lightning saml

24
1 Autenticazione SAML Alla base del Sistema Pubblico di Identità Digitale SPID Lightning Talk Linuxday 2017 Trieste Daniele Albrizio [email protected]

Upload: daniele-albrizio

Post on 29-Jan-2018

94 views

Category:

Technology


0 download

TRANSCRIPT

Page 1: Lightning saml

1

Autenticazione SAML

Alla base del Sistema Pubblico di Identità Digitale SPID

Lightning Talk Linuxday 2017 TriesteDaniele Albrizio [email protected]

Page 2: Lightning saml

2

Autenticazione WEB

● Applicata ai siti web● Simile al meccanismo di pagamento con carta

di credito online

Page 3: Lightning saml

3

Storia: Backend di autenticazione (diretta)

● Ldap– Transito della password o dell’hash sul frontend

– Autenticazione nativa Plaintext, md5, kerberos

– MSPPE/NTLMv2 ma con un “superaccount” sul frontend

● Bisogna fidarsi della benevolenza del frontend che non sempre è un angioletto (servizi esternalizzati, siti web in cloud, ecc...)

Page 4: Lightning saml

4

Autenticazione delegata

● SAML Security Assertion Markup Protocol (web)– Redirezione verso un autenticatore della propria organizzazione che

restituisce l’esito dell’autenticazione al fornitore di servizi. Come quando si effettua un pagamento con la carta di credito. Le credenziali vengono immesse solo su un sito unico autorevole per l’utente

● Radius tunnel (network)– L’autenticazione e le credenziali arrivano in maniera protetta e privata

fino al server dell’organizzazione di appartenenza dell’utente. Al servizio arriva sono un Accept o un Reject

Page 5: Lightning saml

29 Maggio 2009 Daniele Albrizio - [email protected] 5

Autenticazione: definizioniAutenticazione: definizioni

Identità digitaleIdentità digitale

AutenticazioneAutenticazione

AutorizzazioneAutorizzazione

Page 6: Lightning saml

29 Maggio 2009 Daniele Albrizio - [email protected] 6

Identità digitaleIdentità digitale

● Per essere sicuri chePer essere sicuri cheun uomo o una un uomo o una macchinamacchinain rete siano chi in rete siano chi dicono didicono diessere, abbiamo essere, abbiamo bisognobisognodi sistemi (entità di sistemi (entità fidate) che nefidate) che neautentichino l'identitàautentichino l'identità

(The New Yorker, Vol. 69 (LXIX) no. 20, page 61, July 5, 1993, by Peter Steiner)

Page 7: Lightning saml

29 Maggio 2009 Daniele Albrizio - [email protected] 7

Policy based Access ControlPolicy based Access Control

– PEPPEP o o Policy Policy EnforcementEnforcement Point Point che chiede che chiede all'utente di identificarsi, passa le richiesta al PDP e all'utente di identificarsi, passa le richiesta al PDP e fornisce il servizio o meno a seconda di quanto fornisce il servizio o meno a seconda di quanto risposto dal PDP.risposto dal PDP.

PDP(Radius,

Shibboleth IdP,middleware)

Provisioning

Run-time query

UserClientSql DB

Directory(AD, LDAP)

PEP(access point,

application server,switch,

Shibboleth SP)

OK

Page 8: Lightning saml

29 Maggio 2009 Daniele Albrizio - [email protected] 8

Federazione di IdMFederazione di IdM

Per noi vuol dire:Per noi vuol dire:● „„Unione” dei sistemi di gestione dell'identità in Unione” dei sistemi di gestione dell'identità in

modo da poter riconoscere anche gente modo da poter riconoscere anche gente (identità) di altre Organizzazioni e conoscere i (identità) di altre Organizzazioni e conoscere i loro loro attributiattributi trasmessi con trasmessi con convenzioni convenzioni semantichesemantiche..

Page 9: Lightning saml

29 Maggio 2009 Daniele Albrizio - [email protected] 9

Autenticazione FederataAutenticazione Federata

Si basa su tre attori principali:Si basa su tre attori principali:

● Identity Provider (IdP)Identity Provider (IdP)operato dalla home institution (Università, IdP operato dalla home institution (Università, IdP SPID)SPID)

● Service Provider (SP)Service Provider (SP)operato dal fornitore di servizioperato dal fornitore di servizi

Page 10: Lightning saml

29 Maggio 2009 Daniele Albrizio - [email protected] 10

Identity Provider (IdP)Identity Provider (IdP)

● L'IdP mantiene una lista di attriuti collegati ad L'IdP mantiene una lista di attriuti collegati ad ID univoci. Gli attributi possono essere auto-ID univoci. Gli attributi possono essere auto-assegnati dall'entità stessa o attributi e ruoli assegnati dall'entità stessa o attributi e ruoli assegnati all'entità da altre entità assegnati all'entità da altre entità (organizzazioni).(organizzazioni).

● Autentica l'identità e rilascia attributi secondo Autentica l'identità e rilascia attributi secondo policy definite dal soggetto e policy definite dal soggetto e dall'organizzazione.dall'organizzazione.

Page 11: Lightning saml

29 Maggio 2009 Daniele Albrizio - [email protected] 11

Service Provider (SP)Service Provider (SP)

● L'entità che „consuma” (usa) gli attributi e L'entità che „consuma” (usa) gli attributi e l'autenticazione al fine di fornire o meno un l'autenticazione al fine di fornire o meno un servizio.servizio.

● Spesso il servizio viene personalizzato in base Spesso il servizio viene personalizzato in base al valore degli attributi.al valore degli attributi.

Page 12: Lightning saml

29 Maggio 2009 Daniele Albrizio - [email protected] 12

(WAYF Where Are You from)(WAYF Where Are You from)DS Discovery ServicesDS Discovery Services

● Servono agli utenti per selezionare il proprio Servono agli utenti per selezionare il proprio IdP (Home Institution) IdP (Home Institution) all’interno della all’interno della Federazione o di più FederazioniFederazione o di più Federazioni

● IDEM è la Federazione della Ricerca e IDEM è la Federazione della Ricerca e dell’Istruzione Italiana (WEB)dell’Istruzione Italiana (WEB)

● eduGAIN è la Federazione della Ricerca e eduGAIN è la Federazione della Ricerca e dell’Istruzione mondiale (WEB)dell’Istruzione mondiale (WEB)

● SPID è la Federazione delle identità pubbliche SPID è la Federazione delle identità pubbliche italiane (WEB)italiane (WEB)

Page 13: Lightning saml

29 Maggio 2009 Daniele Albrizio - [email protected] 13

https://wayf.idem.garr.it/WAYF/https://wayf.idem.garr.it/WAYF/

Page 14: Lightning saml

29 Maggio 2009 Daniele Albrizio - [email protected] 14

Discovery degli IdP su SPID Discovery degli IdP su SPID

Page 15: Lightning saml

29 Maggio 2009 Daniele Albrizio - [email protected] 15

● Introducing the zoo of paper beasts - David Simonsen (WAYF)Introducing the zoo of paper beasts - David Simonsen (WAYF)

Page 16: Lightning saml

16

Pagina di login della propria organizzazionesul dominio della propria organizzazione

Page 17: Lightning saml

17

● Privacy● ToU (Terms of Use)

Page 18: Lightning saml

18

Informativa e autorizzazioneal rilascio degli attributi

Page 19: Lightning saml

29 Maggio 2009 Daniele Albrizio - [email protected] 19

Trust per gli utenti:Trust per gli utenti:ConsensoConsenso

Stiamo usando informazioni strettamente Stiamo usando informazioni strettamente collegate all'utente, che lui considera sue.collegate all'utente, che lui considera sue.

Il consenso dell'utente DEVE essere:Il consenso dell'utente DEVE essere:● Volontario (nessuna costrizione)Volontario (nessuna costrizione)● Specifico (per ogni singolo scopo)Specifico (per ogni singolo scopo)● Informato (le domande devono essere capibili)Informato (le domande devono essere capibili)

Page 20: Lightning saml

29 Maggio 2009 Daniele Albrizio - [email protected] 20

Principi per lo scambio dei datiPrincipi per lo scambio dei dati

TrasparenzaTrasparenza

Scopo legittimoScopo legittimo

ProporzionalitàProporzionalità

Page 21: Lightning saml

29 Maggio 2009 Daniele Albrizio - [email protected] 21

FederazioneFederazione

a Circle of Trusta Circle of Trust

SEOULMAN66 / Alexander (CC)http://www.flickr.com/photos/wookiewookie/122305592/

Page 22: Lightning saml

29 Maggio 2009 Daniele Albrizio - [email protected] 22

Single Sign OnSingle Sign On

● Permette di effettuare il login una sola volta e Permette di effettuare il login una sola volta e avere accesso automatico, senza reinserimento avere accesso automatico, senza reinserimento delle credenziali, su tutti i siti collegati.delle credenziali, su tutti i siti collegati.

Page 23: Lightning saml

23

Multi Factor Authentication

● Qualcosa che uno sa– Password, passphrase, pin

● Qualcosa che uno ha– Chiave, Smartcard, Token OTP, Token card, bluetooth pairing,

NFC tag, tessera magnetica, sms su cellulare?, tessera magnetica?

● Qualcosa che uno è– Impronta digitale, retinica, vocale– riconoscimento facciale, auricolare– impronta della mano o del piede, ecc…– Firma o calligrafia– Stile della battitura sulla tastiera

Page 24: Lightning saml

24

Quest'opera è stata rilasciata con licenza Creative Commons Attribuzione - Non commerciale - Condividi allo stesso modo 3.0 Italia. Per leggere una copia della licenza visita il sito web http://creativecommons.org/licenses/by-nc-sa/3.0/it/ o spedisci una lettera a Creative Commons, PO Box 1866, Mountain View, CA 94042, USA. Alcune immagini hanno licenze d’uso differenti e sono indicate sulle immagini stesse.

Daniele [email protected]