lightning saml
TRANSCRIPT
![Page 1: Lightning saml](https://reader036.vdocuments.site/reader036/viewer/2022082215/5a6e0ccd7f8b9a1f288b50a9/html5/thumbnails/1.jpg)
1
Autenticazione SAML
Alla base del Sistema Pubblico di Identità Digitale SPID
Lightning Talk Linuxday 2017 TriesteDaniele Albrizio [email protected]
![Page 2: Lightning saml](https://reader036.vdocuments.site/reader036/viewer/2022082215/5a6e0ccd7f8b9a1f288b50a9/html5/thumbnails/2.jpg)
2
Autenticazione WEB
● Applicata ai siti web● Simile al meccanismo di pagamento con carta
di credito online
![Page 3: Lightning saml](https://reader036.vdocuments.site/reader036/viewer/2022082215/5a6e0ccd7f8b9a1f288b50a9/html5/thumbnails/3.jpg)
3
Storia: Backend di autenticazione (diretta)
● Ldap– Transito della password o dell’hash sul frontend
– Autenticazione nativa Plaintext, md5, kerberos
– MSPPE/NTLMv2 ma con un “superaccount” sul frontend
● Bisogna fidarsi della benevolenza del frontend che non sempre è un angioletto (servizi esternalizzati, siti web in cloud, ecc...)
![Page 4: Lightning saml](https://reader036.vdocuments.site/reader036/viewer/2022082215/5a6e0ccd7f8b9a1f288b50a9/html5/thumbnails/4.jpg)
4
Autenticazione delegata
● SAML Security Assertion Markup Protocol (web)– Redirezione verso un autenticatore della propria organizzazione che
restituisce l’esito dell’autenticazione al fornitore di servizi. Come quando si effettua un pagamento con la carta di credito. Le credenziali vengono immesse solo su un sito unico autorevole per l’utente
● Radius tunnel (network)– L’autenticazione e le credenziali arrivano in maniera protetta e privata
fino al server dell’organizzazione di appartenenza dell’utente. Al servizio arriva sono un Accept o un Reject
![Page 5: Lightning saml](https://reader036.vdocuments.site/reader036/viewer/2022082215/5a6e0ccd7f8b9a1f288b50a9/html5/thumbnails/5.jpg)
29 Maggio 2009 Daniele Albrizio - [email protected] 5
Autenticazione: definizioniAutenticazione: definizioni
Identità digitaleIdentità digitale
AutenticazioneAutenticazione
AutorizzazioneAutorizzazione
![Page 6: Lightning saml](https://reader036.vdocuments.site/reader036/viewer/2022082215/5a6e0ccd7f8b9a1f288b50a9/html5/thumbnails/6.jpg)
29 Maggio 2009 Daniele Albrizio - [email protected] 6
Identità digitaleIdentità digitale
● Per essere sicuri chePer essere sicuri cheun uomo o una un uomo o una macchinamacchinain rete siano chi in rete siano chi dicono didicono diessere, abbiamo essere, abbiamo bisognobisognodi sistemi (entità di sistemi (entità fidate) che nefidate) che neautentichino l'identitàautentichino l'identità
(The New Yorker, Vol. 69 (LXIX) no. 20, page 61, July 5, 1993, by Peter Steiner)
![Page 7: Lightning saml](https://reader036.vdocuments.site/reader036/viewer/2022082215/5a6e0ccd7f8b9a1f288b50a9/html5/thumbnails/7.jpg)
29 Maggio 2009 Daniele Albrizio - [email protected] 7
Policy based Access ControlPolicy based Access Control
– PEPPEP o o Policy Policy EnforcementEnforcement Point Point che chiede che chiede all'utente di identificarsi, passa le richiesta al PDP e all'utente di identificarsi, passa le richiesta al PDP e fornisce il servizio o meno a seconda di quanto fornisce il servizio o meno a seconda di quanto risposto dal PDP.risposto dal PDP.
PDP(Radius,
Shibboleth IdP,middleware)
Provisioning
Run-time query
UserClientSql DB
Directory(AD, LDAP)
PEP(access point,
application server,switch,
Shibboleth SP)
OK
![Page 8: Lightning saml](https://reader036.vdocuments.site/reader036/viewer/2022082215/5a6e0ccd7f8b9a1f288b50a9/html5/thumbnails/8.jpg)
29 Maggio 2009 Daniele Albrizio - [email protected] 8
Federazione di IdMFederazione di IdM
Per noi vuol dire:Per noi vuol dire:● „„Unione” dei sistemi di gestione dell'identità in Unione” dei sistemi di gestione dell'identità in
modo da poter riconoscere anche gente modo da poter riconoscere anche gente (identità) di altre Organizzazioni e conoscere i (identità) di altre Organizzazioni e conoscere i loro loro attributiattributi trasmessi con trasmessi con convenzioni convenzioni semantichesemantiche..
![Page 9: Lightning saml](https://reader036.vdocuments.site/reader036/viewer/2022082215/5a6e0ccd7f8b9a1f288b50a9/html5/thumbnails/9.jpg)
29 Maggio 2009 Daniele Albrizio - [email protected] 9
Autenticazione FederataAutenticazione Federata
Si basa su tre attori principali:Si basa su tre attori principali:
● Identity Provider (IdP)Identity Provider (IdP)operato dalla home institution (Università, IdP operato dalla home institution (Università, IdP SPID)SPID)
● Service Provider (SP)Service Provider (SP)operato dal fornitore di servizioperato dal fornitore di servizi
![Page 10: Lightning saml](https://reader036.vdocuments.site/reader036/viewer/2022082215/5a6e0ccd7f8b9a1f288b50a9/html5/thumbnails/10.jpg)
29 Maggio 2009 Daniele Albrizio - [email protected] 10
Identity Provider (IdP)Identity Provider (IdP)
● L'IdP mantiene una lista di attriuti collegati ad L'IdP mantiene una lista di attriuti collegati ad ID univoci. Gli attributi possono essere auto-ID univoci. Gli attributi possono essere auto-assegnati dall'entità stessa o attributi e ruoli assegnati dall'entità stessa o attributi e ruoli assegnati all'entità da altre entità assegnati all'entità da altre entità (organizzazioni).(organizzazioni).
● Autentica l'identità e rilascia attributi secondo Autentica l'identità e rilascia attributi secondo policy definite dal soggetto e policy definite dal soggetto e dall'organizzazione.dall'organizzazione.
![Page 11: Lightning saml](https://reader036.vdocuments.site/reader036/viewer/2022082215/5a6e0ccd7f8b9a1f288b50a9/html5/thumbnails/11.jpg)
29 Maggio 2009 Daniele Albrizio - [email protected] 11
Service Provider (SP)Service Provider (SP)
● L'entità che „consuma” (usa) gli attributi e L'entità che „consuma” (usa) gli attributi e l'autenticazione al fine di fornire o meno un l'autenticazione al fine di fornire o meno un servizio.servizio.
● Spesso il servizio viene personalizzato in base Spesso il servizio viene personalizzato in base al valore degli attributi.al valore degli attributi.
![Page 12: Lightning saml](https://reader036.vdocuments.site/reader036/viewer/2022082215/5a6e0ccd7f8b9a1f288b50a9/html5/thumbnails/12.jpg)
29 Maggio 2009 Daniele Albrizio - [email protected] 12
(WAYF Where Are You from)(WAYF Where Are You from)DS Discovery ServicesDS Discovery Services
● Servono agli utenti per selezionare il proprio Servono agli utenti per selezionare il proprio IdP (Home Institution) IdP (Home Institution) all’interno della all’interno della Federazione o di più FederazioniFederazione o di più Federazioni
● IDEM è la Federazione della Ricerca e IDEM è la Federazione della Ricerca e dell’Istruzione Italiana (WEB)dell’Istruzione Italiana (WEB)
● eduGAIN è la Federazione della Ricerca e eduGAIN è la Federazione della Ricerca e dell’Istruzione mondiale (WEB)dell’Istruzione mondiale (WEB)
● SPID è la Federazione delle identità pubbliche SPID è la Federazione delle identità pubbliche italiane (WEB)italiane (WEB)
![Page 13: Lightning saml](https://reader036.vdocuments.site/reader036/viewer/2022082215/5a6e0ccd7f8b9a1f288b50a9/html5/thumbnails/13.jpg)
29 Maggio 2009 Daniele Albrizio - [email protected] 13
https://wayf.idem.garr.it/WAYF/https://wayf.idem.garr.it/WAYF/
![Page 14: Lightning saml](https://reader036.vdocuments.site/reader036/viewer/2022082215/5a6e0ccd7f8b9a1f288b50a9/html5/thumbnails/14.jpg)
29 Maggio 2009 Daniele Albrizio - [email protected] 14
Discovery degli IdP su SPID Discovery degli IdP su SPID
![Page 15: Lightning saml](https://reader036.vdocuments.site/reader036/viewer/2022082215/5a6e0ccd7f8b9a1f288b50a9/html5/thumbnails/15.jpg)
29 Maggio 2009 Daniele Albrizio - [email protected] 15
● Introducing the zoo of paper beasts - David Simonsen (WAYF)Introducing the zoo of paper beasts - David Simonsen (WAYF)
![Page 16: Lightning saml](https://reader036.vdocuments.site/reader036/viewer/2022082215/5a6e0ccd7f8b9a1f288b50a9/html5/thumbnails/16.jpg)
16
Pagina di login della propria organizzazionesul dominio della propria organizzazione
![Page 17: Lightning saml](https://reader036.vdocuments.site/reader036/viewer/2022082215/5a6e0ccd7f8b9a1f288b50a9/html5/thumbnails/17.jpg)
17
● Privacy● ToU (Terms of Use)
![Page 18: Lightning saml](https://reader036.vdocuments.site/reader036/viewer/2022082215/5a6e0ccd7f8b9a1f288b50a9/html5/thumbnails/18.jpg)
18
Informativa e autorizzazioneal rilascio degli attributi
![Page 19: Lightning saml](https://reader036.vdocuments.site/reader036/viewer/2022082215/5a6e0ccd7f8b9a1f288b50a9/html5/thumbnails/19.jpg)
29 Maggio 2009 Daniele Albrizio - [email protected] 19
Trust per gli utenti:Trust per gli utenti:ConsensoConsenso
Stiamo usando informazioni strettamente Stiamo usando informazioni strettamente collegate all'utente, che lui considera sue.collegate all'utente, che lui considera sue.
Il consenso dell'utente DEVE essere:Il consenso dell'utente DEVE essere:● Volontario (nessuna costrizione)Volontario (nessuna costrizione)● Specifico (per ogni singolo scopo)Specifico (per ogni singolo scopo)● Informato (le domande devono essere capibili)Informato (le domande devono essere capibili)
![Page 20: Lightning saml](https://reader036.vdocuments.site/reader036/viewer/2022082215/5a6e0ccd7f8b9a1f288b50a9/html5/thumbnails/20.jpg)
29 Maggio 2009 Daniele Albrizio - [email protected] 20
Principi per lo scambio dei datiPrincipi per lo scambio dei dati
TrasparenzaTrasparenza
Scopo legittimoScopo legittimo
ProporzionalitàProporzionalità
![Page 21: Lightning saml](https://reader036.vdocuments.site/reader036/viewer/2022082215/5a6e0ccd7f8b9a1f288b50a9/html5/thumbnails/21.jpg)
29 Maggio 2009 Daniele Albrizio - [email protected] 21
FederazioneFederazione
a Circle of Trusta Circle of Trust
SEOULMAN66 / Alexander (CC)http://www.flickr.com/photos/wookiewookie/122305592/
![Page 22: Lightning saml](https://reader036.vdocuments.site/reader036/viewer/2022082215/5a6e0ccd7f8b9a1f288b50a9/html5/thumbnails/22.jpg)
29 Maggio 2009 Daniele Albrizio - [email protected] 22
Single Sign OnSingle Sign On
● Permette di effettuare il login una sola volta e Permette di effettuare il login una sola volta e avere accesso automatico, senza reinserimento avere accesso automatico, senza reinserimento delle credenziali, su tutti i siti collegati.delle credenziali, su tutti i siti collegati.
![Page 23: Lightning saml](https://reader036.vdocuments.site/reader036/viewer/2022082215/5a6e0ccd7f8b9a1f288b50a9/html5/thumbnails/23.jpg)
23
Multi Factor Authentication
● Qualcosa che uno sa– Password, passphrase, pin
● Qualcosa che uno ha– Chiave, Smartcard, Token OTP, Token card, bluetooth pairing,
NFC tag, tessera magnetica, sms su cellulare?, tessera magnetica?
● Qualcosa che uno è– Impronta digitale, retinica, vocale– riconoscimento facciale, auricolare– impronta della mano o del piede, ecc…– Firma o calligrafia– Stile della battitura sulla tastiera
![Page 24: Lightning saml](https://reader036.vdocuments.site/reader036/viewer/2022082215/5a6e0ccd7f8b9a1f288b50a9/html5/thumbnails/24.jpg)
24
Quest'opera è stata rilasciata con licenza Creative Commons Attribuzione - Non commerciale - Condividi allo stesso modo 3.0 Italia. Per leggere una copia della licenza visita il sito web http://creativecommons.org/licenses/by-nc-sa/3.0/it/ o spedisci una lettera a Creative Commons, PO Box 1866, Mountain View, CA 94042, USA. Alcune immagini hanno licenze d’uso differenti e sono indicate sulle immagini stesse.
Daniele [email protected]