Serdar Yiğit ULAKNETÇE 2011

ULAKAAI Kimlik Federasyonu

Başlıklar

• Motivasyon• Kimlik Doğrulama ve Yetkilendirme• KDY Mekanizmaları– Dağıtık– Tek Oturum Açma ( SSO )

• Kimlik Federasyonu Kavramı• ULAKAAI Kimlik Federasyonu– ULAKAAI Bileşenleri

• REFEDs– SWITCHaai, UKFederation

• eduGAIN

Motivasyon

• Gün geçtikçe ULAKNET içindeki çoklu etki alanları arasında çalışan servisler artıyor, artacak.– Kütüphane Servisleri– Uzaktan Eğitim Servisleri– ULAKNET Servisleri– ….. Servisler

• “ULAKNET içerisindeki farklı etki alanları arasında kimlik doğrulama ve yetkilendirme” nasıl gerçekleştirilmeli”

Şu anki işleyiş ve özel çözümler Tek oturum açma yöntemi ( SSO ) Federasyon Kavramı

Kimlik Doğrulama ve Yetkilendirme• Kimlik Doğrulama– Kullanıcı adı + parola + diğer bilgilerin doğruluğu

/etc/passwd rfid kerberos PKI Biometrics One-Time Pass

• Yetkilendirme– Servise erişim yetkisi kontrolü

LDAP Radius vb.

Kimlik Doğrulama ve Yetkilendirme Mekanizmaları ( Dağıtık )

Kimlik Doğrulama ve Yetkilendirme Mekanizmaları (Dağıtık)

• Dezavantajları– Kullanıcı açısından parola yönetimi– Yönetim ve bakım için harcanan işgücü

• Avantajları– “Uygulaması kolay”?

Kimlik Doğrulama ve Yetkilendirme MekanizmalarıTek Oturum Açma ( Single Sign-On)

Kerberos Shibboleth SimpleSAMLphp JBOSS SSO Google Apps SSO Athens Service OpenID

Kimlik Doğrulama ve Yetkilendirme MekanizmalarıTek Oturum Açma ( Single Sign-On)

• Avantajları– Kullanıcı bilgileri kurum içinde ( Kısmen )– Kullanıcılar açısından parola yönetimi kolay– Sistemci açısından kimlik yönetimi kolay– İşgücü ve maliyet düşük

• Dezavantajları– Tek bir TOA (SSO) sunucusu kullanmak– “Uygulamadaki zorluklar”?!

ULAKNET - Tek Oturum Açma

Kimlik Doğrulama ve Yetkilendirme MekanizmalarıTek Oturum Açma ( Single Sign-On)

• “TOA (SSO) - Çoklu etki alanları arasında çalışmak için yeterli mi?!”

Kimlik Federasyonu Kavramı• Kimlik Federasyonu ;– Belirli bir kural seti,– Teknik Standartlar,

altında tüm kimlik doğrulama ve yetkilendirme sistemlerinin birlikte çalışabilmesini amaçlar.

Böylece ; • Farklı altyapıların birlikte çalışabilmesi,• Altyapılar arası güvenin sağlanması,• Etki alanlarındaki servislerin ağ dışına da açılması,

gibi isteklere çözüm getirir.

ULAKAAI Kimlik Federasyonu ( Pilot )

ULAKAAI– ULAKNET içerisindeki kdy sistemlerinin birleşmesini,– Elektronik kaynakların ve servislerin tüm etki alanıyla

paylaşılabilmesini,

sağlamak amacıyla kurulmuş kimlik federasyonudur.

ULAKAAI Kimlik Federasyonu

ULAKAAI Bileşenleri

• Teknik Bileşenler– Kimlik Sağlayıcılar• Kimlik Doğrulama ( authentication )• Kullanıcı Nitelikleri ( user attributes )

– Servis Sağlayıcılar• Yetkilendirme ( authorization )• Nitelik Filtreleme ( attribute filtering )

– Federasyon Bağlantı Noktası• Karşılama Servisi ( Discovery Service )• Metadata Deposu

– Federasyon KS ve SS Bilgileri

ULAKAAI Bileşenleri

ULAKAAI Bileşenleri

• İdari – ULAKAAI Yönetim Grubu• Federasyona katılım ( idari işler )• Diğer federasyonlarla ilişkiler

– ULAKAAI İşletim Grubu• Federasyona katılım ( teknik işler )

* Federasyon Politikası *• Kural Seti ( Sözleşme )

• Kurum ile Federasyon Merkezi arasında imzalanır.

ULAKAAI Bileşenleri

Federasyonsuz KDY

1) Erişebilir miyim?2) Yetkin Var mı????

3) Kullanıcı adı ve Parola Versem?Servis SağlayıcıKimlik Sağlayıcı

• Kullanıcı kimlik ve nitelik bilgileri herkesçe biliniyor• Servis Sağlayıcı gereğinden fazla ve ihtiyacından daha az veriye sahip• Kurumların değerli bilgileri, servislere dağıtılıyor

Federasyonlu

1) Erişebilir miyim?2) Yetkin Var mı?

Servis SağlayıcıKimlik Sağlayıcı

3) Yetkim Var mı?

4) Kimlik Bilgileri ve Yetkileri

• Kullanıcı kimlik bilgileri kurum içerisinde kalıyor• Servis Sağlayıcı sadece ihtiyacın olanı biliyor• Dağıtılılan nitelikler azalıyor ve daha kontrollü gerçekleşiyor

ULAKAAI

• Federasyon Uygulamaları– SimpleSAMLphp– Shibboleth – Federasyonlar tarafından geliştirilen diğer uygulamalar

• SAML Protokolü– Etki alanları arasında ( KS <-> SS ) kimlik doğrulama ve

yetkilendirme verilerinin değişimi için kullanılan XML tabanlı açık standarttır.

– OASIS tarafından geliştirilmiş– Avustralya,Danimarka,Finlandiya,Fransa,Norveç,İsviçre,İs

veç,Amerika SAML tabanlı federasyonlar

ULAKAAI Pilot

• Federasyon Uygulamaları– SimpleSAMLphp• LDAP, sql, radius vb. modulleri var,• Kurulumu ve bakımı kolay,

– Türkçe kurulum dökümanı hazırlandı.• Web geliştirici ekibimiz konuya hakim• Free Software

– Shibboleth • SAML destekliyor,• Türkçe doküman yok, uygulayan yazarsa seviniriz ;)

REFEDSResearch and Education Federations

ULAKAAI Pilot

Dünyadaki Kimlik Federasyonlarıİstatistikler• Dünya Genelinde 30 Federasyon bulunuyor. ( Akademik )• SWITCHaai ( İsviçre Akademik Ağı Genelinde )• Ağustos 2005 ‘ ten bu yana çalışır halde,• 300'000 akademik personel (İsviçre Akademik Ağının %96 ‘ sı)• 44 Kimlik Sağlayıcı (IDP), 475 Servis Sağlayıcı (SP)• Son 12 ayda 10 Milyon oturum açılmış

• UKFederation ( İngiltere Genelinde )• 30 Ekim 2006 ‘ dan bu yana çalışır halde• Üye Kurum Sayısı (Lise ve Üniversiteler dahil) 864• İngiltere Akademik Ağının %90 ‘ ı

eduGAIN• eduGAIN• Federasyonların Federasyonu

• eduroam mimarisi gibi, federatif bir yapı, Network tabanlı SSO : eduroam Web/Servis tabanlı SSO : eduGAIN

eduGAIN

• eduGAIN ‘ e Katılım• Kural Seti• Teknik Standartlar

• ULAKAAI katılıyor, üniversiteler ULAKAAI üzerinden dahil oluyor.

• Avrupa ‘ daki servislerden ULAKNET kullanıcıları da yararlanabiliyor

ULAKAAI Pilot

• ULAKAAI Pilot Aşaması ilerleyen günlerde • Web sitesi http://aai.ulak.net.tr • Kurulum ve çeviri dökümanları

• ulakaai@ulakbim.gov.tr • ÇOMÜ ile testler devam ediyor. Testlere

katılmak isteyen diğer kurumlar ile bir çalışma grubu oluşturulup çalışmalara devam edilecek.

Sorular – Eksikler

?