szerepek
A legtöbb föderációs modell lehetővé teszi azt, hogy egy intézmény egyszerre több szereppel is részt vegyen egy föderációban.
Identitás szolgáltatók (Identity Provider, IdP)
A felhasználók adatait az identitás szolgáltató tárolja. Az identitás szolgáltató funkciói:
- Azonosítás
- Felhasználó azonosítása
- Felhasználó azonosítással kapcsolatos információk átadása a tartalomszolgálatóknak (SP)
- Tartalomszolgáltatóktól érkező azonosítási kérések (AuthRequest) feldolgozása
- Attribútumok kiadása
- Felhasználóhoz köthető attribútumok meghatározása
- A tartalomszolgáltató számára hozzáférhető felhasználói adatok átadása a tartalomszolgáltatónak (közvetlenül ill. a felhasználón keresztül)
- Felhasználó menedzsment
- Felvétel / törlés
- Attribútumok, role-ok kezelése
- Jelszó ill. adatmódosítás
Tartalom / erőforrás szolgáltatók (Service Provider, SP)
A tartalomszolgáltatók védett tartalmakat szolgáltatnak a felhasználók számára. Általában nincsenek közvetlenül a felhasználókhoz kapcsolatos adataik, ezért nem szükséges a felhasználókat adminisztrálniuk sem.
A tartalomszolgáltató funkciói (a funkciók föderációs modelltől függően ezektől eltérhetnek):
- azonosított kapcsolat létrehozása az identitás szolgáltató segítségével (általában HTTP átirányítás használatával)
- az identitás szolgáltatótól kapott adatok értelmezése
- az identitás szolgáltatótól kapott adatok alapján meghatározni, hogy a felhasználó jogosult-e a művelet végrehajtására (autorizáció)
Metadata adminisztráció
A szolgálatókhoz kötődő háttérinformációkat (pl. tanúsítvány, név, scope, stb.) sok esetben a föderációs szoftver számára is elérhetővé kell tenni, ez esetben Metadata használatáról beszélünk. Adminisztrációja általában központilag történik, és push vagy pull módszerrel jut el a föderációba bevont számítógépekhez.
Speciális szolgáltatás a "Where Are You From?" (WAYF) szolgáltatás, amely a felhasználó számára lehetőséget ad, hogy az identitás szolgáltatóját kiválassza. Ez a szolgáltatás a föderációs metadata állomány(ok)ra épül.
Technológiák
SAML
TODO
Liberty Alliance
TODO
WS-Federation
TODO
OpenID
TODO
Ügyfélkapu
TODO
Szabályozás
A lazán csatolt modellek (pl. az OpenID) nem igényelnek központi szabályozást, de a magasabb biztonság-igényű, nagy bizalmat igénylő modellek esetén szükséges az, hogy a föderációban résztvevő intézmények kidolgozzák (esetleg szerződésbe is foglalják) az együttműködés feltételeit.
A megállapodás pl. az alábbi területeket érintheti
- Felhasználó-kezelés (pl. lejárt azonosítók inaktívvá tétele, password policy)
- Felhasználói adatok védelme (privacy követelmények)
- Felhasználó-azonosítási technológiák, ezek elnevezése
- Scope-ok kiosztása
- Felhasználói attribútumok használatának a feltételei (pl. milyen feltételekkel mondhatja egy intézmény XY-ról, hogy ő egy oktató?)
- Metadata információk karbantartása
- Új intézmény csatlakozásának feltételei (IdP, ill. SP szerepben)
- Audit, nemmegfelelőségi szankciók
- Költségviselés szabályai
- stb.