saml: single sign-on in univention management console und univention apps
TRANSCRIPT
SAML: Single-Sign-On in der UMC und weiteren Apps
Einfhrung in die Security Assertion Markup Language (SAML) und dessen technische Integration in den Univention Corporate Server (UCS) und die Univention Management Console (UMC)
Michel Smidt
Univention GmbH
[email protected]
Einfhrung in SAML
Frderierter Identitts Standard
Komponenten Principal (User)
Identity Provider (IdP)
Service Provider (SP)
Attribute basierte Autorisierung
(Web) Single-Sign-On
14:02 2 min
Heit, das ein Zugriff auf mehrere autonome Dienste angeboten wird ohne das Zugangsdaten untereinander kopiert werden.
XML-SyntaxTicket Session Cookie
Mehrwert
Nutzer Einmaliges Einloggen an verschiedenen Services
IT-Abteilung Einsparung in der Passwortverwaltung
Zugangsmanagement (Authorisierung) in der UMC
Sicherheitsgewinn Sichere Anbindung interner und externer Services (SaaS, PaaS)
Identity service (IdP) nur im internen Netz zugnglich
Hochverfgbarkeit (UCS only)
14:03 3 min
Verwaltung von Anmeldedaten ausschlielich auf dem UCS
SaaS wird in 77% aller Unternehmen verwendet ([1] S.12)
Top Hemmnise vor Cloud: Sicherheit, Datenschutz, Kompetenz ([1] S.35)
Hochverfgbarkeit mit verschlsseltem memcache wenn ein IdP wegbricht
Authentifizierung mit SAML
univent.intern
SPunivent.saasserv.ice
SPwiki.univent.intern
IdP
1.
2.
3.
4.
14:04 4 min
Authentifizierung mit SAML
univent.intern
SPunivent.saasserv.ice
SPwiki.univent.intern
IdP
4.
1.
2.
3.
14:05 5 min
Artefakte in SAML
univent.intern
SPunivent.saasserv.ice
SPwiki.univent.intern
IdP
AssertionConsumerService Link
SingleLogoutService Link
SingleSignOnService Link
SingleLogoutService Link
14:06 6 minMetadatendatei des IdP erwhnen
Fr die Konfiguration ist ein sauberes DNS ntig.URLs mssen vom Benutzer aufzulsen sein.
Authentifizierung mit SAML
3. GET an IdP mit samlp:AuthnRequest
univent.intern
SPunivent.saasserv.ice
SPwiki.univent.intern
1./8. wiki.univent.intern/login
2. Redirect to IdP mit samlp:AuthnRequest
IdP
4. Authentifizierung
5. XHTML Form samlp:response
6. POST an SP
7. Redirect wiki.univent.intern/login
14:08 8 min1 Useranfrage an Service (Login) service.univention.intranet/login2. Redirect to SSO Service Endpunkt des UCS IdPhttps://ucs-sso.univention.intranet//SSOService.php/Redirect?SAMLRequest=3. GET Request an IdP Bearbeitung der AuthnRequest User Authentifikation4. Respond als XHTML Form mit 5. POST Request an SP6. Der SP erstellt einen security context und redirect zu service.univention.intranet/login7. GET an service.univention.intranet/login8. SP gibt security context an user
Benutzerverwaltung
Benutzer: Anlegen, Editieren, Lschen
Just-in-Time Provisioning for SAML
UCS Account Management
14:09 9 min
SAML ist nicht fr die Benutzerverwaltung designed.Anmeldungen sind steuerbar.
SAML Services ...
14:10 10 min
Dies ist eine Auswahl an Services wo SAML geht. Die meisten haben wir schon selbst angebunden.
Migrationsszenarien
14:11 11 min
Migrationsszenario 1 Anbindung eines neuen Service
Ausgangspunkt: Service kann Just-in-Time Provisioning
Migrationsschritte Konfiguration Univention Management Console
Konfiguration Service
14:12 12 min
Betrifft vorallem SaaSKann aber auch intern sein
14:13 13 min
Demo 1
14:19 19 min
Links kommen jeweils aus der Dokumentation
Fr Pause in UCR. Hier knnte man auch definieren, dass der Standardlogin SAML sein soll.Fr die Konfiguration aber ein sauberes DNS ntig.
14:20 20 min
14:24 24 min
Links kommen jeweils aus der Dokumentation
Migrationsszenario 2 Anbindung eines bestehen Service
Ausgangspunkt: Teilweise bestehen Benutzer bereits
Es gibt keine Benutzersynchronisation
Migrationsschritte Konfiguration Univention Management Console Weiteres LDAP-Attribute als NameID
Konfiguration Service
14:25 25 min
Betrifft vorallem SaaSKann aber auch intern sein
Welche Fragen sind zu klren bei einer SAML-Einfhrung
Kann der anzubindende Service SAML 2.0?
Wie sieht die Benutzersynchronisation aus?
Kann der anzubindende Service Just-in-Time Provisioning? Wie werden Benutzer gelscht?
Wie kann eine anderweitige Provisionierung durchgefhrt werden?
Welche Rollen soll es im anzubindenden Service geben? Gibt es viele verschiedene Rollen von Benutzern?
Gibt es eine Standardrolle fr Benutzer?
14:27 27 min
Stichwort Authorisierung
Zusammenfassung
SAML ist hervorragend fr hybride IT-Landschaften geeignet.
erfordert weiterhin eine Benutzerverwaltung.
erhht die Sicherheit.
funktioniert Out-of-the-Box in UCS 4.1.
14:28 28 min
Vielen Dank fr Ihre Aufmerksamkeit!
Kontakt Michel Smidt
Univention GmbH
[email protected]
www.univention.de
Ich wollte noch etwas zum Integrationsaufwand sagen.- UCS super- SaaS Services auch sehr gut (Google, Office, Slack, Salesforce)- Interne Tools wie MediaWiki, DokuWiki eher anstrengend- Noch keine Apps mglich (owncloud ist noch am weitesten, OX schwierig)
SAML in UCS 4.1
SaaS wird in 77% aller Unternehmen verwendet ([1] S.12)
Top Hemmnise vor Cloud: Sicherheit, Datenschutz, Kompetenz ([1] S.35)
UCS 4.1 wird Hybrid
Hybrides Identity Management Out-of-the-Box
Hybrides Services Management Out-of-the-Box
[1] 5th annual North Bridge Future of Cloud Computing Survey
14:04 4 min
SaaS (+78%) & PaaS (+58%) wachsen stark