Post on 29-Jan-2018
1
Autenticazione SAML
Alla base del Sistema Pubblico di Identità Digitale SPID
Lightning Talk Linuxday 2017 TriesteDaniele Albrizio daniele@albrizio.it
2
Autenticazione WEB
● Applicata ai siti web● Simile al meccanismo di pagamento con carta
di credito online
3
Storia: Backend di autenticazione (diretta)
● Ldap– Transito della password o dell’hash sul frontend
– Autenticazione nativa Plaintext, md5, kerberos
– MSPPE/NTLMv2 ma con un “superaccount” sul frontend
● Bisogna fidarsi della benevolenza del frontend che non sempre è un angioletto (servizi esternalizzati, siti web in cloud, ecc...)
4
Autenticazione delegata
● SAML Security Assertion Markup Protocol (web)– Redirezione verso un autenticatore della propria organizzazione che
restituisce l’esito dell’autenticazione al fornitore di servizi. Come quando si effettua un pagamento con la carta di credito. Le credenziali vengono immesse solo su un sito unico autorevole per l’utente
● Radius tunnel (network)– L’autenticazione e le credenziali arrivano in maniera protetta e privata
fino al server dell’organizzazione di appartenenza dell’utente. Al servizio arriva sono un Accept o un Reject
29 Maggio 2009 Daniele Albrizio - albrizio@units.it 5
Autenticazione: definizioniAutenticazione: definizioni
Identità digitaleIdentità digitale
AutenticazioneAutenticazione
AutorizzazioneAutorizzazione
29 Maggio 2009 Daniele Albrizio - albrizio@units.it 6
Identità digitaleIdentità digitale
● Per essere sicuri chePer essere sicuri cheun uomo o una un uomo o una macchinamacchinain rete siano chi in rete siano chi dicono didicono diessere, abbiamo essere, abbiamo bisognobisognodi sistemi (entità di sistemi (entità fidate) che nefidate) che neautentichino l'identitàautentichino l'identità
(The New Yorker, Vol. 69 (LXIX) no. 20, page 61, July 5, 1993, by Peter Steiner)
29 Maggio 2009 Daniele Albrizio - albrizio@units.it 7
Policy based Access ControlPolicy based Access Control
– PEPPEP o o Policy Policy EnforcementEnforcement Point Point che chiede che chiede all'utente di identificarsi, passa le richiesta al PDP e all'utente di identificarsi, passa le richiesta al PDP e fornisce il servizio o meno a seconda di quanto fornisce il servizio o meno a seconda di quanto risposto dal PDP.risposto dal PDP.
PDP(Radius,
Shibboleth IdP,middleware)
Provisioning
Run-time query
UserClientSql DB
Directory(AD, LDAP)
PEP(access point,
application server,switch,
Shibboleth SP)
OK
29 Maggio 2009 Daniele Albrizio - albrizio@units.it 8
Federazione di IdMFederazione di IdM
Per noi vuol dire:Per noi vuol dire:● „„Unione” dei sistemi di gestione dell'identità in Unione” dei sistemi di gestione dell'identità in
modo da poter riconoscere anche gente modo da poter riconoscere anche gente (identità) di altre Organizzazioni e conoscere i (identità) di altre Organizzazioni e conoscere i loro loro attributiattributi trasmessi con trasmessi con convenzioni convenzioni semantichesemantiche..
29 Maggio 2009 Daniele Albrizio - albrizio@units.it 9
Autenticazione FederataAutenticazione Federata
Si basa su tre attori principali:Si basa su tre attori principali:
● Identity Provider (IdP)Identity Provider (IdP)operato dalla home institution (Università, IdP operato dalla home institution (Università, IdP SPID)SPID)
● Service Provider (SP)Service Provider (SP)operato dal fornitore di servizioperato dal fornitore di servizi
29 Maggio 2009 Daniele Albrizio - albrizio@units.it 10
Identity Provider (IdP)Identity Provider (IdP)
● L'IdP mantiene una lista di attriuti collegati ad L'IdP mantiene una lista di attriuti collegati ad ID univoci. Gli attributi possono essere auto-ID univoci. Gli attributi possono essere auto-assegnati dall'entità stessa o attributi e ruoli assegnati dall'entità stessa o attributi e ruoli assegnati all'entità da altre entità assegnati all'entità da altre entità (organizzazioni).(organizzazioni).
● Autentica l'identità e rilascia attributi secondo Autentica l'identità e rilascia attributi secondo policy definite dal soggetto e policy definite dal soggetto e dall'organizzazione.dall'organizzazione.
29 Maggio 2009 Daniele Albrizio - albrizio@units.it 11
Service Provider (SP)Service Provider (SP)
● L'entità che „consuma” (usa) gli attributi e L'entità che „consuma” (usa) gli attributi e l'autenticazione al fine di fornire o meno un l'autenticazione al fine di fornire o meno un servizio.servizio.
● Spesso il servizio viene personalizzato in base Spesso il servizio viene personalizzato in base al valore degli attributi.al valore degli attributi.
29 Maggio 2009 Daniele Albrizio - albrizio@units.it 12
(WAYF Where Are You from)(WAYF Where Are You from)DS Discovery ServicesDS Discovery Services
● Servono agli utenti per selezionare il proprio Servono agli utenti per selezionare il proprio IdP (Home Institution) IdP (Home Institution) all’interno della all’interno della Federazione o di più FederazioniFederazione o di più Federazioni
● IDEM è la Federazione della Ricerca e IDEM è la Federazione della Ricerca e dell’Istruzione Italiana (WEB)dell’Istruzione Italiana (WEB)
● eduGAIN è la Federazione della Ricerca e eduGAIN è la Federazione della Ricerca e dell’Istruzione mondiale (WEB)dell’Istruzione mondiale (WEB)
● SPID è la Federazione delle identità pubbliche SPID è la Federazione delle identità pubbliche italiane (WEB)italiane (WEB)
29 Maggio 2009 Daniele Albrizio - albrizio@units.it 13
https://wayf.idem.garr.it/WAYF/https://wayf.idem.garr.it/WAYF/
29 Maggio 2009 Daniele Albrizio - albrizio@units.it 14
Discovery degli IdP su SPID Discovery degli IdP su SPID
29 Maggio 2009 Daniele Albrizio - albrizio@units.it 15
● Introducing the zoo of paper beasts - David Simonsen (WAYF)Introducing the zoo of paper beasts - David Simonsen (WAYF)
16
Pagina di login della propria organizzazionesul dominio della propria organizzazione
17
● Privacy● ToU (Terms of Use)
18
Informativa e autorizzazioneal rilascio degli attributi
29 Maggio 2009 Daniele Albrizio - albrizio@units.it 19
Trust per gli utenti:Trust per gli utenti:ConsensoConsenso
Stiamo usando informazioni strettamente Stiamo usando informazioni strettamente collegate all'utente, che lui considera sue.collegate all'utente, che lui considera sue.
Il consenso dell'utente DEVE essere:Il consenso dell'utente DEVE essere:● Volontario (nessuna costrizione)Volontario (nessuna costrizione)● Specifico (per ogni singolo scopo)Specifico (per ogni singolo scopo)● Informato (le domande devono essere capibili)Informato (le domande devono essere capibili)
29 Maggio 2009 Daniele Albrizio - albrizio@units.it 20
Principi per lo scambio dei datiPrincipi per lo scambio dei dati
TrasparenzaTrasparenza
Scopo legittimoScopo legittimo
ProporzionalitàProporzionalità
29 Maggio 2009 Daniele Albrizio - albrizio@units.it 21
FederazioneFederazione
a Circle of Trusta Circle of Trust
SEOULMAN66 / Alexander (CC)http://www.flickr.com/photos/wookiewookie/122305592/
29 Maggio 2009 Daniele Albrizio - albrizio@units.it 22
Single Sign OnSingle Sign On
● Permette di effettuare il login una sola volta e Permette di effettuare il login una sola volta e avere accesso automatico, senza reinserimento avere accesso automatico, senza reinserimento delle credenziali, su tutti i siti collegati.delle credenziali, su tutti i siti collegati.
23
Multi Factor Authentication
● Qualcosa che uno sa– Password, passphrase, pin
● Qualcosa che uno ha– Chiave, Smartcard, Token OTP, Token card, bluetooth pairing,
NFC tag, tessera magnetica, sms su cellulare?, tessera magnetica?
● Qualcosa che uno è– Impronta digitale, retinica, vocale– riconoscimento facciale, auricolare– impronta della mano o del piede, ecc…– Firma o calligrafia– Stile della battitura sulla tastiera
24
Quest'opera è stata rilasciata con licenza Creative Commons Attribuzione - Non commerciale - Condividi allo stesso modo 3.0 Italia. Per leggere una copia della licenza visita il sito web http://creativecommons.org/licenses/by-nc-sa/3.0/it/ o spedisci una lettera a Creative Commons, PO Box 1866, Mountain View, CA 94042, USA. Alcune immagini hanno licenze d’uso differenti e sono indicate sulle immagini stesse.
Daniele Albriziodaniele@albrizio.it