ENGR 5770G : Service Computing / Winter 2013 Anwar Abdalbari - - PowerPoint PPT Presentation

ENGR 5770G : Service Computing / Winter 2013 Anwar Abdalbari

Outline ¡

 Introduction.  Identity Systems.  Analysis of Identity Systems.  Open Trust Frameworks.  Shibboleth Approach

What are we talking about? ¡

Who are you? Authentication is about securely identifying an actor

• - people,

applications, etc.

Authentication Authorization

What to do? Authorization is about what you are allowed to do. Login, read only, read/write, etc.

The ¡Ugly ¡Page ¡

Overview ¡

 An Internet-scale identity system is an architecture

that defines standardized mechanisms enabling the identity attributes of its users to be shared between applications and Web sites. ¡

Why ¡Iden3ty ¡Systems? ¡

 A streamlined and optimized online experience for

users.

 More protection from identity theft.  Provide an automatic customization and

personalization for users to configure their accounts.

 A number of different technologies and standards

initiatives are designed to deliver an Internet scale identity system. ¡

Terms ¡used ¡in ¡iden3ty ¡Systems ¡

Identity ¡Provider ¡(IDP) ¡ SP ¡which ¡creates, ¡maintains, ¡and ¡manages ¡identity ¡ ¡ information ¡for ¡users ¡and ¡provides ¡user ¡ authentication ¡on ¡behalf ¡of ¡other ¡SPs. ¡ Relying ¡Party/Service ¡ Provider ¡(RP/SP) ¡ A ¡system ¡entity ¡that ¡decides ¡whether ¡or ¡not ¡to ¡ take ¡an ¡action ¡based ¡on ¡information ¡provided ¡by ¡ another ¡system ¡entity ¡such ¡as ¡an ¡Identity ¡

• Provider. ¡

User ¡ person ¡who ¡uses ¡an ¡information ¡system ¡and ¡its ¡ resources ¡for ¡any ¡purpose ¡ Active ¡Client ¡ A ¡smart ¡client ¡or ¡service ¡that ¡assists ¡the ¡user ¡in ¡ controlling ¡and ¡directing ¡identity ¡transactions. ¡ Selector ¡ An ¡active ¡client ¡using ¡the ¡information ¡card ¡metaphor ¡

Iden*ty ¡Systems ¡

 SAML  Information Cards  OpenID  OAuth  SAML(Security Assertion Markup Language)

 SAML is an XML standard for exchanging

authentication and authorization data between entities.

 SAML is a product of the OASIS Security Services

Technical Committee.

SAML ¡Specifica*on ¡

 Assertions: Authentication,

Attribute and Authorization information

 Protocol: Request and Response

elements for packaging assertions.

 Bindings: How SAML Protocols

map onto standard messaging

• r communication protocols.

 Profiles: Tie all the above into

interoperable patterns for common use cases (e.g. Browser Single Sign On, Web Services Security, etc.)

Profiles Bindings Protocol Assertions

Informa*on ¡Cards ¡

 Information Card has a card-shaped picture and a

card name associated with it that enable people to

• rganize their digital identities and to easily select
• ne they want to use for any given interaction.

 At Web sites that support Information Cards, a user

can authenticate using a previously established secret key rather than a password.

 The Information Card metaphor is implemented by

Identity Selectors like Windows CardSpace, DigitalMe or Higgins Identity Selector.

Example ¡of ¡Informa*on ¡Cards ¡

Example ¡Cont’d ¡

OpenID ¡



Open source, distributed authentication system



Simple and lightweight: identity is a URL



Fully decentralized and open platform



I want to log into example.com:

• 1. I type my OpenID URL into the login form on

example.com

• 2. example.com redirects me (via my web-browser)

to myopenid.com

• 3. I tell myopenid.com whether or not I trust

example.com with my identity

• 4. I am redirected back to example.com and am

automatically logged in

http://www.google.com/accounts/o8/id

What’s ¡behind? ¡ ¡

Ac3on?! ¡

 Over 500 million

OpenID-enabled Users

 More than 25,000

websites

OAuth ¡(Open ¡Autheriza*on) ¡

 OAuth 1.0a is an IETF standard that began as a

delegation protocol built to allow users to granularly grant service and data access to external relying parties.

 OAuth allows users to share their privtae resources

(photos, videos, contact list) stored on one site with another site without having to hand out their user name and password.

 A common usage of OAuth is the “OpenID/OAuth

Hybrid Model” which combines an OpenID authentication (and possibly a registration) with a subsequent request for permission to consume

• ngoing services.

An ¡Iden*ty ¡Conversa*on ¡

user ¡ RP-­‑SP ¡

I ¡ r e q u i r e ¡ I d e n t i t y ¡ A t t r i b u t e ¡ “ X ” ¡ U s e r n a m e ¡ , ¡ P a s s w

• r

d , ¡ Z i p ¡ c

• d

e

, ¡… ¡ ¡ ¡ H e r e ¡ i s ¡ I d e n t i t y ¡ A t t r i b u t e ¡ “ X . ” ¡

H e r e ¡ i s ¡ S e r v i c e ¡ “ A . ”

¡ Hello, ¡I’d ¡like ¡Service ¡“A.” ¡

An ¡Improved ¡Conversa*on ¡

1-­‑ ¡Hello, ¡I’d ¡like ¡Service ¡“A.” ¡

2-­‑Before A, I require Identity Attribute “X”

3-­‑ ¡ ¡Which ¡IDPs ¡can ¡match ¡? ¡ ¡6-­‑ ¡Here ¡is ¡Identity ¡Attribute ¡“X.” ¡ 4-­‑ ¡RP/SP ¡requires ¡Identity ¡ ¡

Attribute ¡“X.” ¡

7-­‑ ¡Here ¡is ¡Service ¡“A.” ¡ 5-­‑ ¡ ¡ ¡Identity ¡Attribute ¡“X.” ¡ RP/SP ¡ User ¡ IDPa ¡

Iden*ty ¡Type ¡

 Identity systems use the exchange of certain types

• f identity attributes like unique user identifiers or

more general attributes (such as email address, telephone number, user profile information, etc.)

¡ ¡ Identifiers ¡ SAML Allows for a variety of identifier types Information Cards Allows for IDPs, either self-issued or a third party, to issue a Private Personal Identifier (PPID) by which RP/ SPs can recognize the user for authentication. OpenID Default assumption is that users are identified by a personal URI. OAuth The service is identified rather than the user. An

• paque one-time identifier is used to map between user

accounts on each side.

Iden3fiers ¡Categories ¡

 Global Identifier

 All RP/SPs use the same identifier to refer to a given

• user. (SAML)

 Pair-wise Pseudonyms

 Pairs of providers establish and subsequently use

unique identifiers for users. (SAML , OpenID 2.0,

Information Cards)

 One-time Identifier

 Each time a user accesses an RP/SP they have a

different identifier. (SAML , OAuth)

Authen*ca*on-­‑Iden*ty ¡Flow ¡

 Single Sign-On: enables a user to authenticate to

an IDP and then have their digital identity asserted by the IDP to RP/SPs, thereby enabling user access to resources at that RP/SP.

 Front Channel Identity Flow: Identity information

flows through the user-agent from IDP to RP/SP and thereby makes possible direct user mediation.

 Back Channel Identity Flow: Identity information

flows direct from IDP to RP/SP.

OpenID ¡Account ¡Registra*on, ¡Authen*ca*on ¡ and ¡SSO ¡with ¡OAuth ¡Service ¡Authoriza*on ¡

¡ ¡ ¡ Open ¡Trust ¡Frameworks ¡for ¡Open ¡ Government ¡

¡ ¡Open ¡government ¡ ¡ ¡ Open government requires a way for citizens to

easily and safely engage with government websites.

 OpenID and Information Cards—fit this issue.  OpenID Foundation and the Information Card

Foundation are working with the U.S. General Services administration to create open trust frameworks for their respective communities.

 These frameworks will enable government websites

to accept identity credentials from academic, non- profit and commercial identity providers that meet government standards .

The ¡Basic ¡“Trust ¡Triangle” ¡

 The ¡user ¡has ¡a ¡direct ¡trust ¡relationship ¡with ¡both ¡the ¡

identity ¡service ¡provider ¡and ¡the ¡relying ¡party ¡

 The ¡problem ¡is: ¡How ¡can ¡the ¡identity ¡service ¡provider ¡

and ¡relying ¡party ¡trust ¡each ¡other? ¡

A ¡MaEer ¡of ¡Trust ¡

 Relying Parties (RP) must be able to trust that the

Identity Provider can reliably provide accurate user data

 Identity Providers (IDP) must be able to trust that the

Relying Party is legitimate (i.e., not a hacker, phisher, etc.)

 Direct RP-to-IDP agreements are a common

solution, but are impossible to manage at Internet scale ¡

The ¡Open ¡Trust ¡Framework ¡

 Jointly developed by the OpenID Foundation and the

Information Card Foundation

 Reflects our common interests in providing a trust

framework adapted to open identity technologies – technologies that:

 Are open standards  Operate at Internet scale  Support user-controlled identity management  Do not presume any pre-existing trust relationships

between identity providers and relying parties

Benefits ¡of ¡Open ¡trust ¡frameworks ¡ ¡

 Security

 Reduced credential sharing.  Consistent.  Simplified user trust decisions.  strong authentication.

 Privacy

 Personal privacy management and auditing.  Automatic minimum disclosure.

 Cost Savings  Reuse, Extension, and Adaptation

Federated ¡Security: ¡ ¡ Shibboleth ¡Approach ¡

What ¡are ¡federa3ons? ¡

 Group of organizations sharing a set of agreed

policies and rules for access to online resources.

 Enable members to establish trust and shared

understanding of language or terminology

 Provide a structure / legal framework that

enables authentication and authorization

 Enables people to use their home credentials to

connect to remote sites

 Without revealing their credentials  Without releasing unnecessary private

information

A ¡Federa0on ¡Example ¡

Authentication ¡and ¡Authorization ¡Infrastructure ¡

What ¡is ¡Shibboleth? ¡

 An open source project supporting inter-institutional

sharing of web resources subject to access controls.

 Supports secure user access to Web- based

resources.

 Enables independent organizations to federate to

extend the capabilities of their existing identity- management services.

 Supports multi-organizational federations to enable

scalable use of the technology.

 Encourages attribute-based authorization.  Provides controls to protect the privacy of personal

information.

How ¡Does ¡it ¡Work? ¡

AMribute-­‑based ¡approach ¡

 Applications need additional information about

users—user attributes to make proper authorization decisions.

 Attributes are exchanged about a prospective user

until the controlled resource has sufficient information to make a decision.

 Shibboleth is designed specifically to provide user

attributes to applications with the flexibility, extensibility, security, and privacy required in federated scenarios.

 Organizations can use Shibboleth’s built-in

attribute support or create new attributes to meet the needs of applications. ¡

Shibboleth ¡in ¡Ac3on ¡

 A Student-Oriented Information Service.

 Shibboleth system used to access Pennsylvania State

University’s students to the Napster music service.

 An Academic Information Provider

 JSTOR applies Shibboleth and SAML technology to solve

problems with proxy-style search access to repositories.

 A Research Collaboration

 Grid technology (http://www.ggf.org/) is an important

platform for scientific computing.

 Grid security researchers and Shibboleth Project members

are working together on integrating the two infrastructures.

Thank ¡you ¡ ¡