Oracle COREid Federation Przegląd

Transkrypt

1 Oracle COREid Federation Przegląd Dokument techniczny Oracle Listopad 2005 ORACLE FUSION MIDDLEWARE

2 Oracle COREid Federation Wprowadzenie COREid Federation to jedyny w branży serwer federacji tożsamości, który jest całkowicie samowystarczalny i gotowy do pracy od razu po instalacji. WSTĘP Oracle COREid Federation stanowi samowystarczalne rozwiązanie federacyjne łączące łatwość obsługi i przenośność samodzielnej aplikacji ze skalowalną, sprawdzoną i opartą na standardach architekturą zapewniającą sprawną współpracę. W miarę rozrostu przedsiębiorstw do skali globalnej i ich dążenia do zacieśniania związków z partnerami, dostawcami i klientami poważnym wyzwaniem stają się metody nawiązywania bliskich, lecz bezpiecznych kontaktów handlowych. Federacje tożsamości pozwalają użytkownikom bezpiecznie współpracować z zaufanymi partnerami, a potrzeba ich wprowadzenia zarysowała się w ostatnich latach szczególnie wyraźnie w kilku różnych branżach, w tym telekomunikacji, usługach finansowych i przemyśle wytwórczym. Dzięki wprowadzeniu federacji tożsamości, integracja procesów biznesowych staje się tańsza, łatwiejsza i bezpieczniejsza. Coraz więcej firm przenosi swoje procesy biznesowe do Internetu, przez co kwestia udostępniania aplikacji klientom i partnerom stała się priorytetem. Osiągnięcie tego celu wymaga od rozwiązań federacyjnych sprostania wyzwaniom sprawnej współpracy i integracji z istniejącymi rozwiązaniami do zarządzania tożsamością i dostępem. Unikalna, elastyczna architektura Oracle COREid Federation zapewnia integrację i współpracę ze zgodnymi z uznanymi standardami katalogami użytkowników, bazami danych i rozwiązaniami do zarządzania dostępem i federacją tożsamości innych producentów. Współpraca między aplikacjami odbywa się na bazie standardów otwartych, w tym OASIS SAML otwartej specyfikacji wymiany danych dotyczących tożsamości do celów uwierzytelniania i autoryzacji. ORACLE COREID FEDERATION Federacyjne zarządzanie tożsamością dostarcza infrastrukturę pozwalającą przenosić dane o tożsamości i związane z nimi uprawnienia między różnymi domenami zabezpieczeń. Infrastruktura ta obejmuje wszystkie techniki, standardy i kontrakty wymagane do tworzenia powiązań federacyjnych. Oto najważniejsze z perspektywy niniejszego artykułu terminy dotyczące federacji i SAML: Asercja jedno lub kilka stwierdzeń, których prawdziwość poświadcza wiarygodny podmiot. Specyfikacja SAML definiuje asercje jako stwierdzenia dotyczące uwierzytelniania, atrybutów i autoryzacji. Wprowadzenie do Oracle COREid Federation Strona 2

3 Źródło, czyli dostawca tożsamości (IdP) serwis uwierzytelniający użytkownika, a następnie przesyłający asercję do serwisu docelowego lub usługodawcy. Cel, czyli dostawca usługi (SP) serwis wykorzystujący dane przekazane w asercji do ustalenia zakresu uprawnień użytkownika i na tej podstawie udzielający lub odmawiający dostępu do żądanego zasobu. Profil Browser/Artifact (profil referencji) Zdefiniowany w SAML profil jednokrotnego logowania internetowego (Web Single Sign On Web SSO) wykorzystujący przekierowania HTTP i protokół SOAP do przekazania asercji z serwisu źródłowego do serwisu docelowego. Profil Browser/POST Zdefiniowany w SAML profil Web SSO wykorzystujący formularz HTML wysłany metodą POST do przekazania asercji z serwisu źródłowego do serwisu docelowego. W chwili deaktywacji konta użytkownika u dostawcy tożsamości lub w serwisie źródłowym, użytkownik ten natychmiastowo i automatycznie traci prawo dostępu do aplikacji lub serwisu dostawcy usługi. Użytkownik a Jednokrotne logowanie internetowe do wielu domen Rozważmy prosty scenariusz federacji, w którym dwóch partnerów biznesowych chce połączyć swe aplikacje w taki sposób, by użytkownicy mogli korzystać z aplikacji swoich i partnera bez konieczności wielokrotnego logowania. Serwis źródłowy udostępnia portal dla klientów za jego pośrednictwem użytkownicy mogą zarządzać profilami, zamawiać produkty itd. Jedną z udostępnianych usług jest możliwość przeglądania raportów badawczych sprzedawanych przez partnera za pośrednictwem serwisu docelowego. Warunki dostępu do raportów są określone umowami usługowymi wiążącymi oba serwisy. Użytkownik loguje się do serwisu źródłowego, otwiera odsyłacz prowadzący do raportów i uzyskuje dostęp do aplikacji z serwisu docelowego. Nie jest konieczne utrzymywanie osobnego składu identyfikatorów i haseł w serwisie docelowym, a żadna ze współpracujących firm nie musi się zajmować synchronizacją haseł, identyfikatorów czy profilów. Użytkownik loguje się w serwisie źródłowym Użytkownik żąda zasobu z serwisu docelowego Użytkownik jest kierowany do serwisu docelowego z asercją SAML zawierającą dane identyfikacyjne z federacji Serwis źródłowy (dostawca tożsamości) Serwis docelowy autoryzuje użytkownika i udostępnia mu żądane zasoby na podstawie asercji SAML Serwis docelowy (dostawca usługi) Za kulisami tego pozornie prostego scenariusza funkcjonują utrzymywane przez obie firmy rozwiązania do federacyjnego zarządzania tożsamością, dzięki którym opisane działania są możliwe. W powyższym przykładzie współużytkowanie danych o tożsamości między środowiskami obu firm odbywa się w wykorzystaniem formatu SAML. Oto opis tego procesu. Wprowadzenie do Oracle COREid Federation Strona 3

4 Etap 1. Użytkownik loguje się w serwisie docelowym za pomocą identyfikatora i hasła, które są następnie porównywane z danymi składowanymi w katalogu LDAP serwisu. Po pomyślnym uwierzytelnieniu przeglądarka użytkownika zapisuje plik sesji cookie. Etap 2. Użytkownik otwiera odsyłacz prowadzący do raportów, zgłaszając tym samym żądanie pobrania zasobu z serwisu docelowego. Serwis źródłowy generuje asercję SAML na podstawie zapisanego wcześniej pliku cookie, podpisuje ją cyfrowo i przekierowuje użytkownika do serwisu docelowego. Etap 3. Serwis docelowy otrzymuje asercję SAML, pobiera z niej informacje o tożsamości użytkownika i na ich podstawie odwzorowuje zgłaszającego się użytkownika na lokalne konto użytkownika. Następnie dokonywane jest sprawdzenie autoryzacji, a jeśli zakończy się ono powodzeniem, to przeglądarka użytkownika jest przekierowywana do chronionego zasobu. Etap 4. Użytkownik przegląda zasób z serwisu docelowego w swojej przeglądarce, co jest możliwe, gdyż serwis docelowy pomyślnie przyjął i sprawdził użytkownika, zapisał własny plik cookie w jego przeglądarce i udostępnił żądany zasób. Użytkownik może teraz bez konieczności dodatkowego logowania korzystać z aplikacji w obu domenach i uzyskiwać dostęp do wszelkich zasobów, do których ma odpowiednie uprawnienia. Profile SAML COREid Federation obsługuje wiele standardów federacji tożsamości, w tym Liberty, SAML i WS-Federation. Oracle COREid Federation implementuje specyfikacje SAML OASIS, dostarczając tym samym oparte na standardach podejście do federacji. Grupa OASIS zdefiniowała kilka profilów opisujących metody osadzania i przesyłania asercji w komunikatach wymienianych między źródłem a celem. Utrzymanie zgodności tych komunikatów z określoną konwencją lub protokołem pozwala zapewnić poprawną współpracę produktów implementujących SAML. Oracle COREid Federation implementuje następujące profile: profil Browser/POST, profil Browser/Artifact (profil referencji), profil współużytkowania atrybutów X.509. Profil SAML Browser/Artifact Profil SAML Browser/Artifact polega na przekazywaniu asercji SSO SAML z serwisu źródłowego do docelowego poprzez referencję. Przekazana referencja jest następnie odczytywana poprzez osobny, bezpieczny kanał komunikacji (np. SSL), po czym wskazana przez nią asercja jest pobierana z serwisu źródłowego. Poniżej przedstawiono etapy jednokrotnego logowania z wykorzystaniem profilu referencji. Użytkownik loguje się do COREid Federation. Po pomyślnym uwierzytelnieniu plik cookie do jednokrotnego logowania jest generowany i zapisywany w przeglądarce internetowej użytkownika. Użytkownik zgłasza następnie żądanie dostępu do zasobu w domenie docelowej. Procedurę jednokrotnego logowania inicjuje usługa przekazująca serwisu źródłowego, która Wprowadzenie do Oracle COREid Federation Strona 4

5 generuje referencję zawierającą identyfikator serwisu źródłowego i adres samej asercji. Przeglądarka użytkownika jest przekierowywana do usługi odbierającej serwisu docelowego wraz z referencją zapisaną w łańcuchu zapytania adresu URL. Usługa odbierająca serwisu docelowego pobiera potrzebne informacje, w tym referencję, identyfikator źródła i adres asercji, po czym dodatkowym, bezpiecznym kanałem komunikacji wysyła do serwisu źródłowego żądanie przesłania pełnej asercji. Usługa odpowiedzi serwisu źródłowego przetwarza żądanie i odsyła odpowiednią asercję do serwisu docelowego. Asercja jest następnie przetwarzana przez usługę odbierającą serwisu docelowego, która odwzorowuje ją na lokalne konto użytkownika. Gdy wszystkie niezbędne informacje o użytkowniku są już znane, serwis docelowy może podjąć ostateczną decyzję odnośnie udostępnienia lub odmówienia użytkownikowi dostępu do żądanego zasobu. Profil SAML Browser/POST Profil SAML Browser/POST polega na bezpośrednim przekazywaniu asercji SAML SSO serwisowi docelowemu. Nie jest w tym przypadku wymagany osobny kanał komunikacji mówiąc w pewnym uproszczeniu, serwis źródłowy po prostu wysyła asercję SAML do celu. Poniżej przedstawiono etapy jednokrotnego logowania z wykorzystaniem profilu Browser/POST. Użytkownik loguje się do COREid Federation. Po pomyślnym uwierzytelnieniu, w przeglądarce użytkownika zapisywany jest plik cookie dla sesji jednokrotnego logowania. Gdy użytkownik otwiera odsyłacz do chronionego zasobu w serwisie docelowym, usługa przekazująca serwisu źródłowego generuje dla tego użytkownika asercję, której treść jest tworzona na podstawie atrybutów pobieranych z katalogu użytkowników (na przykład katalogu LDAP). Serwis źródłowy buduje następnie odpowiedź zawierającą asercję i adres serwisu docelowego jako zmienne ukryte, po czym cała odpowiedź jest podpisywana cyfrowo. Przeglądarka internetowa użytkownika wysyła gotowy formularz metodą POST do usługi odbierającej serwisu docelowego, gdzie odpowiedź jest deszyfrowana i sprawdzana pod kątem zgodności treści asercji z asercją pierwotnie wygenerowaną przez źródło. Po pomyślnej weryfikacji, asercja jest odwzorowywana na konto użytkownika w domenie docelowej. Użytkownik jest następnie logowany i otrzymuje plik cookie dla jednokrotnego logowania. Na tym etapie serwis docelowy może już ustalić, czy użytkownik jest uprawniony do korzystania z żądanego zasobu. Profil SAML współużytkowania atrybutów X.509 Profil współużytkowania atrybutów X.509 umożliwia rozproszoną autoryzację wykorzystującą uwierzytelnianie certyfikatami X.509. Użytkownik uwierzytelnia się w serwisie docelowym jako klient SSL, przedstawiając swój certyfikat X.509 na etapie negocjacji połączenia SSL. Po pomyślnym uwierzytelnieniu serwis docelowy przesyła zarządzającemu tożsamością danego użytkownika serwisowi źródłowemu zgodne z SAML żądanie przesłania atrybutów niezbędnych do przeprowadzenia autoryzacji. Poniżej przedstawiono kolejne etapy jednokrotnego logowania z wykorzystaniem tego profilu. Wprowadzenie do Oracle COREid Federation Strona 5

6 Użytkownik próbuje otworzyć w przeglądarce internetowej chroniony zasób znajdujący się w serwisie docelowym. Serwis żąda podania danych uwierzytelniających, które użytkownik przedstawia w postaci certyfikatu X.509v3. Uwierzytelnianie odbywa się z wykorzystaniem technik uwierzytelniania klienta SSL. Po pomyślnym uwierzytelnieniu użytkownika serwis docelowy wysyła do serwisu źródłowego podpisaną asercję w celu uzyskania niezbędnych atrybutów. Adres serwisu źródłowego, do którego kierowana jest asercja, jest ustalany na podstawie nazwy wyróżniającej (DN Distinguished Name) pobranej z certyfikatu użytkownika. Serwis źródłowy odbiera asercję, sprawdza poprawność serwisu docelowego i odsyła podpisaną odpowiedź zawierającą żądane atrybuty użytkownika. Na podstawie uzyskanych w ten sposób informacji serwis docelowy może podjąć decyzję o udostępnieniu lub odmówieniu użytkownikowi dostępu do żądanego zasobu. Mechanizmy SMART Oracle COREid Federation udostępnia też dodatkowe, wykraczające poza format SAML mechanizmy umożliwiające stworzenie niezawodnego, wielodomenowego rozwiązania do jednokrotnego logowania. SmartMarks jeśli użytkownik spróbuje uzyskać dostęp do serwisu docelowego bez ważnego pliku sesji cookie, mechanizm SmartMarks przekieruje go do właściwej domeny w celu uwierzytelnienia. W przypadku użytkowników korzystających z serwisu docelowego lokalnie ten sam mechanizm może przekierować użytkownika do ekranu logowania. Użytkownicy niezalogowani w swojej domenie źródłowej zostaną skierowani do serwisu źródłowego w celu uwierzytelnienia. SmartWalls mechanizm ten pozwala domenom docelowym sprawdzać, czy autor i podmiot asercji pochodzą z ten samej domeny. Jeśli domeny te są różne, asercja jest odrzucana. Z chronionych zasobów mogą więc korzystać wyłącznie użytkownicy zalogowani do prawidłowej domeny źródłowej, a asercja dla danego użytkownika może być wysyłana tylko z jednej, odpowiedniej dla tego użytkownika domeny. SmartMaps mechanizm ten pozwala Oracle COREid Federation uwierzytelniać użytkowników, którzy jeszcze nie mają konta w serwisie docelowym. Nowy użytkownik może albo zostać automatycznie odwzorowany na istniejącą tożsamość lokalną, albo może dla niego zostać stworzona nowa tożsamość. W przypadku współpracy z systemem Oracle COREid Access and Identity może zostać uruchomiony ciąg zadań tworzący nowego użytkownika Oracle COREid. Możliwe jest też wyświetlenie użytkownikowi ekranu logowania w celu podania danych uwierzytelniających tożsamość docelową, do których zostaną następnie dodane informacje pobrane z domeny źródłowej użytkownika. Kolejne próby dostępu do zasobów w serwisie docelowym w ramach nawiązanej sesji nie będą już wymagać ponownego logowania. Wprowadzenie do Oracle COREid Federation Strona 6

7 PODSUMOWANIE Oracle COREid Federation to samodzielny serwer federacyjny o skalowalnej architekturze opartej na standardach. Serwer jest dostarczany w postaci ułatwiającej dystrybucję i instalację, co pomaga dużym firmom w bezpiecznym włączaniu partnerów biznesowych do firmowego portalu czy ekstranetu. Platforma COREid Federation pozwala partnerom współużytkować informacje dotyczące tożsamości użytkowników i bezpieczeństwa udostępniane przez wiele różnych organizacji, bez konieczności utrzymywania przez każdą z nich osobnej kopii wszystkich profilów tożsamości. Przedsiębiorstwa mogą więc zacieśniać integrację z klientami i partnerami biznesowymi, a jednocześnie zwiększać zgodność z przepisami dotyczącymi poufności i bezpieczeństwa informacji. Wprowadzenie do Oracle COREid Federation Strona 7