Saltar para:
This Page is not available in English   A Ajuda Contextual não se encontra disponível   
Você está em: TIC > UPORTOaai
Autenticação




UPORTOaai - Infra-estrutura de Autenticação e Autorização da Universidade do Porto

Conceito

As infra-estruturas de autenticação e autorização são essenciais, em particular nos ambientes universitários, onde o número e a diversidade de serviços de TIC são elevados, dificultando a gestão de credenciais de acesso, tanto do ponto de vista do utilizador, como do ponto de vista do administrador desses serviços.

Ontem, sem AAI
Hoje, com AAI

A maior mobilidade de pessoal e alunos aconselha à federação de identidades, para que seja possível estabelecer relações de confiança entre instituições, possibilitando o reconhecimento das identidades dos utilizadores nas várias instituições que constituem a federação. A estes requisitos adicionam-se os de privacidade e segurança dos respectivos dados.

Este conceito assenta no princípio de que um utilizador, ao aceder a um recurso que lhe é disponibilizado, é autenticado com base em credenciais na sua instituição de origem, e é autorizado com base em atributos por ela disponibilizados de uma forma segura e confidencial.

Componentes

Uma infra-estrutura de autenticação e autorização é constituída por três componentes:

  • Identity Provider
  • Service Provider
  • Serviço WAYF

O componente Identity Provider consiste num conjunto de software que autentica os utilizadores perante pedidos efectuados a recursos protegidos (Service Provider), e fornece atributos com base em políticas para que possa ser efectuada uma autorização no acesso ao serviço inicialmente requisitado.

O componente Service Provider consiste numa camada de software que protege e autoriza o acesso a um determinado recurso web. A Autorização é realizada com base nos atributos necessários enviados pelo componente Identity Provider. Caso o utilizador não esteja devidamente autenticado pelo Identity Provider é automáticamente redireccionado para o serviço de descoberta.

O componente WAYF (iniciais de Where Are You From) tem como objectivo canalizar os utilizadores não autenticados para as respectivas instituições de origem que são apresentadas no browser utilizado. Após a selecção por parte do utilizador da sua instituição este serviço redirecciona o utilizador automaticamente para que possa ser efectuado o processo de autenticação.

Federação

Uma federação consiste num grupo de organizações que partilham um conjunto de políticas e regras, estabelecendo-se desta forma uma relação de confiança com o objectivo de se atingir uma autenticação e autorização entre os vários domínios existentes.

Segurança

O controlo de acesso aos Serviços Federados é feito através de atributos transmitidos através de asserções SAML produzidas pelo Identity Provider e consumidas pelos serviços.

Desta forma as credenciais de autenticação não andam a ser transferidas de domínio em domínio.

Para além disso como a gestão das passwords fica mais facilitada com o SSO, os utilizadores podem seguir com maior facilidade as boas práticas na criação e gestão de credenciais.

Toda a comunicação entre Service Providers e Identity Providers é encriptada pelo Shibboleth utilizando mecanismos como SSL/TLS e assinaturas de XML.

Todos os Service Providers e Identity providers estão presentes numa cadeia de certificação PKI assim como os metadados que descrevem cada um desses serviços.

Os serviços apenas confiam em asserções SAML de Identity Providers que estejam referidos nos metadados da Federação.

Privacidade

Os Serviços Federados definem um conjunto de atributos que são necessários para aceder ao serviço e o Identity Provider fornece apenas os atributos que são necessários para esse serviço.

Para além disso as asserções SAML que contêm esses atributos são cifradas.

Software

Pacote de software Open Source com mais expressão e utilização desenvolvido pela Internet2. Baseado em Standards o Shibboleth pode ser instalado em várias arquitecturas (baseado em SAML 2.0/ JAVA).
Fornece funcionalidades extensas de privacidade, permitindo à instituição de origem controlar quais os atributos libertados para cada aplicação.

Os conceitos chave do Shibboleth são:

  • Federated administration (Administração de Federações vs Administração Federada)
  • Controlo de Acessos baseado em atributos
  • Gestão de privacidade
  • Uma estrutura para múltiplas e escaláveis políticas de confiança (Federações)
  • Um vocabulário standard de atributos (extensível)

O software Shibboleth foi desenvolvido especificamente para endereçar os seguintes desafios:

  • múltiplas palavras-chave necessárias para múltiplas aplicações;
  • gestão de contas de utilizadores de múltiplas aplicações;
  • questões de segurança associadas ao acesso a serviços externos à instituição;
  • privacidade;
  • interoperabilidade dentro e fora das fronteiras da instituição;
  • permitir que as instituições escolham a sua tecnologia de autenticação;
  • permitir que os fornecedores de serviços controlem o acesso aos seus recursos.

Workflow

  1. Autenticação - Processo de autenticação é realizado sempre na instituição de origem do utilizador.
  2. Pedido de Acesso - Após uma autenticação realizada com sucesso, é enviado pedido de acesso ao recurso.
  3. Autorização - O processo de autorização implica uma troca de atributos entre a instituição de origem do utilizador e o recurso a utilizar.

Benefícios de uma infra-estrutura de AAI

  • Permitir o Single Sign-on (SSO) em serviços Web dentro e fora da instituição. Os utilizadores apenas têm uma identidade organizacional e respectiva palavra-chave para acederem aos recursos intra e inter-institucionais.
    • O Shibboleth foi especificamente desenvolvido para endereçar os desafios de controlo de acesso aos múltiplos recursos disponibilizados por uma instituição, fornecedores externos ou ambos. No passado, cada recurso necessitava de uma identificação e palavra-chave individual. Isto complica a vida do utilizador que tem de gerir múltiplas identidades e palavras-chave e cria preocupações de segurança e carga de trabalho na instituição.
  • Configuração e Gestão Local para um acesso Global. Utilização dos sistemas de gestão de identidade existentes para aceder a todos os recursos.
  • Protecção dos dados e da privacidade dos utilizadores. Providenciar apenas a informação essencial acerca dos utilizadores.
Opções
Página gerada em: 2017-11-24 às 12:57:40 Última actualização: 2010-03-11