federatīvās autentifikācijas priekšrocības un pielietojumi

Federatīvās autentifikācijas priekšrocības un pielietojumi

Mārtiņš Orinskis, SIA DPA projektu vadītājs

2013. gada 12. maijā

Saturs

Federatīvā autentifikācija ikdienā

Federatīvā autentifikācija IT

Projekta realizācijas piemērs Latvijā

Federatīvā autentifikācija lielākā mērogā

Problemātika

3. Paroļu uzturēšana2. Jauni autentifikācijas veidi

1. Ārējo lietotāju konti

Federatīvās autentifikācijas piemērs - aviobiļetes

Iekāpšanas karte

Karšu pārbaude

Karšu pārbaude

Federatīvās autentifikācijas ieguvumi

Autentifikācijas nodalīšana no autorizācijas

Anonimitātes nodrošināšana

Netiek mainīti eksistējošie lietotāju autentifikācijas veidi

Vispārpieņemtu standartu izmantošana

Ārējo lietotāju pārvaldība

Aizsardzība no izstrādātāju kļūdām un back-doors

Pamatprincipi: OASIS standarti - WS*

• WS-Security• WS-Trust• WS-SecureConversation• WS-Federation

Federatīvā autentifikācija

Izdevējs

Web-serviss,lietojumprogramma

1.

2.

3.

4.

Klients

Federatīvā autentifikācijas - izdevējs

IZDEVĒJSSecure Token Service

Actice directory /LDAP service

Relational database

Filesystem/custom

Federatīvā autentifikācija - klients

KLIENTSSubject

Pārlūkprogramma (passive client) Lietojumprogramma (active client)

Izdevējs Pakalpojums

Federatīvā autentifikācijas – pakalpojums

PAKALPOJUMSrelying party

Klients

Tīmekļa pakalpne Tīmekļa lietojumprogramma

Izdevējs

Izmantošanas piemērs

Biometrijas Datu Apstrādes Sistēma

Sistēma, kurā tiek uzkrāti personu biometriskie dati:• sejas foto• pirkstu nospiedumi • delnu nospiedumi

Ar mērķi nodrošināt identifikācijas un verifikācijas funkcijas

Klients: Latvijas Republikas Iekšlietu ministrijas Informācijas centrs

Projekta uzdevumi

Platformu neatkarīgs autentifikācijas serviss

Autentifikācija dažādu iestāžu darbiniekiem

Autentifikācija iekārtām un sistēmām

Web-service autentifikācija un autorizācija

Autentifikācijas arhitektūra

Microsoft AD FS

MS IISOracle weblogic Oracle SOA

Trust Trust TrustKlients

Federatīvās autentifikācijas izveide

3: Lietojumprogrammās izveidot uzticību izdevējam

1: Pievienot autentifikācijas atbalstu lietojumprogrammās

2: Izveidot izdevēju

4: Pielāgot izdevēju lietojumprogrammas vajadzībām

1: Autentifikācijas atbalsts lietojumprogrammās

2: Izdevēja izveide

3: Uzticības izveide lietojumprogrammu serverī

4: Pielāgot izdevēju lietojumprogrammas vajadzībām

Secinājumi

Ātra un paralēli veicama izstrāde

Augsts (konfigurējams) drošības līmenis

Izdēvējam (STS) ir jābūt augstas pieejamības

Platformu neatkarīgs risinājums

Augsta mērogojamība un veiktspēja

Federatīvās autentifikācija lielākā mērogā

Vīzija

Kopsavilkums

Autentifikācijas nodalīšana no autorizācijas

Anonimitātes nodrošināšana

Netiek mainīti eksistējošie lietotāju autentifikācijas veidi

Vispārpieņemtu standartu izmantošana

Ārējo lietotāju pārvaldība

Kā sasniegt rezultātu?

Esošās situācijas novērtējums

Vīzija

Analīze

Projekta realizācija

Tuvākie soļi

Esošās situācijas novērtējums:

Atbilstība likumdošanai

Drošība

Autentifikācijas un identitātes pārvaldības racionalizācija

Paldies!

Kontaktinformācija

Martins.Orinskis@dpa.lv

Twitter: https://twitter.com/dpa_latvia

Facebook: https://www.facebook.com/DPALatvia

Blog: http://blogs.dpa.lv/