Uloskirjautuminen Shibbolethissa

Samankaltaiset tiedostot
ULOSKIRJAUTUMINEN SHIBBOLETHISSA. Asko Tontti. Kandidaatintyö

Haka-käyttäjien kokoontuminen Arto Tuomi CSC Tieteen tietotekniikan keskus

1 Virtu IdP- palvelimen testiohjeet

TKK: Shibboleth toteutuksia ja projekteja. Markus Melin

Käyttöönottosuunnitelma Virtu-kotiorganisaatiolle

IdP SaaS Palveluna Miksi sitä tarvitaan? Mikä se on? Kenelle se on tarkoitettu? 2009 Tieto Corporation 2/5/2010

Julkishallinnon tunnistuksen ohjauspalvelun kehityshanke mitä PoC-vaihe on opettanut? Manne Miettinen, Henri Mikkonen ja Arto Tuomi

Helsingi yliopiston kevytkäyttäjähallintosovelluksen rajapintakuvaus

Käyttöönottosuunnitelma Virtu-palveluntarjoajalle

Valtiokonttori Käyttöönotto 1 (6) suunnitelma Virtu Käyttöönottosuunnitelma Virtu-kotiorganisaatiolle

Mikä on Discovery Service?

Palvelun rekisteröinti Virtu - luottamusverkostoon / testipalveluun

Oskarin avulla kaupungin karttapalvelut kuntoon

Virkamiehen tunnistamisen luottamusverkosto Virtu vapauttaa salasanaviidakosta Kotiviraston näkökulma

ISACA Finland OWASP The OWASP Foundation. Timo Meriläinen Antti Laulajainen.

Federoidun identiteetinhallinnan periaatteet

Luottamusverkosto. Shibboleth-asennuskoulutus CSC Tieteen tietotekniikan keskus Oy CSC IT Center for Science Ltd.

VIRTUAALITOIMISTO. Käyttäjän opas

Tietoturvan haasteet grideille

Tietoturvan haasteet grideille

Haka mobiilitunnistuspilotti

KTJkii-rekisterinpitosovellus ja Kunta tiedostosiirto

Yhteistyökumppanit kirjautuvat erikseen annetuilla tunnuksilla osoitteeseen

Palvelun Asettaminen Virtuun

Haka-palveluiden valvonta ja tilastointi AAIEye -työkalun avulla. Mika Suvanto, CSC

Web Service torilla tavataan!

XPages käyttö ja edut Jarkko Pietikäinen toimitusjohtaja, Netwell Oy

KYMENLAAKSON AMMATTIKORKEAKOULU Tietotekniikan koulutusohjelma / Ohjelmistotekniikka

Web sovelluksen kehittäminen sähkönjakeluverkon suojareleisiin

HY:n alustava ehdotus käyttäjähallintotuotteesta

AsioEduERP v12 - Tietoturvaparannukset

Järjestelmäarkkitehtuuri (TK081702)

HY:n ehdotus käyttäjähallintotuotteesta

Julkishallinnon yhteinen SAML 2.0-profiili

Järjestelmäarkkitehtuuri (TK081702) Pilvipalvelut. Pilvipalvelut - lähtökohtia

Federoidun identiteetinhallinnan

Virtuaalityöpöydät (VDI) opintohallinnon järjestelmien käyttöympäristönä.

HY:n ehdotus käyttäjähallintotuotteesta

KTJkii-rekisterinpitosovelluksen ohje tiedostojen siirto työaseman ja palvelimen välillä

LAURA TM -rekrytointijärjestelmän tietoturva. Markku Ekblom Teknologiajohtaja Uranus Oy

Sähköinen tunnistus korkeakouluissa. TieVie-lähiseminaari Mikael Linden Tieteen tietotekniikan keskus CSC

PK-yrityksen kertakirjautumisen toteuttaminen

Potilastiedot ja tietoturvallisuus Tietoturvaselvitykset ja asiantuntijakonsultointi roolipohjaisen käyttäjähallinnan osalta

Pekka Hagström, Panorama Partners Oy

Käyttäjän tunnistus yli korkeakoulurajojen

Ohjelmiston toteutussuunnitelma

SOA & Ajax Sanahelinää vai toimivaa käytäntöä sähköisessä asioinnissa? Fenix hankejohtaja Harri Juuti Projektipäällikkö Teemu Karvonen

Keskitetty käyttäjähallinto. VirtAMK-yhteyshenkilöpäivät Turku Jarmo Sorvari TAMK

Office ohjelmiston asennusohje

HY:n alustava ehdotus käyttäjähallintotuotteesta

Kansallinen palveluarkkitehtuuri TUNNISTUSPALVELU INFO

Federointi-investoinnin tehokas hyödyntäminen Haka- ja Virtu-seminaarissa

Mobiilivarmenteen käyttö Helsingin yliopistossa. Ville Tenhunen, Juha Ojaluoma

KYMENLAAKSON AMMATTIKORKEAKOULU Tietotekniikan koulutusohjelma / Tietoverkkotekniikka. Joni Korjala APACHE WWW-PALVELIN Seminaarityö 2012

Valtiokonttorin tunnistuspalvelu

MatTaFi projektin HAKA-pilotti

Yritys nimeltä Redicom

Suomalaisen julkishallinnon Vetuma-palvelu Vetuma-palvelun SAML-kutsurajapinnan metadata-tiedosto Versio: 3.5

1. Sähköinen tunnistautuminen KTJ-rekisterinpitosovellukseen

HY:n alustava ehdotus käyttäjähallintotuotteesta

Ohjeita F-Secure Internet Security 2013 ohjelman aiheuttamiin virheilmoituksiin

Kertakirjautumisella irti salasanojen ryteiköstä

Helsingin yliopiston wikipalvelu. Esityksen sisältö. Mikä on wiki?

Verkostojen identiteetinhallinta. Haka-seminaari Kehityspäällikkö Sami Saarikoski Opetus- ja kulttuuriministeriö.

3 Verkkopalveluarkkitehtuuri

erasmartcard-kortinlukijaohjelmiston käyttöohje

XML johdanto, uusimmat standardit ja kehitys

Kansallinen ORCiD yhdistämispalvelu

Service Provider. Shibboleth-asennuskoulutus Timo Mustonen. CSC Tieteen tietotekniikan keskus Oy CSC IT Center for Science Ltd.

HY:n ehdotus käyttäjähallintotuotteesta

Tutkimus web-palveluista (1996)

Hyvä tietää ennen kuin aloitat

Kuluttajille tarjottavan SIP-sovelluksen kannattavuus operaattorin kannalta

Haka MFA-työpaja

Olet tehnyt hyvän valinnan hankkiessasi kotimaisen StorageIT varmuuskopiointipalvelun.

Novell Access Manager ja Novell Cloud Security Service Pekka Lindqvist Markku Wallgren

Direct Access Keyboard

Korkeakoulujen prosessipalvelin: mallintajan palvelinohje Versio 0.2

VirtuaaliAMK ajankohtaista Yhteyshenkilöpäiv

AC-huoneen ulkonäkö ja käyttö poikkeaa ipadissa oleellisesti tietokoneen AC-huoneesta.

OHJE Jos Kelaimeen kirjautuminen ei onnistu Mac-koneella Sisällys

OP Tunnistuksen välityspalvelu

Tietoturvamenetelmät sähköisessä arkistossa

Internetin hyödyt ja vaarat. Miten nettiä käytetään tehokkaasti hyväksi?

WWW-ohjelmoinnin kokonaisuus. WWW-OHJELMOINTI 1 Merkkauskielet. Merkkauskielten idea. Merkkauskielet (markup languages) Merkkauskielten merkitys

Keskitetty käyttäjähallinto

SAML 2.0 -tuen lisäys IMS-ohjelmistoon

tulli.fi versio 0.3, Sanoma-asioinnin testauspalvelun käyttöohje

IDP:n asennus Shibboleth asennuskoulutus Janne Lauros. CSC Tieteen tietotekniikan keskus Oy CSC IT Center for Science Ltd.

Sähköisen asioinnin arkkitehtuuri

HTTP-välityspalvelimen käyttö tapahtumien keräämiseen

3 Verkkosaavutettavuuden tekniset perusteet

Järjestelmäarkkitehtuuri (TK081702) Avoimet web-rajapinnat

Google Cloud Print -opas

Terveydenhuollon ATK päivät TURKU

Weboodi ja Noppa. Katri Laaksonen Opintohallinnon tietojärjestelmät

erasmartcardkortinlukijaohjelmiston

TeliaSonera. Marko Koukka. IT viikon seminaari Identiteetin hallinta palveluna, Sonera Secure IDM

Sähköinen tunnistus, käyttöoikeuksien hallinta ja allekirjoitukset ammattilaisten näkökulmasta

Aditro Tikon ostolaskujen käsittely versio SP1

Transkriptio:

Uloskirjautuminen Shibbolethissa Tunnistaminen Internetissä Asko Tontti 7. - 9.12.2010 kandidaatinseminaari

Johdanto

Johdanto Palvelut ja sovellukset siirtyvät kiihtyvää vauhtia Internetiin Tunnistautumisesta on tullut tärkeämpi osa palveluita Käyttäjien hallinta Kertakirjautuminen (Single Sign-On, SSO) Uloskirjautuminen Uloskirjautuminen ei ole yksinkertaista WWW-palveluissa Tulemme näkemään: vielä olisi paljon tehtävää

SAML ja Shibboleth Security Assertion Markup Language (SAML) Standardi tapa: organisaatiorajat ylittävä tunnistaminen SAML 2.0 on nykyinen versio http://saml.xml.org/ Yliopistomaailmasta SAML2-pohjainen Shibboleth TKK ja Haka-luottamusverkosto http://shibboleth.internet2.edu/ Shibbolethin komponentit Identity Provider (IdP): tunnistustietojen tarjoaja Service Provider (SP): palveluntarjoaja

Uloskirjautumisen ongelmia WWW:ssä käytetty HTTP-protokolla on tilaton Selaimet ja palvelut simuloivat tilallisuutta Evästeet ja URL:t Istunto: käyttäjää koskevat tilatiedot Uloskirjautuminen: tilan purkaminen Pitää tapahtua luotettavasti ja turvallisesti Muuten joku muu voi päästä käyttämään istuntoa Tietoturva...

Tietoturva uloskirjautumisessa Käyttäjä voi esiintyä toisena henkilönä Vahingossa tai tahallaan Ongelmana erityisesti yhteiskäyttöisten tietokoneiden kanssa Suurin riski: SSO-istunnon väärinkäyttö Yksittäinen palvelu voi myös olla merkittävä riski Esimerkiksi rahaa ja henkilötietoja käsittelevät palvelut

Uloskirjautumisen muodot Sovelluksen uloskirjautuminen SP:n uloskirjautuminen IdP:n uloskirjautuminen (SSO-istunto) Paikallinen uloskirjautuminen (Local Logout) Kertauloskirjautuminen (Global Logout, Single Logout, SLO) Osittainen uloskirjautuminen (Partial Logout) Käytännössä Paikallinen: Sovellus + SP Kerta: Sovellukset + SP:t + IdP

Hakan ja SAML2:n uloskirjautuminen Hakan uloskirjautuminen Shibboleth 1.x ei tue uloskirjautumista Yleensä osittainen uloskirjautuminen Ohje: Sulje WWW-selain SAML2:n uloskirjautuminen Hauras ja monimutkainen Shibboleth SP 2.x tukee, mutta IdP 2.x ei tue Vaihtoehdot epäyhteensopivat

Uloskirjautuminen käytännössä Tutustuimme TKK:lla paljon käytettyihin WWW-palveluihin Nelliportaali, http://www.nelliportaali.fi/ (Haka) Noppa, https://noppa.tkk.fi/ Oodi, https://oodi.aalto.fi/ Aalto Wiki, https://wiki.aalto.fi/ (Haka) TKK:n henkilökuntasivut, http://www.tkk.fi/ Tulos: Uloskirjautuminen ei toimi yhtenäisellä tavalla palveluissa

Yhteenveto tuloksista Menetelmä Istunnot Sovellus SP SSO Muut SP:t Nelliportaali Haka SLO ei Toimii Noppa Haka SLO OK 1 Oodi paikallinen ei Wiki SAML2 SLO ei 2 Henkilökuntasivut paikallinen OK 3 Haka SLO istunto jää auki; istunto lopetettu; ohje sulkea selain 1 kielivalinta vuotaa; 2 yhteensopivuusongelma 3 käyttäjä voi valita, mutta ymmärtääkö hän vaihtoehtojen eron?

Ratkaisuja havaittuihin ongelmiin Käyttöliittymät ja käyttäjien koulutus Sovelluksen muokkaus Kirjautumisen tilatiedot ja uloskirjautuminen CoSign-ohjelmiston erilainen näkökulma WWW-selaimissa evästeiden hallinnan kehittäminen Uusien WWW-tekniikoiden hyödyntäminen, esimerkiksi AJAX Yhtenäiset testauskäytännöt KISS Keep It Simple, Stupid!

Johtopäätökset Paras vaihtoehto: SAML-standardointityön jatkaminen SAML2:n uloskirjautuminen on hauras ja monimutkainen HTML5:n standardointityö: evästeiden hallinnan kehittäminen Luottamusverkostoissa uloskirjautumisen ja testauksen painottaminen Merkittävimmät Standardointityö ja testauskäytännöt

Yhteenveto Uloskirjautumisen toimiminen entistä tärkeämpää SAML2 on laajasti käytetty standardi tunnistautumisessa HTTP on tilaton, tilaa simuloidaan evästeillä Uloskirjautuminen ei toimi yhtenäisellä tavalla palveluissa Ratkaisuja: käyttäjien koulutus, käyttöliittymät, sovellusten muokkaus, evästeiden hallinta, istuntojen hallinta AJAX:lla, testaus ja standardointityö Johtopäätökset: tärkeimmäksi nousevat standardointityö ja testauskäytännöt

Logout

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute