Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Prostředky osobní identifikace

Podobné prezentace


Prezentace na téma: "Prostředky osobní identifikace"— Transkript prezentace:

1 Prostředky osobní identifikace
Luděk Rašek

2 Identity & Access management
IAM Identity & Access management

3 Motivace Co máme Co požadujeme Jak toho dosáhneme
Mnoho různorodých systémů Co požadujeme Efektivita správy Bezpečnost Uživatelský komfort Jak toho dosáhneme Definice procesů životního cyklu identity Technologie – vznikne a/nebo přizpůsobíme

4 Definice Vytvoření identity Předání identity Používání identity
NIST: An Identity Management System is any system that creates, issues, uses, and terminates electronic identities. In other words, an Identity Management System provides lifecycle management for the digital credential sets that represent electronic identities. Vytvoření identity Předání identity Používání identity Ukončení identity

5 Vytvoření digitální identity procesy
Určení primárního zdroje identity V případě více zdrojů – způsob konsolidace identity Jednoznačný identifikátor Definice Mapování na identity v systémech Proces zřízení identity Workflow Promítnutí do koncových systémů

6 Vydání digitální identity procesy
Předání přístupových údajů a prostředků Uživatelské(á) jméno(a) Heslo(a) Čipové karty USB tokeny OTP tokeny Nasnímání biometrické šablony

7 Používání digitální identity procesy
Přihlašování/přidělování přístupu Údržba identity Změna hesel Reset hesla Aktualizace přidělených skupin/rolí Řešení krizových situací (zapomenutá/ztracená přístupová karta apod.) Auditing využívání identit Reporting vyžívání identit

8 Ukončení digitální identity procesy
Často zanedbáváno Zásadní pro zachování bezpečnosti systému Ukončení používání identity Identita se zpravidla nemaže z důvodu vazby na auditní logy a jiné záznamy Blokace identity Nutno promítnout do všech systémů

9 Tvorba digitální identity technologie
Automatické propojení se primárním zdrojem identit Personální systém Základní informační systém (např. Active Directory) Nástroj(e) pro konsolidaci identit Centrální konsolidovaná DB identit Meta directory Sjednocuje více zdrojů údajů o uživatelích Nabízí jednotné rozhraní pro všechny závislé systémy

10 Vydání digitální identity technologie
Podpůrné aplikace pro předání uživatelského jména, hesla Personalizace čipové karty Elektronická – zápis dat na kartu Fyzická – potisk karty (pokud se používá) Vydání certifikátu Samoobslužné / s registrační autoritou Stanice pro získání biometrických šablon

11 Vydání digitální identity technologie
Distribuce údajů do systémů - provisioning Žádná – systém je integrován přímo s hlavním úložištěm uživatelských údajů (LDAP, Kerberos, SAML, …) Tvorba účtů v cílových systémech Agentská – na cílovém systému je provozována komponenta, která zakládá odpovídající účty Bezagentská – cílový systém je podporován přímo systémem správy identit Online/Dávková

12 Používání digitální identity technologie
Centrální nástroj pro správu identit bezpečnostním správcem Samoobslužná správa identity Reset hesla Odemčení účtu Single-sign On – všechny systémy přístupné pomocí jednoho přilhášení Kerberos PKI Auditing/Reporting nástroje

13 Ukončení digitální identity technologie
Odstraňování/blokace identit (deprovisioning) Obdoba vydání identity se stejnými nástroji Důležitá zejména z procesního hlediska

14 Prostředí Intranet Internet Uzavřené řízené prostředí
Důvěryhodné prostředí Striktně spravované stanice se známým SW vybavení Technologie: LDAP, Kerberos, SAML… Internet Heterogenní prostředí Nedůvěryhodné prostředí Neznámé vybavení na klientských počítačích Společný jmenovatel: prohlížeč (bohužel existují nekompatibility) Technologie: OpenID, OAuth, SAML

15 Technologie

16 Přehled LDAP Kerberos SAML OpenID OAuth

17 OS Windows Linux Doména Windows 2000 a vyšší
Založena na Kerberos a ActiveDirectory (LDAP) Linux NIS, LDAP, Kerberos

18 LDAP Leightweight Directory Access Protocol
Vychází z heavyweight protokolu X.500 Standardní protokol pro přístup ke stromové struktuře Operace Vytvoření/změna údajů Hledání Podporuje „schemata“ – datové typy uložených objektů Implementace často obsahují miliony záznamů Rychlý přístup – optimalizace, indexování

19 LDAP – datový model Stromová struktura tzv. Directory Information Tree – DIT DistinguishedName – DN Jednoznačný identifikátor položky (entry) v rámci celého stromu Skládá se z relativních identifikátorů RDN, které jsou jednoznačné v rámci podstromu Entry - položka záznam v LDAP Obsahuje jednotlivé atributy Je identifikována pomocí DistinguishedName Atribut Pár klíč-hodnota Je typovaný Jednohodnotový vs. vícehodnotový

20 LDAP - hledání SELECT FROM WHERE Sada atributů, které nás zajímají
Kontext Aktuální položka Jedna úroveň Celý podstrom Filtr – omezující podmínky hledání SELECT FROM WHERE Search filter Description "(objectClass=*)" All objects. "(&(objectCategory=person)(objectClass=user)(!cn=andy))" All user objects but "andy". "(sn=sm*)" All objects with a surname that starts with "sm". "(&(objectCategory=person)(objectClass=contact)(|(sn=Smith)(sn=Johnson)))" All contacts with a surname equal to "Smith" or "Johnson".

21 LDAP Implementace ActiveDirectory OpenLDAP
DN: OU=_accounts,DC=maturity,DC=local Implementace ActiveDirectory OpenLDAP Sun Directory Server (Oracle) dn: OU=_accounts,DC=maturity,DC=local changetype: add objectClass: top objectClass: organizationalUnit ou: _accounts distinguishedName: OU=_accounts, DC=maturity,DC=local whenCreated: Z whenChanged: Z name: _accounts objectCategory: CN=Organizational-Unit,CN=Schema, CN=Configuration,DC=maturity,DC=local

22 Kerberos

23 Kerberos Síťová autentizační služba Předpoklady
Online spojení Synchronizované časy všech účastníků Centrální server tzv. Key Distribution Center (KDC) Sdílené tajemství na bázi hesla

24 Kerberos PrincipalName – identita Ticket
Uživatel Služba (server – např. HTTP) Ticket Datová struktura potvrzující identitu (prostřednictvím třetí důvěryhodné strany – KDC) Kryptograficky zabezpečeno Odolává všem základním síťovým útokům Service principal name – identita služby

25

26 Federalizace identity
Service Provider Poskytovatel služby v síti Využívá služeb poskytovatele identity, aby nemusel implementovat vlastní schéma přihlašování Identity Provider – poskytovatel identity Poskytovatel ověřené identity Ověřuje identitu uživatele dle definované politiky Ručí za údaje v souladu s politikou Cílem je implementace Single Sign On

27 Single Sign On - SSO Ideál mnohdy nedosažitelný
Uživatel se po přihlášení ke stanici již nadále nemusí přihlašovat a při tom jeho identita je bezpečně předávána mezi službami Realizace Kerberos PKI

28 Federalizace identit příklad
MojeID – OpenID identity provider Poskytovatel MojeID provozovaný CZ NIC Různá míra ověření Poštovní adresa Kvalifikovaný certifikát Různé druhy přihlášení Jméno/Heslo Certifikát

29 OpenID Jednoduchá specifikace Důvěryhodný přenos identity
Prostředí internetu Mapována na HTTP/HTML Rozšiřitelná o extenze Více informací, než jen identita (např. telefon, apod.)

30 OpenID

31 SAML Security Assertion Markup Language Založeno na XML
Komplexní norma vypracovaná členu Liberty Alliance Přenos tzv. assertions – vyjádření o subjektu Assertion Libovolné „vyjádření“ identity providera o subjektu Důvěryhodné

32 SAML

33 OAuth Metoda autentizace/autorizace pro využití API - nahrazení předávání jména a hesla třetí straně Není přímo využíváno pro autentizaci uživatelů Jde o formu bezpečného delegování přístupových práv na třetí subjekt

34 OAuth

35 Produkty IAM

36 Přehled trhu IBM SUN/Oracle Novell Microsoft

37 Vlastnosti řešení Komplexní systémy
Licencování většinou na počet uživatelů Hlavní výhody Připravené konektory na nejobvyklejší systémy Přizpůsobitelné (procesy, …) Nevýhody Nákladné Málo ohebné

38 Nasazení Většina nákladů na nasazení je vynakládána na lidskou práci – analýzy/definice procesů Nasazení v malé organizaci se nevyplácí Nasazení ve velké organizaci s jistou historií vývoje IT je extrémně náročné


Stáhnout ppt "Prostředky osobní identifikace"

Podobné prezentace


Reklamy Google