際際滷

際際滷Share a Scribd company logo

Lightning saml

Download as ODP, PDF
Daniele Albrizio
Daniele Albrizio

Lightning talk su SAML Linuxday Trieste 2017

1 of 24
Download to read offline
1 Autenticazione SAML Alla base del Sistema Pubblico di Identit Digitale SPID Lightning Talk Linuxday 2017 Trieste Daniele Albrizio daniele@albrizio.it
2 Autenticazione WEB Applicata ai siti web Simile al meccanismo di pagamento con carta di credito online
3 Storia: Backend di autenticazione (diretta) Ldap Transito della password o dellhash sul frontend Autenticazione nativa Plaintext, md5, kerberos MSPPE/NTLMv2 ma con un superaccount sul frontend Bisogna fidarsi della benevolenza del frontend che non sempre 竪 un angioletto (servizi esternalizzati, siti web in cloud, ecc...)
4 Autenticazione delegata SAML Security Assertion Markup Protocol (web) Redirezione verso un autenticatore della propria organizzazione che restituisce lesito dellautenticazione al fornitore di servizi. Come quando si effettua un pagamento con la carta di credito. Le credenziali vengono immesse solo su un sito unico autorevole per lutente Radius tunnel (network) Lautenticazione e le credenziali arrivano in maniera protetta e privata fino al server dellorganizzazione di appartenenza dellutente. Al servizio arriva sono un Accept o un Reject
29 Maggio 2009 Daniele Albrizio - albrizio@units.it 5 Autenticazione: definizioniAutenticazione: definizioni Identit digitaleIdentit digitale AutenticazioneAutenticazione AutorizzazioneAutorizzazione
29 Maggio 2009 Daniele Albrizio - albrizio@units.it 6 Identit digitaleIdentit digitale Per essere sicuri chePer essere sicuri che un uomo o unaun uomo o una macchinamacchina in rete siano chiin rete siano chi dicono didicono di essere, abbiamoessere, abbiamo bisognobisogno di sistemi (entitdi sistemi (entit fidate) che nefidate) che ne autentichino l'identitautentichino l'identit (The New Yorker, Vol. 69 (LXIX) no. 20, page 61, July 5, 1993, by Peter Steiner)
29 Maggio 2009 Daniele Albrizio - albrizio@units.it 7 Policy based Access ControlPolicy based Access Control PEPPEP oo PolicyPolicy EnforcementEnforcement PointPoint che chiedeche chiede all'utente di identificarsi, passa le richiesta al PDP eall'utente di identificarsi, passa le richiesta al PDP e fornisce il servizio o meno a seconda di quantofornisce il servizio o meno a seconda di quanto risposto dal PDP.risposto dal PDP. PDP (Radius, Shibboleth IdP, middleware) Provisioning Run-time query User Client Sql DB Directory (AD, LDAP) PEP (access point, application server, switch, Shibboleth SP) OK
29 Maggio 2009 Daniele Albrizio - albrizio@units.it 8 Federazione di IdMFederazione di IdM Per noi vuol dire:Per noi vuol dire: Unione dei sistemi di gestione dell'identit inUnione dei sistemi di gestione dell'identit in modo da poter riconoscere anche gentemodo da poter riconoscere anche gente (identit) di altre Organizzazioni e conoscere i(identit) di altre Organizzazioni e conoscere i loroloro attributiattributi trasmessi contrasmessi con convenzioniconvenzioni semantichesemantiche..
29 Maggio 2009 Daniele Albrizio - albrizio@units.it 9 Autenticazione FederataAutenticazione Federata Si basa su tre attori principali:Si basa su tre attori principali: Identity Provider (IdP)Identity Provider (IdP) operato dalla home institution (Universit, IdPoperato dalla home institution (Universit, IdP SPID)SPID) Service Provider (SP)Service Provider (SP) operato dal fornitore di servizioperato dal fornitore di servizi
29 Maggio 2009 Daniele Albrizio - albrizio@units.it 10 Identity Provider (IdP)Identity Provider (IdP) L'IdP mantiene una lista di attriuti collegati adL'IdP mantiene una lista di attriuti collegati ad ID univoci. Gli attributi possono essere auto-ID univoci. Gli attributi possono essere auto- assegnati dall'entit stessa o attributi e ruoliassegnati dall'entit stessa o attributi e ruoli assegnati all'entit da altre entitassegnati all'entit da altre entit (organizzazioni).(organizzazioni). Autentica l'identit e rilascia attributi secondoAutentica l'identit e rilascia attributi secondo policy definite dal soggetto epolicy definite dal soggetto e dall'organizzazione.dall'organizzazione.
29 Maggio 2009 Daniele Albrizio - albrizio@units.it 11 Service Provider (SP)Service Provider (SP) L'entit che consuma (usa) gli attributi eL'entit che consuma (usa) gli attributi e l'autenticazione al fine di fornire o meno unl'autenticazione al fine di fornire o meno un servizio.servizio. Spesso il servizio viene personalizzato in baseSpesso il servizio viene personalizzato in base al valore degli attributi.al valore degli attributi.
29 Maggio 2009 Daniele Albrizio - albrizio@units.it 12 (WAYF Where Are You from)(WAYF Where Are You from) DS Discovery ServicesDS Discovery Services Servono agli utenti per selezionare il proprioServono agli utenti per selezionare il proprio IdP (Home Institution)IdP (Home Institution) allinterno dellaallinterno della Federazione o di pi湛 FederazioniFederazione o di pi湛 Federazioni IDEM 竪 la Federazione della Ricerca eIDEM 竪 la Federazione della Ricerca e dellIstruzione Italiana (WEB)dellIstruzione Italiana (WEB) eduGAIN 竪 la Federazione della Ricerca eeduGAIN 竪 la Federazione della Ricerca e dellIstruzione mondiale (WEB)dellIstruzione mondiale (WEB) SPID 竪 la Federazione delle identit pubblicheSPID 竪 la Federazione delle identit pubbliche italiane (WEB)italiane (WEB)
29 Maggio 2009 Daniele Albrizio - albrizio@units.it 13 https://wayf.idem.garr.it/WAYF/https://wayf.idem.garr.it/WAYF/
29 Maggio 2009 Daniele Albrizio - albrizio@units.it 14 Discovery degli IdP su SPIDDiscovery degli IdP su SPID
29 Maggio 2009 Daniele Albrizio - albrizio@units.it 15 Introducing the zoo of paper beasts - David Simonsen (WAYF)Introducing the zoo of paper beasts - David Simonsen (WAYF)
16 Pagina di login della propria organizzazione sul dominio della propria organizzazione
17 Privacy ToU (Terms of Use)
18 Informativa e autorizzazione al rilascio degli attributi
29 Maggio 2009 Daniele Albrizio - albrizio@units.it 19 Trust per gli utenti:Trust per gli utenti: ConsensoConsenso Stiamo usando informazioni strettamenteStiamo usando informazioni strettamente collegate all'utente, che lui considera sue.collegate all'utente, che lui considera sue. Il consenso dell'utente DEVE essere:Il consenso dell'utente DEVE essere: Volontario (nessuna costrizione)Volontario (nessuna costrizione) Specifico (per ogni singolo scopo)Specifico (per ogni singolo scopo) Informato (le domande devono essere capibili)Informato (le domande devono essere capibili)
29 Maggio 2009 Daniele Albrizio - albrizio@units.it 20 Principi per lo scambio dei datiPrincipi per lo scambio dei dati TrasparenzaTrasparenza Scopo legittimoScopo legittimo ProporzionalitProporzionalit
29 Maggio 2009 Daniele Albrizio - albrizio@units.it 21 FederazioneFederazione a Circle of Trusta Circle of Trust SEOULMAN66 / Alexander (CC) http://www.flickr.com/photos/wookiewookie/122305592/
29 Maggio 2009 Daniele Albrizio - albrizio@units.it 22 Single Sign OnSingle Sign On Permette di effettuare il login una sola volta ePermette di effettuare il login una sola volta e avere accesso automatico, senza reinserimentoavere accesso automatico, senza reinserimento delle credenziali, su tutti i siti collegati.delle credenziali, su tutti i siti collegati.
23 Multi Factor Authentication Qualcosa che uno sa Password, passphrase, pin Qualcosa che uno ha Chiave, Smartcard, Token OTP, Token card, bluetooth pairing, NFC tag, tessera magnetica, sms su cellulare?, tessera magnetica? Qualcosa che uno 竪 Impronta digitale, retinica, vocale riconoscimento facciale, auricolare impronta della mano o del piede, ecc Firma o calligrafia Stile della battitura sulla tastiera
24 Quest'opera 竪 stata rilasciata con licenza Creative Commons Attribuzione - Non commerciale - Condividi allo stesso modo 3.0 Italia. Per leggere una copia della licenza visita il sito web http://creativecommons.org/licenses/by-nc-sa/3.0/it/ o spedisci una lettera a Creative Commons, PO Box 1866, Mountain View, CA 94042, USA. Alcune immagini hanno licenze duso differenti e sono indicate sulle immagini stesse. Daniele Albrizio daniele@albrizio.it

More Related Content

Lightning saml

  • 1. 1 Autenticazione SAML Alla base del Sistema Pubblico di Identit Digitale SPID Lightning Talk Linuxday 2017 Trieste Daniele Albrizio daniele@albrizio.it
  • 2. 2 Autenticazione WEB Applicata ai siti web Simile al meccanismo di pagamento con carta di credito online
  • 3. 3 Storia: Backend di autenticazione (diretta) Ldap Transito della password o dellhash sul frontend Autenticazione nativa Plaintext, md5, kerberos MSPPE/NTLMv2 ma con un superaccount sul frontend Bisogna fidarsi della benevolenza del frontend che non sempre 竪 un angioletto (servizi esternalizzati, siti web in cloud, ecc...)
  • 4. 4 Autenticazione delegata SAML Security Assertion Markup Protocol (web) Redirezione verso un autenticatore della propria organizzazione che restituisce lesito dellautenticazione al fornitore di servizi. Come quando si effettua un pagamento con la carta di credito. Le credenziali vengono immesse solo su un sito unico autorevole per lutente Radius tunnel (network) Lautenticazione e le credenziali arrivano in maniera protetta e privata fino al server dellorganizzazione di appartenenza dellutente. Al servizio arriva sono un Accept o un Reject
  • 5. 29 Maggio 2009 Daniele Albrizio - albrizio@units.it 5 Autenticazione: definizioniAutenticazione: definizioni Identit digitaleIdentit digitale AutenticazioneAutenticazione AutorizzazioneAutorizzazione
  • 6. 29 Maggio 2009 Daniele Albrizio - albrizio@units.it 6 Identit digitaleIdentit digitale Per essere sicuri chePer essere sicuri che un uomo o unaun uomo o una macchinamacchina in rete siano chiin rete siano chi dicono didicono di essere, abbiamoessere, abbiamo bisognobisogno di sistemi (entitdi sistemi (entit fidate) che nefidate) che ne autentichino l'identitautentichino l'identit (The New Yorker, Vol. 69 (LXIX) no. 20, page 61, July 5, 1993, by Peter Steiner)
  • 7. 29 Maggio 2009 Daniele Albrizio - albrizio@units.it 7 Policy based Access ControlPolicy based Access Control PEPPEP oo PolicyPolicy EnforcementEnforcement PointPoint che chiedeche chiede all'utente di identificarsi, passa le richiesta al PDP eall'utente di identificarsi, passa le richiesta al PDP e fornisce il servizio o meno a seconda di quantofornisce il servizio o meno a seconda di quanto risposto dal PDP.risposto dal PDP. PDP (Radius, Shibboleth IdP, middleware) Provisioning Run-time query User Client Sql DB Directory (AD, LDAP) PEP (access point, application server, switch, Shibboleth SP) OK
  • 8. 29 Maggio 2009 Daniele Albrizio - albrizio@units.it 8 Federazione di IdMFederazione di IdM Per noi vuol dire:Per noi vuol dire: Unione dei sistemi di gestione dell'identit inUnione dei sistemi di gestione dell'identit in modo da poter riconoscere anche gentemodo da poter riconoscere anche gente (identit) di altre Organizzazioni e conoscere i(identit) di altre Organizzazioni e conoscere i loroloro attributiattributi trasmessi contrasmessi con convenzioniconvenzioni semantichesemantiche..
  • 9. 29 Maggio 2009 Daniele Albrizio - albrizio@units.it 9 Autenticazione FederataAutenticazione Federata Si basa su tre attori principali:Si basa su tre attori principali: Identity Provider (IdP)Identity Provider (IdP) operato dalla home institution (Universit, IdPoperato dalla home institution (Universit, IdP SPID)SPID) Service Provider (SP)Service Provider (SP) operato dal fornitore di servizioperato dal fornitore di servizi
  • 10. 29 Maggio 2009 Daniele Albrizio - albrizio@units.it 10 Identity Provider (IdP)Identity Provider (IdP) L'IdP mantiene una lista di attriuti collegati adL'IdP mantiene una lista di attriuti collegati ad ID univoci. Gli attributi possono essere auto-ID univoci. Gli attributi possono essere auto- assegnati dall'entit stessa o attributi e ruoliassegnati dall'entit stessa o attributi e ruoli assegnati all'entit da altre entitassegnati all'entit da altre entit (organizzazioni).(organizzazioni). Autentica l'identit e rilascia attributi secondoAutentica l'identit e rilascia attributi secondo policy definite dal soggetto epolicy definite dal soggetto e dall'organizzazione.dall'organizzazione.
  • 11. 29 Maggio 2009 Daniele Albrizio - albrizio@units.it 11 Service Provider (SP)Service Provider (SP) L'entit che consuma (usa) gli attributi eL'entit che consuma (usa) gli attributi e l'autenticazione al fine di fornire o meno unl'autenticazione al fine di fornire o meno un servizio.servizio. Spesso il servizio viene personalizzato in baseSpesso il servizio viene personalizzato in base al valore degli attributi.al valore degli attributi.
  • 12. 29 Maggio 2009 Daniele Albrizio - albrizio@units.it 12 (WAYF Where Are You from)(WAYF Where Are You from) DS Discovery ServicesDS Discovery Services Servono agli utenti per selezionare il proprioServono agli utenti per selezionare il proprio IdP (Home Institution)IdP (Home Institution) allinterno dellaallinterno della Federazione o di pi湛 FederazioniFederazione o di pi湛 Federazioni IDEM 竪 la Federazione della Ricerca eIDEM 竪 la Federazione della Ricerca e dellIstruzione Italiana (WEB)dellIstruzione Italiana (WEB) eduGAIN 竪 la Federazione della Ricerca eeduGAIN 竪 la Federazione della Ricerca e dellIstruzione mondiale (WEB)dellIstruzione mondiale (WEB) SPID 竪 la Federazione delle identit pubblicheSPID 竪 la Federazione delle identit pubbliche italiane (WEB)italiane (WEB)
  • 13. 29 Maggio 2009 Daniele Albrizio - albrizio@units.it 13 https://wayf.idem.garr.it/WAYF/https://wayf.idem.garr.it/WAYF/
  • 14. 29 Maggio 2009 Daniele Albrizio - albrizio@units.it 14 Discovery degli IdP su SPIDDiscovery degli IdP su SPID
  • 15. 29 Maggio 2009 Daniele Albrizio - albrizio@units.it 15 Introducing the zoo of paper beasts - David Simonsen (WAYF)Introducing the zoo of paper beasts - David Simonsen (WAYF)
  • 16. 16 Pagina di login della propria organizzazione sul dominio della propria organizzazione
  • 17. 17 Privacy ToU (Terms of Use)
  • 18. 18 Informativa e autorizzazione al rilascio degli attributi
  • 19. 29 Maggio 2009 Daniele Albrizio - albrizio@units.it 19 Trust per gli utenti:Trust per gli utenti: ConsensoConsenso Stiamo usando informazioni strettamenteStiamo usando informazioni strettamente collegate all'utente, che lui considera sue.collegate all'utente, che lui considera sue. Il consenso dell'utente DEVE essere:Il consenso dell'utente DEVE essere: Volontario (nessuna costrizione)Volontario (nessuna costrizione) Specifico (per ogni singolo scopo)Specifico (per ogni singolo scopo) Informato (le domande devono essere capibili)Informato (le domande devono essere capibili)
  • 20. 29 Maggio 2009 Daniele Albrizio - albrizio@units.it 20 Principi per lo scambio dei datiPrincipi per lo scambio dei dati TrasparenzaTrasparenza Scopo legittimoScopo legittimo ProporzionalitProporzionalit
  • 21. 29 Maggio 2009 Daniele Albrizio - albrizio@units.it 21 FederazioneFederazione a Circle of Trusta Circle of Trust SEOULMAN66 / Alexander (CC) http://www.flickr.com/photos/wookiewookie/122305592/
  • 22. 29 Maggio 2009 Daniele Albrizio - albrizio@units.it 22 Single Sign OnSingle Sign On Permette di effettuare il login una sola volta ePermette di effettuare il login una sola volta e avere accesso automatico, senza reinserimentoavere accesso automatico, senza reinserimento delle credenziali, su tutti i siti collegati.delle credenziali, su tutti i siti collegati.
  • 23. 23 Multi Factor Authentication Qualcosa che uno sa Password, passphrase, pin Qualcosa che uno ha Chiave, Smartcard, Token OTP, Token card, bluetooth pairing, NFC tag, tessera magnetica, sms su cellulare?, tessera magnetica? Qualcosa che uno 竪 Impronta digitale, retinica, vocale riconoscimento facciale, auricolare impronta della mano o del piede, ecc Firma o calligrafia Stile della battitura sulla tastiera
  • 24. 24 Quest'opera 竪 stata rilasciata con licenza Creative Commons Attribuzione - Non commerciale - Condividi allo stesso modo 3.0 Italia. Per leggere una copia della licenza visita il sito web http://creativecommons.org/licenses/by-nc-sa/3.0/it/ o spedisci una lettera a Creative Commons, PO Box 1866, Mountain View, CA 94042, USA. Alcune immagini hanno licenze duso differenti e sono indicate sulle immagini stesse. Daniele Albrizio daniele@albrizio.it