《中科院高能物理所马兰馨2013.7.9》由会员分享,可在线阅读,更多相关《中科院高能物理所马兰馨2013.7.9(30页珍藏版)》请在金锄头文库上搜索。
1、中科院高能物理所 马兰馨马兰馨2013.7.9Shibboleth 在高能所统一认证系统中的应用报告内容报告内容l背景lShibboleth介绍高能所统一认证方案设计应用接入方案背景背景l高能所校园网应用系统众多高能所校园网应用系统众多l邮件系统、会议管理系统、文档管理系统、磁盘、软件、。每个系统有自己的认证机制、用户数据库每个系统有自己的认证机制、用户数据库用户记住每个应用系统的用户记住每个应用系统的username/passwordusername/password用户管理复杂用户管理复杂解决方案解决方案单点登录系统单点登录系统SSO(Single Sign On)Shibboleth关于
2、关于 ShibbolethlA Web-based Single Sign On (SSO)l美国 Internet2 高级网络联盟/MACE(Moddleware Architecture Committee for Education)小组的一个项目其目的是开发一个基于标准(主要是SAML和 XML Schema)的体系结构和策略框架及一套开放源代码软件,以用于支持机构间的、需要存取控制的Web资源共享的单点登录系统。安全断言标记语言 SAML(Security Assertion Markup Language )XML即可扩展标记语言(eXtensible Markup Languag
3、e)Shibboleth 优势优势用户只需记住一个username/password 用户管理简单、集中 安全地访问第三方服务 跨组织、联盟 保护隐私使服务提供者可以控制能够控制其被访问的资源 整合不同的第三方服务 系统组件系统组件IdP (Identify Provider) 主要负责提供各种凭证和属性,对用户身份进行认证和用户属性进行管理。当用户请求访问受限资源时,IdP 会发送验证声明或属性声明给SP。 SP (Service Provider) 主要负责访问资源安全方面的管理,对资源进行保护、用户访问资源进行授权和执行访问控制,通过 IdP 发送来的声明决定用户是否获得资源访问权限。
4、DS (Discovery Service) 以互动方式为用户提供 IdP 选择的标准接口,具有高度可定制性,可将用户提交的选择直接将用户重定向给对应的 SP。 DS 可由资源控制,也可作为中心共享服务运行。 构成构成 SSO 主要角色主要角色构成基于构成基于Web的的SSO系统的主要角色系统的主要角色 Web Browser: 用户用户 Resource: 被保护资源被保护资源 IdP (Identity Provider): 认证用户认证用户 SP (Service Provider): 执行认证,转到被保护资源执行认证,转到被保护资源Discovery Service Provider(
5、DS):允许用户选择允许用户选择IdP 工作流程工作流程1. 用户访问被保护资源2.用户将请求转发给IdP3.IdP认证用户信息4.IdP发送认证信息给SP5.SP检验IdP的返回信息,决定是否允许用户访问资源6.返回给资源信息,完成整个认证过程系统架构系统架构ResourceWAYFIdentity ProviderService ProviderWeb Site1ACS32HS567User DBCredentials4ARHandleHandle8Handle9AAAttributes10ResourceManagerAttributesIHEP 统一认证方案统一认证方案 l方案:方案:
6、 IdP+ Kerberos+ldap+username/passwordSP + web Application 目前实现了 一个IdP, 多个SP,一个SP保护一个资源 用户信息、访问方式用户信息用户信息Kerberos 认证信息(username/password)Ldap 用户属性(姓名、email、telephone、部门、)Application 的本地数据库 授权信息(Role,group, 权限,)访问方式访问方式访问单个应用系统访问单个应用系统统一用户接口统一用户接口通过菜单访问应用系统修改用户个人信息修改口令帮助信息IHEP 统一认证架构图统一认证架构图WebBrowser
7、Shibboleth IdPApache/TomcatApp1Authentication ShibbolethSP1APP1 ShibbolethSPnAPPnKerboresLDAPShibbolethSPAccount ManagementApacheSSH应用系统接入认证系统的技术应用系统接入认证系统的技术方案方案(1)(1)应用程序必须为基于Web的程序最好与SP安装在同一台机器上,实现对资源的保护允许单点认证系统用户进行登录应用系统可以保留现有的用户账户信息(本地数据库)应用系统针对需要单点认证的用户,需要在应用的登录页面增加一个专供单点认证用户使用的链接,该链接由应用中专门的程序
8、来进行处理。为了允许单点认证系统用户登录,应用程序需要进行一些修改,要写接口程序(PHP, Python, JSP,)应用系统接入认证系统的技术方案应用系统接入认证系统的技术方案(2)(2) 假设应用部署在 主机上,并安装了SP,允许单点认证帐号登入。该应用中:首页地址为:https:/ index.php (或index.jsp)。 该程序的功能为:1. 检查该用户是否已经通过了统一认证,具体检查方法为:查找HTTP请求中有没有名为Shib-Identity-Provider的请求头,对于php应用程序,使用 $_SERVERShib-Identity-Provider; 来进行检查2.
9、如果通过步骤1中的检查,用户已经通过了单点认证,则从HTTP请求头中取得用户名、姓、名、所属机构名、邮件地址、等等信息,并放入Session中,以便于以后和应用程序的其他部分共享这些信息,并把用户重定向到登录成功界面,即应用的主面。3. 与本地数据库进行比对,如何本地数据库允许其用户登入,则把用户重定向到登录成功界面4. 如果没通过步骤1、步骤2、步骤3的检查,则退出应用应用系统接入认证系统的技术方案应用系统接入认证系统的技术方案(3)(3) l认证成功后提供用户的信息有:Username, sn, GivenName,email,认证系统提供给应用系统得到用户信息的接口PHP程序使用以下语句
10、取得用户属性: $_SERVERuid; $_SERVERsn; $_SERVERgivenName; $_SERVERmail; 与应用系统整合举例与应用系统整合举例帮助信息帮助信息http:/ 谢谢谢谢!什么是什么是Shibboleth,如何工作,如何工作 A user authenticates with his or her organizational credentials. The organization (or identity provider) passes the minimal identity information necessary to the service
11、 manager to enable an authorization decision Shibboleth leverages the organizations identity and access management system, so that the individuals relationship with the institution determines access rights to services that are hosted both on- and off-campus. 基本组成基本组成There are 3 parts to the Shibbole
12、th system: Identity Provider(IdP) - the software run by an organization with users wishing to access a restricted service; Service Provider(SP) - the software run by the provider managing the restricted service. Discovery Service(DS) - an SP will usually be able to handle users authenticated by mult
13、iple IdPs and at that point it has no option but to ask the user to select an IdP, which is usually done by a Discovery Service. IdP & SP are the two primary partsSSO主要角色主要角色The main actors in a web-based SSO system are: Web Browser: represents the user within the SSO process Resource: contains acce
14、ss-restricted content that the user wants IdP (Identity Provider): authenticates the user SP (Service Provider): performs the SSO process for the resourceDiscovery Service Provider(DS):allows a user to select which Identity Provider they will use when accessing a Service Provider 体系结构体系结构架构图WebBrows
15、erShibboleth IdPApache/TomcatUser DB (Kerberos/LDAP) App1Authentication ShibbolethSP1APP1 ShibbolethSPnAPPnShibbole如何工作IdP与SP通过SAML消息传送用户的身份认证和属性等信息。SAML消息定义了2种重要的语句:(1)身份验证语句,关于该主题在何时何地、使用何种身份进行过验证的报告。 。(2)属性语句,包含了与主题有关的属性。属性语句中典型的属性是组和角色。SAML定义了一组XML格式的请求和应答消息,SP可使用这些消息直接获取断言。 基本组成基本组成There are 3
16、parts to the Shibboleth system: Identity Provider(IdP) 主要负责维护用户的信任和属性,并在请求时,做出认证语句或属性语句的断言。Service Provider(SP) 主要负责管理被保护的资源,即按照的断言,决定用户对资源的存取。一般包括断言处理服务、属性请求者和目标资源。Discovery Service(DS) - an SP will usually be able to handle users authenticated by multiple IdPs and at that point it has no option bu
17、t to ask the user to select an IdP, which is usually done by a Discovery Service. IdP & SP are the two primary parts工作流程1. User Accesses Protected Resource2. SP Determines IdP and Issues Authentication Request3. User Authenticates to the IdP4. IdP Issues Response to SP5. Back to the SP6. Back to the
18、 Protected Resource管理、资源、使用管理、资源、使用帐号统一管理提供2种登入方式登入单个应用登入统一界面SP与Application的整合网络组周报系统、系统组月报为什么选择为什么选择 Shibboleth用户只需记住一个username/password 用户管理简单、集中 安全地访问第三方服务 跨组织、联盟 使机构选择自己的身份验证技术 使服务提供者可以控制能够控制其被访问的资源 整合不同的第三方服务 工作流程工作流程1. User Accesses Protected Resource2. SP Determines IdP and Issues Authentication Request3. User Authenticates at the IdP4. IdP Issues Response to SP5. Service Provider Checks Response6. Back to the Protected Resource用户接口用户接口
