Gestão de Identidades e Código Aberto: A simplicidade de um problema complexo. Fernando Mira da Silva fernando.silva@tecnico.ulisboa.

Tamanho: px

Começar a partir da página:

Download "Gestão de Identidades e Código Aberto: A simplicidade de um problema complexo. Fernando Mira da Silva fernando.silva@tecnico.ulisboa."

Alice Bennert Carvalho
8 Há anos
Visualizações:

1 Gestão de Identidades e Código Aberto: A simplicidade de um problema complexo Fernando Mira da Silva fernando.silva@tecnico.ulisboa.pt

2 Gestão de Identidades e código aberto Sumário Código aberto Gestão integrada de identidades Implementação no IST Serviços integrados Uniformização de identidades Infra-estrutura de autenticação SSO Federações de Identidades Discussão

IST Serviços integrados Uniformização de identidades

3 Gestão de Identidades e código aberto Código aberto no Técnico Porquê código aberto? As más razões (ou as razões muito incompletas): Licenciamento gratuito Custos de utilização As verdadeiras razões: Independência face aos fornecedores Preservação digital e sustentabilidade Segurança Interoperabilidade Código aberto == Conhecimento aberto

utilização As verdadeiras razões: Independência face aos fornecedores Preservação

..) Gestão Integrada de Identidades Gestão simplificada de utilizadores Sistema único de controlo de

4 Gestão de identidades e código Gestão integrada aberto de identidades Identidades por serviço Gestão complexa Inconsistência de identidades Gestão paralela de bases de dados Segurança (ciclo de vida, passwords...) Gestão Integrada de Identidades Gestão simplificada de utilizadores Sistema único de controlo de usernames e passwords Gestão integrada do ciclo de vida do utilizador Simplificidade de acesso Interoperabilidade de serviços

5 Gestão de identidades e código aberto Gestão centralizada de identidades Serviços de identidades Abordagem convencional: directórios centalizados de utilizadores: YP, NIS (RIP)... LDAP Active Directory OpenLDAP Aplicações consultam directamente as BD Problema: manipulação das credenciais por aplicações diversas, segurança Soluções actuais Desacoplamento dos servidores aplicacionais e de identidades Modelo Service Provider (SP) / Identity Provider (IdP) Concentração dos mecanismos de segurança num único serviço (IdP) IdP pode fornecer atributos de autorização, para além de autenticação

.. LDAP Active Directory OpenLDAP Aplicações consultam directamente as BD Problema: manipulação das credenciais por aplicações diversas, segurança

6 Gestão de identidades e código aberto Serviços integrados no IST Sistema unificado de identidades Sistema gestão académico Sistema de Mail Acesso à Rede sem fios (eduroam) Armazenamento central (AFS) Sistemas de cálculo genéricas Bases de dados MySql Alojamento de Páginas Web (AFS) VPN Proxy autenticado Sistema de VoIP Serviço de distribuição de software Serviços de RH... Não são aceites nem instalados no Técnico serviços ou aplicações de uso geral que não sejam compatíveis com o sistema central de gestão de identidades

de Páginas Web (AFS) VPN Proxy autenticado Sistema de VoIP Serviço de distribuição de software Serviços de RH.

7 Gestão de identidades e código aberto Uniformização de identidades Integração de identidades é por vezes o passo mais complexo na implementação de um sistema centalizado de gestão de identidades Planeamento Definição do modelo de identidade Criação de identidades para todos os utilizadores Criação de base de dados única de utilizadores Identificação dos serviços activos Unificação de várias BD sectoriais Consolidação e verificação de consistência de dados Adaptação e sincronização de aplicações Adaptações procedimentais

identidades para todos os utilizadores Criação de base de dados única de utilizadores Identificação dos serviços activos Unificação

8 Gestão de identidade e código aberto Implementação Infraestrutura de autenticação LDAP (OpenLDAP) Backend de autenticação: Kerberos RADIUS (FreeRadius) Suporte de Single Sign-On Central Authentication Service (Universidade de Yale) Suporte de federações de identidades Shibollet, OpenSAML - Federação académica RCTSaai, FCCN RADIUS - Acesso académico Eduroam, FCCN Suporte de cartão de cidadão Suporte de Sistema Europeu de Interoperabilidade eid Projectos STORK, esens Toda a infraestrutura implementada integralmente em software aberto

identidades Shibollet, OpenSAML - Federação académica RCTSaai, FCCN RADIUS - Acesso académico Eduroam, FCCN Suporte de cartão de

9 Gestão de identidades Sistema de login no IST

10 Gestão de identidades e código aberto Sistema de Single sign-on: CAS

11 Gestão de identidades e código aberto Exemplos de utilização de SSO com CAS Exemplo 1: PHP <?php include_once('cas/cas.php'); phpcas::client(cas_version_2_0,'id.ist.utl.pt',443,'/cas'); phpcas::forceauthentication(); // Force authentication: browser redirected to IdP IF not authenticated // If the code reaches this step, the user has already been authenticated bythe CAS server $user = phpcas::getuser(); // [Specific server processing] phpcas::logout(); // Logout?> Exemplo 2: mod_auth_cas instalado no servidor Apache Incluir no.htaccess directório a proteger: AuthType CAS AuthName "IST Network Services" require user

pt',443,'/cas'); phpcas::forceauthentication(); // Force authentication: browser redirected to IdP IF not authenticated // If the code reaches this step,

12 Gestão de identidades Modelo de autenticação Europeu STORK Projecto Stork Integração dos sistemas de eid da UE Baseado na implementação de um Proxy de autenticação (PEPS) em cada estado membro Suporte alternativo de um V-IdP, para soluções distribuídas

implementação de um Proxy de autenticação (PEPS) em cada

13 Gestão de identidades e código aberto Casos de uso de SSO/CAS 1. CAS: Autenticação via username/password a) Ligaçãoa ao OpenLDAP b) Autorização via SASL (Simple Authentication and Security Layer) ic) Autenticação via Kerberos 2. CAS: Autenticação via Cartão de Cidadão a) Autenticação com Certificação X.509 b) Obtenção Nº Ident. do B.I./C.C. c) Identificação do utilizador por comparação do Nº Ident. do B.I./C.C. com a ficha do OpenLDAP 3. CAS: Autenticação via Kerberos a) Envio de service ticket de Kerberos ao servidor no SPNEGO (Simple and Protected GSSAPINegotiation Mechanism b) Autenticação com ticket Kerberos do utilizador no OpenLDAP 4. CAS: Autenticação via e-id a) Autenticação externa e obtenção do Nº Ident. do Documento de Identificação b) identificação do utilizador por comparação do Nº Ident. do B.I./C.C. com a ficha do OpenLDAP

CAS: Autenticação via Cartão de Cidadão a) Autenticação com Certificação X.509 b) Obtenção Nº Ident. do B.I./C.C. c) Identificação do utilizador por comparação do Nº Ident. do B.I./C.C. com a ficha do OpenLDAP 3.

14 Gestão de identidades Discussão A gestão centralizada de utilizadores é um requisito fundamental de qualquer sistema vançado de informação e garantia de Consistência Interoperabilidade Segurança A utilização de soluções avançadas de gestão de identidades é possível em código aberto, através de soluções amplamente disponíveis na Internet A utilização de soluções de código aberto garante Segurança Sustentabilidade Capacidade de manutenção e evolução Independência dos fornecedores Interoperabilidade soluções Conhecimento aberto

possível em código aberto, através de soluções amplamente disponíveis na Internet A utilização de soluções de código aberto garante

Documentos relacionados

Remote Authentication Dial in User Service (RADIUS) Rômulo Rosa Furtado

Remote Authentication Dial in User Service (RADIUS) Rômulo Rosa Furtado O que é RADIUS: RADIUS é uma rede de protocolo que fornece Autorização, Autenticação e Contabilidade (AAA). Para que serve? Ele serve