ULAKAAI Kimlik Federasyonu. Serdar Yiğit ULAKNETÇE 2011

Serdar Yiğit

ULAKNETÇE 2011

ULAKAAI

Kimlik Federasyonu

Başlıklar

• Motivasyon

• Kimlik Doğrulama ve Yetkilendirme

• KDY Mekanizmaları

– Dağıtık

– Tek Oturum Açma ( SSO )

• Kimlik Federasyonu Kavramı

• ULAKAAI Kimlik Federasyonu

– ULAKAAI Bileşenleri

• REFEDs

– SWITCHaai, UKFederation

• eduGAIN

Motivasyon

• Gün geçtikçe ULAKNET içindeki çoklu etki alanları arasında çalışan servisler artıyor, artacak.

– Kütüphane Servisleri

– Uzaktan Eğitim Servisleri – ULAKNET Servisleri

– ….. Servisler

• “ULAKNET içerisindeki farklı etki alanları arasında kimlik doğrulama ve yetkilendirme” nasıl gerçekleştirilmeli”

 Şu anki işleyiş ve özel çözümler

 Tek oturum açma yöntemi ( SSO )

 Federasyon Kavramı

Kimlik Doğrulama ve Yetkilendirme

• Kimlik Doğrulama

– Kullanıcı adı + parola + diğer bilgilerin doğruluğu /etc/passwd rfid kerberos PKI

Biometrics One-Time Pass

• Yetkilendirme

– Servise erişim yetkisi kontrolü LDAP Radius

vb.

Kimlik Doğrulama ve Yetkilendirme

Mekanizmaları ( ^{Dağıtık )}

Kimlik Doğrulama ve Yetkilendirme Mekanizmaları ( ^Dağıtık)

• Dezavantajları

– Kullanıcı açısından parola yönetimi

– Yönetim ve bakım için harcanan işgücü

• Avantajları

– “Uygulaması kolay”?

Kimlik Doğrulama ve Yetkilendirme Mekanizmaları

Tek Oturum Açma ( Single Sign-On)

Kerberos Shibboleth SimpleSAMLphp JBOSS SSO

Google Apps SSO Athens Service OpenID

Kimlik Doğrulama ve Yetkilendirme Mekanizmaları

Tek Oturum Açma ( Single Sign-On)

• Avantajları

– Kullanıcı bilgileri kurum içinde ( Kısmen ) – Kullanıcılar açısından parola yönetimi kolay – Sistemci açısından kimlik yönetimi kolay

– İşgücü ve maliyet düşük

• Dezavantajları

– Tek bir TOA (SSO) sunucusu kullanmak

– “Uygulamadaki zorluklar”?!

ULAKNET - Tek Oturum Açma

Kimlik Doğrulama ve Yetkilendirme Mekanizmaları

Tek Oturum Açma ( Single Sign-On)

• “TOA (SSO) - Çoklu etki alanları arasında çalışmak

için yeterli mi?!”

Kimlik Federasyonu Kavramı

• Kimlik Federasyonu ; – Belirli bir kural seti, – Teknik Standartlar,

altında tüm kimlik doğrulama ve yetkilendirme sistemlerinin birlikte çalışabilmesini amaçlar.

Böylece ;

• Farklı altyapıların birlikte çalışabilmesi,

• Altyapılar arası güvenin sağlanması,

• Etki alanlarındaki servislerin ağ dışına da açılması, gibi isteklere çözüm getirir.

ULAKAAI Kimlik Federasyonu ( Pilot )

ULAKAAI

– ULAKNET içerisindeki kdy sistemlerinin birleşmesini, – Elektronik kaynakların ve servislerin tüm etki alanıyla

paylaşılabilmesini,

sağlamak amacıyla kurulmuş kimlik federasyonudur.

ULAKAAI Kimlik Federasyonu

ULAKAAI Bileşenleri

• Teknik Bileşenler

– Kimlik Sağlayıcılar

• Kimlik Doğrulama ( authentication )

• Kullanıcı Nitelikleri ( user attributes )

– Servis Sağlayıcılar

• Yetkilendirme ( authorization )

• Nitelik Filtreleme ( attribute filtering )

– Federasyon Bağlantı Noktası

• Karşılama Servisi ( Discovery Service )

• Metadata Deposu

– Federasyon KS ve SS Bilgileri

ULAKAAI Bileşenleri

ULAKAAI Bileşenleri

• İdari

– ULAKAAI Yönetim Grubu

• Federasyona katılım ( idari işler )

• Diğer federasyonlarla ilişkiler

– ULAKAAI İşletim Grubu

• Federasyona katılım ( teknik işler )

* Federasyon Politikası *

• Kural Seti ( Sözleşme )

• Kurum ile Federasyon Merkezi arasında imzalanır.

ULAKAAI Bileşenleri

Federasyonsuz KDY

Servis Sağlayıcı Kimlik Sağlayıcı

• Kullanıcı kimlik ve nitelik bilgileri herkesçe biliniyor

• Servis Sağlayıcı gereğinden fazla ve ihtiyacından daha az veriye sahip

• Kurumların değerli bilgileri, servislere dağıtılıyor

Federasyonlu

Servis Sağlayıcı Kimlik Sağlayıcı

4) Kimlik Bilgileri ve Yetkileri

• Kullanıcı kimlik bilgileri kurum içerisinde kalıyor

• Servis Sağlayıcı sadece ihtiyacın olanı biliyor

• Dağıtılılan nitelikler azalıyor ve daha kontrollü gerçekleşiyor

ULAKAAI

• Federasyon Uygulamaları

– SimpleSAMLphp – Shibboleth

– Federasyonlar tarafından geliştirilen diğer uygulamalar

• SAML Protokolü

– Etki alanları arasında ( KS <-> SS ) kimlik doğrulama ve yetkilendirme verilerinin değişimi için kullanılan XML tabanlı açık standarttır.

– OASIS tarafından geliştirilmiş

– Avustralya,Danimarka,Finlandiya,Fransa,Norveç,İsviçre,İs

veç,Amerika SAML tabanlı federasyonlar

ULAKAAI Pilot

• Federasyon Uygulamaları

– SimpleSAMLphp

• LDAP, sql, radius vb. modulleri var,

• Kurulumu ve bakımı kolay,

– Türkçe kurulum dökümanı hazırlandı.

• Web geliştirici ekibimiz konuya hakim

• Free Software

– Shibboleth

• SAML destekliyor,

• Türkçe doküman yok, uygulayan yazarsa seviniriz ;)

REFEDS Research and

Education Federations

ULAKAAI Pilot

Dünyadaki Kimlik Federasyonları İstatistikler

• Dünya Genelinde 30 Federasyon bulunuyor. ( Akademik )

• SWITCHaai ( İsviçre Akademik Ağı Genelinde )

• Ağustos 2005 ‘ ten bu yana çalışır halde,

• 300'000 akademik personel (İsviçre Akademik Ağının %96 ‘ sı)

• 44 Kimlik Sağlayıcı (IDP), 475 Servis Sağlayıcı (SP)

• Son 12 ayda 10 Milyon oturum açılmış

• UKFederation ( İngiltere Genelinde )

• 30 Ekim 2006 ‘ dan bu yana çalışır halde

• Üye Kurum Sayısı (Lise ve Üniversiteler dahil) 864

• İngiltere Akademik Ağının %90 ‘ ı

eduGAIN

• eduGAIN

• Federasyonların Federasyonu

• eduroam mimarisi gibi, federatif bir yapı,

 Network tabanlı SSO : eduroam

 Web/Servis tabanlı SSO : eduGAIN

eduGAIN

• eduGAIN ‘ e Katılım

• Kural Seti

• Teknik Standartlar

• ULAKAAI katılıyor, üniversiteler ULAKAAI üzerinden dahil

oluyor.

• Avrupa ‘ daki servislerden ULAKNET kullanıcıları da yararlanabiliyor

ULAKAAI Pilot

• ULAKAAI Pilot Aşaması ilerleyen günlerde

• Web sitesi http://aai.ulak.net.tr

• Kurulum ve çeviri dökümanları

• [email protected]

• ÇOMÜ ile testler devam ediyor. Testlere

katılmak isteyen diğer kurumlar ile bir çalışma

grubu oluşturulup çalışmalara devam edilecek.

Sorular – Eksikler

?