Wykorzystanie SAML 2.0 w systemie epuap

Podobne dokumenty
Oracle COREid Federation Przegląd

Systemy pojedynczego logowania (Single Sign-On)

Serwery LDAP w środowisku produktów w Oracle

GS2TelCOMM. Rozszerzenie do TelCOMM 2.0. Opracował: Michał Siatkowski Zatwierdził: IMIĘ I NAZWISKO

Programowanie Komponentowe WebAPI

Projektowanie obiektowe oprogramowania Wykład 14 Architektura systemów (1), Interoperability Wiktor Zychla 2013

E-administracja. Korzystanie z Elektronicznej Platformy Usług Administracji Publicznej

elektroniczna Platforma Usług Administracji Publicznej

Zdalne logowanie do serwerów

elektroniczna Platforma Usług Administracji Publicznej

MINISTERSTWO FINANSÓW PLAN INTEGRACJI SYSTEMU ZAŁĄCZNIK NR 6 SEAP SPECYFIKACJA KANAŁ DLA PODMIOTÓW ZEWNĘTRZNYCH PL PROJEKT ECIP/SEAP

Budowa aplikacji ASP.NET z wykorzystaniem wzorca MVC

Opis przykładowego programu realizującego komunikację z systemem epuap wykorzystując interfejs komunikacyjny "doręczyciel"

Typy przetwarzania. Przetwarzanie zcentralizowane. Przetwarzanie rozproszone

Komunikacja i wymiana danych

elektroniczna Platforma Usług Administracji Publicznej

Wprowadzenie do Oracle COREid Access and Identity

Instrukcja tworzenia, logowania i obsługi kont w portalu:

1. Wymagania dla lokalnej szyny ESB

Dokumentacja techniczna. Młodzieżowe Pośrednictwo Pracy

Z roku na rok wzrasta liczba systemów informatycznych, co skutkuje coraz większym uzależnieniem od nich działalności biznesowej przedsiębiorstw.

elektroniczna Platforma Usług Administracji Publicznej

Portal SRG BFG Instrukcja korzystania z Portalu SRG BFG

Platforma epuap. Igor Bednarski kierownik projektu epuap2 CPI MSWiA. Kraków, r.

INTERNET - Wrocław Usługi bezpieczeństwa w rozproszonych strukturach obliczeniowych typu grid

Wykaz skrótów... Wykaz literatury... O Autorach... Wstęp... XXIII

Wybrane działy Informatyki Stosowanej

elektroniczna Platforma Usług Administracji Publicznej

Logowanie do systemu SL2014

Świadczenie usługi hurtowej wysyłki wiadomości SMS dla Urzędu Miasta Torunia w latach

Rozproszone systemy uwierzytelniania użytkowników

Nowa odsłona wyodrębnienie i kierunki jego rozwoju

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

Nowa odsłona wyodrębnienie i kierunki jego rozwoju Międzyzdroje

Szkolenie autoryzowane. STORMSHIELD Network Security Administrator. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

POSTANOWIENIE. z dnia 20 sierpnia 2018 roku

Instrukcja integratora - obsługa dużych plików w epuap2

epuap Opis standardowych elementów epuap

Nowa odsłona wyodrębnienie i kierunki jego rozwoju Łysomice

OPROGRAMOWANIE KEMAS zbudowane jest na platformie KEMAS NET

Dokumentacja Usług Sieciowych Uwierzytelniania i Autoryzacji. Wersja: 1.00

Federacja zarządzania tożsamością PIONIER.Id

Opis wdrożenia Platformy Technologicznej epodreczniki.pl na zasobach Poznańskiego Centrum Superkomputerowo-Sieciowego

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

1.2 Prawa dostępu - Role

Platforma epuap. Igor Bednarski kierownik projektu epuap2 CPI MSWiA. Kraków, r.

Część I -ebxml. UEK w Krakowie Janusz Stal & Grażyna Paliwoda-Pękosz. UEK w Krakowie Janusz Stal & Grażyna Paliwoda-Pękosz

Problematyka bezpieczeństwa usług Web Services. Witold Andrzejewski

Zmiany na. wyodrębnienie i kierunki jego rozwoju Dubiecko

Instrukcja użytkownika

PLATFORMA COMARCH SECURITY. Rozwiązania Comarch dla bezpiecznego urzędu

Zmiany na. wyodrębnienie i kierunki jego rozwoju Kraków

elektroniczna Platforma Usług Administracji Publicznej

Instrukcja konfigurowania poczty Exchange dla klienta pocztowego użytkowanego poza siecią uczelnianą SGH.

Programowanie komponentowe. Przykład 1 Bezpieczeństwo wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz

Ministerstwo Finansów

NetIQ Access Manager. Broszura informacyjna. Kontrola dostępu, zarządzanie regułami, zapewnienie zgodności.

12. Wirtualne sieci prywatne (VPN)

4 Web Forms i ASP.NET Web Forms Programowanie Web Forms Możliwości Web Forms Przetwarzanie Web Forms...152

Specyfikacja techniczna. mprofi Interfejs API

Platforma e-learningowa

Materiał dystrybuowany na licencji CC-BY-SA

Bezpieczny dostęp do usług zarządzania danymi w systemie Laboratorium Wirtualnego

Web Services. Wojciech Mazur. 17 marca Politechnika Wrocławska Wydział Informatyki i Zarządzania

R o g e r A c c e s s C o n t r o l S y s t e m 5

elektroniczna Platforma Usług Administracji publicznej Instrukcja użytkowania oraz złożenia wniosku o Profil zaufany

Infrastruktura bibliotek cyfrowych

elektroniczna Platforma Usług Administracji Publicznej

Spis treści. Dzień 1. I Wprowadzenie (wersja 0906) II Dostęp do danych bieżących specyfikacja OPC Data Access (wersja 0906) Kurs OPC S7

DOTYCZY KLIENTA PKO BIURO OBSŁUGI LEASING ZAPYTANIE O INFORMACJĘ OTYCZY: DOSTAWY PLATFORMY ELEKTRONICZNE DLA PKO

Wykład 3 Inżynieria oprogramowania. Przykład 1 Bezpieczeństwo(2) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz

Wybrane działy Informatyki Stosowanej

Platforma epuap. 1-3 marca 2011

Zmiany na. wyodrębnienie i kierunki jego rozwoju Mierzęcin

Instrukcja założenia konta na epuap oraz złożenie wniosku o profil zaufany

Dokumentacja techniczna API systemu SimPay.pl

Przewodnik konfiguracji Aruba WiFi oraz zabezpieczeń Palo Alto Networks w zakresie szczegółowej kontroli użytkowników sieci bezprzewodowej

elektroniczna Platforma Usług Administracji Publicznej

Połączenie VPN aplikacji SSL. 1. Konfiguracja serwera VPN 1.1. Ustawienia ogólne 1.2. Profile aplikacji SSL 1.3. Konto SSL 1.4. Grupa użytkowników

Identity Management w Red Hat Enterprise Portal Platform. Bolesław Dawidowicz

API STRESZCZENIE DOKUMENTACJI TECHNICZNEJ. Strona 1 z 8

Plugin Single Sign On Wersja 1.2. Przewodnik koncepcyjny

Tworzenie witryn internetowych PHP/Java. (mgr inż. Marek Downar)

Platforma Informacyjno-Płatnicza PLIP

Język UML w modelowaniu systemów informatycznych

Praktyczne wykorzystanie mechanizmów zabezpieczeń w aplikacjach chmurowych na przykładzie MS Azure

11. Autoryzacja użytkowników

SIWZ cz. II. Opis Przedmiotu Zamówienia

API STRESZCZENIE DOKUMENTACJI TECHNICZNEJ. Strona 1 z 8

Platforma e-learningowa

Kurs OPC S7. Spis treści. Dzień 1. I OPC motywacja, zakres zastosowań, podstawowe pojęcia dostępne specyfikacje (wersja 1501)

Spis treści INTERFEJS (WEBSERVICES) - DOKUMENTACJA TECHNICZNA 1

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

OPERATOR SYSTEMU PRZESYŁOWEGO

elektroniczna Platforma Usług Administracji Publicznej

Księgarnia PWN: Jan De Clercq, Guido Grillenmeier - Bezpieczeństwo Microsoft Windows. Podstawy praktyczne

ZAPYTANIE OFERTOWE. z dnia 20 grudnia 2013r.

1. WSTĘP 2 2. BEZPIECZEŃSTWO DOSTĘPU I KOMUNIKACJI 3 3. BEZPIECZEŃSTWO ZLECEŃ 6 4. PROCEDURA AKTYWACJI LOGI SYSTEMOWE DALSZE INFORMACJE 11

procertum SmartSign 3.2 wersja 1.0.2

Portal SRG BFG. Instrukcja korzystania z Portalu SRG BFG

Transkrypt:

Wykorzystanie.0 w systemie epuap Spis treści 1 Wstęp... 2 2 Co to jest.0... 3 3 Podstawowe cechy SAML... 4 4 Znane biblioteki dla realizacji.0... 5 5 Inne specyfikacje określające SSO... 6 6 Wykorzystanie standardów technologicznych w produkcie DRACO... 7 7 Diagram sekwencji w DRACO... 8 8 Szczegółowe przypadki użycia... 9 8.1 Autoryzacja użytkownika... 9 8.2 Autoryzacja systemu w imieniu użytkownika... 13 8.3 Usunięcie kontekstu bezpieczeństwa... 15

1 Wstęp System epuap będący platformą dostępu do usług publicznych zarówno w pierwszej fazie jak i dalszym rozwoju ma za zadanie integrować systemy wykorzystywane przez administrację publiczną. Jedną z podstawowych cech projektu epuap jest możliwość realizacji jednokrotnego logowania (Single Sign On) użytkowników do heterogenicznych systemów podmiotów publicznych. Warunkiem realizacji rozwiązania jest oparcie się o standard spełniający wymagania otwartości, powszechnie wykorzystywany, testowany i rozwijany przez niezależną międzynarodową organizację.

2 Co to jest.0 Specyfikacja Security Assertion Markup Language (SAML) została opracowana przez OASIS 1 dla realizacji uwierzytelnienia i przekazywania tożsamości oraz atrybutów tożsamości pomiędzy systemami komputerowymi. Ma zastosowanie w środowiskach i systemach, w których proces uwierzytelnienia jest niezależny od pozostałych komponentów stanowi usługę dla systemu. Dotychczas opracowano i zatwierdzono następujące wersje specyfikacji SAML: 1.0 5 (listopad 2002), 1.1 (wrzesień 2003) i 2.0 (marzec 2005). Standardy SAML 1.0 i 1.1 definiują mechanizmy żądania i przesyłania zwrotnego kilku rodzajów komunikatów (asercji): asercji dotyczących uwierzytelnienia, asercji dotyczących atrybutów i asercji dotyczących decyzji. Standard.0 został rozbudowany o dodatkowe atrybuty bezpieczeństwa oraz możliwość przekazywania tożsamości użytkownika pomiędzy systemami korzystającymi z różnych technologii bezpieczeństwa. 1 OASIS, Organization for the Advancement of Structured Information Standards, to międzynarodowe konsorcjum o charakterze non-profit, zajmujące się rozwojem standardów e-biznesu, w tym także standardów sieciowych. Konsorcjum powstało w 1993 roku pod nazwą SGML Open, w celu promocji języka SGML, zmiana nazwy nastąpiła w 1998 roku, aby odzwierciedlić poszerzenie obszaru działań organizacji. W skład OASIS wchodzi ponad 5 tysięcy podmiotów z ponad 100 krajów, w tym ponad 600 organizacji. Proces podejmowania decyzji przez członków konsorcjum jest otwarty i demokratyczny. Prace odbywają się obecnie między innymi w takich działach jak usługi sieciowe, e-handel, bezpieczeństwo, prawo i administracja, aplikacje, dokumenty, przetwarzanie XML czy zgodność i współpraca.

3 Podstawowe cechy SAML Specyfikacja SAML jest standardem otwartym, bezpłatnie udostępnianym oraz utrzymywanym i rozwijanym przez niezależną międzynarodową organizację OASiS. Utrzymywanie tego standardu przez niezależną instytucję gwarantuje otwartość standardu w przyszłości. Specyfikacja SAML jest rozwijana i testowana przez kilkadziesiąt ośrodków technologicznych (firm i instytucji naukowych od 7 lat). W ramach tych prac została zaimplementowana w wielu rozwiązaniach informatycznych i językach programowania. Procesy dostępu (uwierzytelnienia, autoryzacji i przekazania tożsamości między systemami) są podstawowym elementem podlegającym obserwacji hackerów i częstym atakiem. SAML ze względu na długą historię, nowe wersje i wiele implementacji był poddany testom i wielokrotnym próbom ataku. Specyfikacja SAML została stworzona dla systemów o różnej budowie, różnych technologiach uwierzytelnienia. Wiele rozwiązań aktualnie dostępnych na rynku ma zaimplementowane scenariusze i możliwości integracji z innymi systemami w oparciu o standard SAML, występujące biblioteki dla popularnych języków oprogramowania i rozwiązań tj. serwery WWW i serwery aplikacji. Każde rozwiązanie informatyczne podlega naturalnej ewolucji. Specyfikacja SAML będzie się rozwijała i będzie dostosowywana do nowych potrzeb. Jej rozwój będzie ściśle kontrolowany oraz będzie zakładał wykorzystanie wcześniejszych doświadczeń i standardów.

4 Znane biblioteki dla realizacji SAML 2.0 Specyfikacja.0 została zaimplementowana w kilkudziesięciu znanych i dostępnych bibliotekach. Poniżej zostały wymienione biblioteki, które zostały poddane specjalistycznym testom zgodności ze specyfikacją. Większość z tych bibliotek jest udostępniona na bazie licencji otwartej. OpenSAML biblioteka dla języków C++ i Java dostępna na licencji otwartej i dystrybuowana wraz z oprogramowaniem Apache 2.0 Shibboleth biblioteka dla języków Java I C++ dostępna na licencji otwartej OpenSSO rozwiąznie J2EE dla aplikacji i serwerów Web PingFederate Sun Federated Access Manager Symlabs Federated Identity Suite realizuje wsparcie dla wielu rozwiązań, realizuje wszystkie profile.0 ZXID.org Identity Management implementuje.0. w C. Umożliwia wykorzystanie mechanizmów PHP, Perl i Java

5 Inne specyfikacje określające SSO Poza specyfikacją.0 są dostępne następujące specyfikacje realizujące funkcje jednokrotnego logowania oraz przekazania tożsamości: Specyfikacja WS-Trust została opracowana przez IBM, Microsoft. Nie została ona jednak jeszcze zatwierdzona jako standard ani przez żadną niezależną organizację. Zakres tej specyfikacji pokrywa się częściowo ze specyfikacją SAML. Podobnie jak w SAML, w WS-Trust zdefiniowano sposoby uwierzytelniania dostępu do usług przy pomocy trzeciej strony pełniącej funkcję ośrodka autoryzacji. Specyfikacja WS-Federation została opracowana przez IBM, Microsoft. Jej najnowsza wersja ukazała się lipcu 2003. Umożliwia ona stworzenie mechanizmów tłumaczenia np. żetonów bezpieczeństwa stosowanych przez różne systemy. Standard ID-WSF został opracowany przez Liberty Aliance w celu rozwiązywania podobnych problemów co WS-Federation i częściowo się z nim pokrywa. W przeciwieństwie do WS-Federation, który opiera się na innych standardach IBMa i Microsoftu (np. WS-Trust), ID-WSF jest oparty o standardy SAML, WS-Security i SSL.

6 Wykorzystanie standardów technologicznych w produkcie DRACO Zadania systemu DRACO jako komponentu bezpieczeństwa w systemie epuap są następujące: uwierzytelnianie użytkowników końcowych korzystających z przeglądarek internetowych uwierzytelnianie systemów zewnętrznych łączących się z systemem epuap autoryzacja systemów oraz użytkowników do zasobów Standardy wykorzystywane w produkcie bazują na wytycznych pochodzących z rozporządzenia w sprawie minimalnych wymagań dla systemów teleinformatycznych podmiotów publicznych standard te wykorzystywane są w następujący sposób: Komunikacja użytkowników portal WWW wykorzystanie protokołu SSL/TLS Uwierzytelnienie systemów zewnętrznych do system epuap wykorzystnie SSL Komunikacja pomiędzy systemem epuap, a systemami zewnętrznymi wykorzystanie IPSec Cześć funkcjonalności wymaganej w SIWZ dotyczącej funkcjonalności SSO oraz wymaganego rozszerzonego modelu uwierzytelniania oraz autoryzacji wymusza konieczność skorzystania z dodatkowych standardów technologicznych nie objętych rozporządzeniem w sprawie minimalnych wymagań dla systemów teleinformatycznych. Jednakże stanowiących otwarte i powszechnie używane standardy. Dodatkowo system DRACO korzysta z następujących standardów: WS-Security - w kontekście uwierzytelniania oraz autoryzacji systemów zewnętrznych względem systemu epuap..0 - w kontekście uwierzytelnienia użytkowników oraz autoryzacji użytkowników portali WWW zastosowanie asercji.0. System DRACO umożliwia wykorzystanie.0 również w kontekście uwierzytelnienia oraz autoryzacji systemu zewnętrznego wobec epuap, co wiąże się z implementacją standardu SAML po stronie systemu uwierzytelniającego się (usługodawcy) zgodnie ze scenariuszami opisanymi w rozdziałach poniżej.

7 Diagram sekwencji w DRACO Poniższy rysunek przedstawia diagram sekwencji związany z protokołem uwierzytelniania użytkownika: Użytkownik Portal WWW System bezpieczeństwa Żądanie dostępu do usługi Przekierowanie do serwera bezpieczeństwa Żądanie uwierzytelniania Przekierowanie do serwera bezpieczeństwa Uwierzytelnienie Wydanie artefaktu asercji SAMLResponse Przekierowanie do portalu (SAML Consumer) Zapytanie o asercję AuthZDecisionStatementType Asercja AuthZDecisionStatementType

8 Szczegółowe przypadki użycia 8.1 Autoryzacja użytkownika Nazwa przypadku użycia: PD_UC_21_autoryzacja_użytkownika IIB, III PD_UC_21_autoryzacja_użytkownika IIB, III Warunki początkowe: Użytkownik próbuje odwołać się do określonego URLa, pod którym działająca aplikacja stwierdza, iż dany użytkownik nie posiada identyfikatora TGSID w tej sesji aplikacyjnej dla tego URL. Użytkownik zostaje przekierowany przez aplikację pod danym URL na Usługę Autoryzacyjną z załączonym parametrem określającym pierwotny URL oraz identyfikatorami aplikacji, do których wymagany jest dostęp Alternatywnie użytkownik zostaje przekierowany na Usługę Autoryzacyjną za pomocą HTTP Redirect Binding zgodnie z Web Browser SSO Profile. Wynik końcowy: Decyzja autoryzacyjna dla uwierzytelnionego użytkownika Usługa bezpieczeństwa zwraca informacje o przyczynie odmowy autoryzacji(wyczerpanie limitów, aplikacja spoza epuap do uwierzytelnienia za pomocą WS-Security użyła innego certyfikatu niż ten powiązany z aplikacją). Odpowiedź na AuthnRequest jako HTTP Artifact Binding. Reguły: etap II Uprawnienie moze mieć ustawiona flagę, która oznacza, że jest ono dostepne dla wszystkich uwierzytelnionych uzytkowników.uwzgledniane to jest przy pytaniu autoryzacyjnym. etap III Od aplikacji zależy czy będzie wykorzystywała mechanizmy SAML albo natywne Draco.

Usługa ustawia początkową wartość licznika po zakończeniu zadanego interwału. Zliczanie globalnej ilości wywołań uprawnienia w zadanym interwale czasu (zgodnie z konfiguracją uprawnienia) jest odpowiedzialnością aplikacji udostępniającej chroniony zasób, a nie podsystemu bezpieczeństwa. W przypadku, gdy dany podmiot ma przypisane uprawnienie ze zdefiniowanymi limitami wynikające z kilku ról globalnych, stosowana jest największa wartość limitu. Limity wykorzystania uprawnienia są zliczane per organizacja. W przypadku, gdy aplikacja wywołuje zapytanie autoryzacyjne dla nieuwierzytelnionego użytkownika, do zasobu wymagającego Visual Challenge będzie ona dwukrotnie przekierowana (raz na Usługę Uwierzytelniającą, raz na VC). <modyfikacja> Uprawnienie może mieć flagę, że jest dostępne dla użytkowników posiadających zaufany profil konta lub działających w organizacji posiadającej zaufany profil podmiotu. Uwzględniane to jest przy pytaniu autoryzacyjnym. Agent wskazuje jaki certyfikat jest powiązany z daną aplikacją. <modyfikacja> Przy HTTP Redirect Binding będzie obsługiwany jedynie encoding urn:oasis:names:tc:saml:2.0:bindings:url-encoding:deflate. Pierwotny URL będzie przekazywany jako AssertionConsumerServiceURL z AuthnRequest, a identyfikatory aplikacji jako Issuer (<saml:issuer><saml:nameid NameQualifier= hetman.epuap.gov.pl format= urn:oasis:names:tc:saml:1.1:nameidformat:unspecified >...). Odpowiedź na AuthnRequest jako HTTP Artifact Binding (przekazanie TGSID). Odpytanie o asercję przy pomocy Artifact Resolution Protocol komunikat ArtifactResolve zawierający Artifact mający wartość TGSID. Odpwiedź komunikat ArtifactResponse nie jest podpisany i zawiera asersję AuthnStatement o identyfikatorze ID z wartością TGSID. AuthnStatement zawiera: element Subject zawierający login uzytkownika (<saml:subject><saml:nameid NameQualifier= hetman.epuap.gov.pl format= urn:oasis:names:tc:saml:1.1:nameidformat:unspecified >...) element SubjectConfirmation typu urn:oasis:names:tc:saml:2.0:cm:bearer zawierający SubjectConfirmationData z elementami InResponseTo zawierającym identyfikator requestu, Recipient będący wartością AssertionConsumerServiceURL z AuthnRequest. oraz NotOnOrAfter zawierający czas ważności odpowiedzi. element AuthnContext zawierający saml:authncontextclassref> ustawiony na URI: urn:oasis:names:tc:saml:2.0:ac:classes:password lub URI: urn:oasis:names:tc:saml:2.0:ac:classes:x509 <saml:issuer>https://hetman.euap.gov.pl</saml:issuer> - nazwa isku era może ulec zmianie

Przebieg podstawowy - dla użytkownika bez kontekstu bezpieczeństwa (użytkownika): 1.Wywołanie - wywołanie PD_UC_20_Uwierzytelnij 2.Użytkownik jest przekierowany na pierwotny URL z załączonym parametrem określającym wartość identyfikatora TGSID. Alternatywnie użytkownik jest przekierowany na pierwotny URL jako HTTP Artifact Binding będący częścią Web Browser SSO Profile. Aplikacja wykorzystuje Artifact Resolution Profile do pobrania odpowiedzi uwierzytelniającej (pytanie przy użyciu elementu AssertionIDRequest z wartością TGSID) z asercją AuthnStatement przy użyciu soap binding. Krok 3,4 i 5 są wykonywane dla każdej pary aplikacja-uprawnienie. 3.Aplikacja odczytuje identyfikator TGSID i na jego podstawie zadaje pytanie autoryzacyjne do Usługi Bezpieczeństwa jako parametry podając identyfikator TGSID oraz wymaganą aplikację i uprawnienie. Aplikacja zadaje pytanie autoryzacyjne za pomocą AuthzDecisionQuery w SOAP Binding. Komunikat AuthzDecisionQuery zawiera element Resorce bedący identyfikatorem aplikacji, Action zawierający nazwę uprawnienia (<action namespace= hetman.epuap.gov.pl...) oraz Evidence zawierający TGSID w elemencie AssertionIDRef. <modyfikacja> 4.W przypadku, gdy usługa jest spoza epuap, usługa bezpieczeństwa sprawdza czy certyfikat usługi S2 użyty do uwierzytelnienia się do usługi bezpieczeństwa(za pomocą WS- Security) w celu zadania pytania, jest powiązany z aplikacją, do której odnosi się zapytanie. </modyfikacja> 5.Usługa bezpieczeństwa zwraca decyzję autoryzacyjną, czas ważności decyzji, ilość możliwych wykorzystań uprawnienia, informację czy uprawnienia wymaga interakcji z człowiekiem. Usługa bezpieczeństwa zminiejsza aktualny licznik dla organizacji o wartość zwróconą przez zapytanie autoryzacyjne. Wartość ta jest równa ilości możliwych wykorzystań uprawnienia. 6.W przypadku, gdy uprawnienie wymaga interakcji z człowiekiem następuje wywołanie PD_UC_62 weryfikacja Visual Challenge. Alternatywnie usługa bezpieczeństwa zwraca decyzję autoryzacyjną jako Assertion z AuthzDecisionStatement zawierającą tylko Element Resource o wartośći identyfiaktora aplikacji, Action o wartości uprawnienia oraz Decision. Ilość możliwych użyć

uprawnienia oraz VC określa element Condition z Assertion (będzie to rozszerzenie typu podstawowego). 7.Aplikacja cache uje odpowiedź na czas określony w kroku 4, aby w przypadku ponownej próby dostępu użytkownika do danej aplikacji i uprawnienia nie było konieczności ponownej interakcji z systemem bezpieczeństwa. Ponadto usługa otrzymany identyfikator TGSID powinna przepisać do Cookie lub użyć metody hidden input. Przebieg alternatywny: - dla użytkownika z kontekstem bezpieczeństwa (użytkownika): 1.Użytkownik jest przekierowany na pierwotny URL z załączonym parametrem określającym wartość identyfiaktora TGSID. Krok 2,3 i 4 są wykonywane dla każdej pary aplikacja-uprawnienie. 2.Aplikacja odczytuje identyfikator TGSID i na jego podstawie zadaje pytanie autoryzacyjne do Usługi Bezpieczeństwa jako parametry podając identyfikator TGSID oraz wymaganą aplikację i uprawnienie. 3.Usługa bezpieczeństwa zwraca decyzję autoryzacyjną, czas ważności decyzji, ilość możliwych wykorzystań uprawnienia, informację czy uprawnienia wymaga interakcji z człowiekiem. Usługa bezpieczeństwa zmniejsza aktualny licznik dla organizacji o wartość zwróconą przez zapytanie autoryzacyjne. Wartość ta jest równa ilości możliwych wykorzystań uprawnienia. 4.W przypadku, gdy uprawnienie wymaga interakcji z człowiekiem następuje wywołanie PD_UC_62 weryfikacja Visual Challenge. 5.Aplikacja cache uje odpowiedź na czas określony w kroku 3, aby w przypadku ponownej próby dostępu użytkownika do danej aplikacji i uprawnienia nie było konieczności ponownej interakcji z systemem bezpieczeństwa. Ponadto usługa otrzymany identyfikator TGSID powinna przepisać do Cookie lub użyć metody hidden input. Przebieg alternatywny - odmowna odpowiedź autoryzacyjna dla użytkownika bez kontekstu bezpieczeństwa (użytkownika): 1.Wywołanie - wywołanie PD_UC_20_Uwierzytelnij 2.Użytkownik jest przekierowany na pierwotny URL z załączonym parametrem określającym wartość identyfikatora TGSID. Krok 3,4 i 5 są wykonywane dla każdej pary aplikacja-uprawnienie. 3.Aplikacja odczytuje identyfikator TGSID i na jego podstawie zadaje pytanie autoryzacyjne do Usługi Bezpieczeństwa jako parametry podając identyfikator TGSID oraz wymaganą aplikację i uprawnienie. 4.Usługa bezpieczeństwa zwraca odmowną decyzję autoryzacyjną 5.Wywołanie PD_UC_41_Obsługa_odmowy_autoryzacji Przebieg alternatywny - odmowna odpowiedź autoryzacyjna w wyniku wyczerpania kwoty:

1.Użytkownik jest przekierowany na pierwotny URL z załączonym parametrem określającym wartość identyfikatora TGSID. Krok 2,3 i 4 są wykonywane dla każdej pary aplikacja-uprawnienie. 2.Aplikacja odczytuje identyfikator TGSID i na jego podstawie zadaje pytanie autoryzacyjne do Usługi Bezpieczeństwa jako parametry podając identyfikator TGSID oraz wymaganą aplikację i uprawnienie. 3.Usługa bezpieczeństwa zwraca odmowną decyzję autoryzacyjną, czas ważności odpowiedzi oraz informację, że odmowa wynika z wyczerpania limitu 4.Aplikacja wyświetla odpowiedni komunikat użytkownikowi 8.2 Autoryzacja systemu w imieniu użytkownika Nazwa przypadku użycia: PD_UC_25_autoryzacja systemu w imieniu użytkownika III PD_UC_25_autoryzacja systemu w imieniu użytkownika III PD_UC_25_autoryzacja systemu w imieniu użytkownika III Warunki początkowe: Aplikacja WWW wykorzystująca usługę S1. W przypadku, gdy jako S2 występuje epuap,komunikacja z usługi S1 do S2 odbywa się w nawiązanym przez S1 tunelu SSL(co umożliwia potwierdzenie tożsamości epuapu); wszystkie komunikaty z S1 do S2 są podpisane WS-Security, co potwierdza tożsamość systemu S1. Wymagana odpowiednia konfiguracja usługi S2 umieszczenie w jej konfiguracji certyfikatów akceptowanych przez nią CA (zaufanych przez epuap). W przypadku, gdy epuap występuje jako S1(nawiązuje komunikacje do systemu S2), uwierzytelnienie epuapu przez S2 odbywa się w oparciu o WS-Security. Protokół nie zapewnia uwierzytelnienia systemu S2(można to zapewnić za pomocą VPN). Wynik końcowy: Decyzja autoryzacyjna Reguły: Uprawnienie może mieć ustawiona flagę, która oznacza, że jest ono dostępne dla wszystkich uwierzytelnionych użytkowników. Uwzględniane to jest przy pytaniu autoryzacyjnym. Usługa S2 sama zlicza ilość wywołań poszczególnych uprawnień(kwoty globalne).

Usługa ustawia początkową wartość licznika po zakończeniu zadanego interwału. Pytanie autoryzacyjne realizowane jako AuthzDecissionQuery po SOAP Binding. TGSID przekazywane jako referencja do asercji uwierzytelniającej (tej która zawiera AuthnStatement) w elemencie Evidence. Aplikacja przekazywana jako atrybut Resource, a uprawnienie jako element Action. Odpowiedź zwracana w Assertion z AuthzDecisionStatement. Decyzja zwracana w atrybucie Decision, a dodatkowe informacje w Action. Ustawiane będą tylko wymagane elementy i atrybuty oprócz wymienionych. Pytanie autoryzacyjne o uprawnienia aplikacji A dostępne tylko dla aplikacji A. Realizacja przez podpis WS-Security certyfikatem odpowiadającym aplikacji A. Uprawnienie może mieć flagę, że jest dostępne dla użytkowników posiadających zaufany profil konta lub działających w organizacji posiadającej zaufany profil podmiotu. Uwzględniane to jest przy pytaniu autoryzacyjnym. Agent wskazuje jaki certyfikat jest powiązany z daną aplikacją. Przebieg podstawowy: 1.Usługa S2 odczytuje wartość TGSID przekazaną przez usługę S1 i na jej podstawie zadaje pytanie autoryzacyjne do Usługi Bezpieczeństwa jako parametry podając TGSID oraz żądaną przez S1 aplikację i uprawnienie. 2.W przypadku, gdy usługą S2 nie jest epuap, usługa bezpieczeństwa sprawdza czy certyfikat usługi S2 użyty do uwierzytelnienia się do usługi bezpieczeństwa(za pomocą WS- Security) w celu zadania pytania, jest powiązany z aplikacją, do której odnosi się zapytanie. 3.Usługa bezpieczeństwa zwraca S2 decyzję autoryzacyjną, czas ważności decyzji, ilość możliwych wykorzystań uprawnienia. Usługa bezpieczeństwa zmniejsza aktualną wartość licznika dla organizacji. 4.Usługa S2 cache uje odpowiedź na czas z kroku 2, aby w przypadku ponownej próby dostępu systemu S1 do danego zasobu nie musieć ponownie przeprowadzać interakcji z systemem bezpieczeństwa. Przebieg alternatywny: 1.Usługa S2 odczytuje wartość asercji odpowiadającej TGID przekazaną przez usługę S1 (<soap:header><tgsid>wartośćtgsid</tgsid>... </soap:header> ) i na jej podstawie zadaje pytanie autoryzacyjne do Usługi Bezpieczeństwa zgodnie z AuthzDecisionQuery zawierającym referencję asercji TGSID oraz żądaną przez S1 aplikację i uprawnienie. 2,3. Analogicznie do przebiegu podstawowego, tylko zwrócenie informacji autoryzacyjnej jako odpowiedzi na AuthzDecisionQuery.

8.3 Usunięcie kontekstu bezpieczeństwa Nazwa przypadku użycia: PD_UC_42_Usuń_kontekst_bezpieczeństwa Unieważneinie aktualnego kontekstu bezpieczeństwa (użytkownika) Warunki początkowe: Kontekst bezpieczeństwa Wynik końcowy: Unieważniony kontekst bezpieczeństwa Reguły: Wykorzystanie Single Logout Protocol po HTTP Redirect Binding. Przy HTTP Redirect Binding będzie obsługiwany jedynie encoding urn:oasis:names:tc:saml:2.0:bindings:url-encoding:deflate. Ustawiane są tylko wymagane elementy i atrybuty SAML. Przez inne podsystemy usunięcie kontekstu będzie widziane tylko jako odmowne odpowiedzi na pytania autoryzacyjne. Przebieg podstawowy: 1.Usunięcie kontekstu bezpieczeństwa( użytkownika). Przebieg alternatywny: 1.Usunięcie kontekstu realizowane jako Single Logout Protocol.

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres