ULAKAAI Kimlik Federasyonu
description
Transcript of ULAKAAI Kimlik Federasyonu
![Page 1: ULAKAAI Kimlik Federasyonu](https://reader030.fdocuments.net/reader030/viewer/2022012903/56815d20550346895dcb1c46/html5/thumbnails/1.jpg)
Serdar Yiğit ULAKNETÇE 2011
ULAKAAI Kimlik Federasyonu
![Page 2: ULAKAAI Kimlik Federasyonu](https://reader030.fdocuments.net/reader030/viewer/2022012903/56815d20550346895dcb1c46/html5/thumbnails/2.jpg)
Başlıklar
• Motivasyon• Kimlik Doğrulama ve Yetkilendirme• KDY Mekanizmaları– Dağıtık– Tek Oturum Açma ( SSO )
• Kimlik Federasyonu Kavramı• ULAKAAI Kimlik Federasyonu– ULAKAAI Bileşenleri
• REFEDs– SWITCHaai, UKFederation
• eduGAIN
![Page 3: ULAKAAI Kimlik Federasyonu](https://reader030.fdocuments.net/reader030/viewer/2022012903/56815d20550346895dcb1c46/html5/thumbnails/3.jpg)
Motivasyon
• Gün geçtikçe ULAKNET içindeki çoklu etki alanları arasında çalışan servisler artıyor, artacak.– Kütüphane Servisleri– Uzaktan Eğitim Servisleri– ULAKNET Servisleri– ….. Servisler
• “ULAKNET içerisindeki farklı etki alanları arasında kimlik doğrulama ve yetkilendirme” nasıl gerçekleştirilmeli”
Şu anki işleyiş ve özel çözümler Tek oturum açma yöntemi ( SSO ) Federasyon Kavramı
![Page 4: ULAKAAI Kimlik Federasyonu](https://reader030.fdocuments.net/reader030/viewer/2022012903/56815d20550346895dcb1c46/html5/thumbnails/4.jpg)
Kimlik Doğrulama ve Yetkilendirme• Kimlik Doğrulama– Kullanıcı adı + parola + diğer bilgilerin doğruluğu
/etc/passwd rfid kerberos PKI Biometrics One-Time Pass
• Yetkilendirme– Servise erişim yetkisi kontrolü
LDAP Radius vb.
![Page 5: ULAKAAI Kimlik Federasyonu](https://reader030.fdocuments.net/reader030/viewer/2022012903/56815d20550346895dcb1c46/html5/thumbnails/5.jpg)
Kimlik Doğrulama ve Yetkilendirme Mekanizmaları ( Dağıtık )
![Page 6: ULAKAAI Kimlik Federasyonu](https://reader030.fdocuments.net/reader030/viewer/2022012903/56815d20550346895dcb1c46/html5/thumbnails/6.jpg)
Kimlik Doğrulama ve Yetkilendirme Mekanizmaları (Dağıtık)
• Dezavantajları– Kullanıcı açısından parola yönetimi– Yönetim ve bakım için harcanan işgücü
• Avantajları– “Uygulaması kolay”?
![Page 7: ULAKAAI Kimlik Federasyonu](https://reader030.fdocuments.net/reader030/viewer/2022012903/56815d20550346895dcb1c46/html5/thumbnails/7.jpg)
Kimlik Doğrulama ve Yetkilendirme MekanizmalarıTek Oturum Açma ( Single Sign-On)
Kerberos Shibboleth SimpleSAMLphp JBOSS SSO Google Apps SSO Athens Service OpenID
![Page 8: ULAKAAI Kimlik Federasyonu](https://reader030.fdocuments.net/reader030/viewer/2022012903/56815d20550346895dcb1c46/html5/thumbnails/8.jpg)
Kimlik Doğrulama ve Yetkilendirme MekanizmalarıTek Oturum Açma ( Single Sign-On)
• Avantajları– Kullanıcı bilgileri kurum içinde ( Kısmen )– Kullanıcılar açısından parola yönetimi kolay– Sistemci açısından kimlik yönetimi kolay– İşgücü ve maliyet düşük
• Dezavantajları– Tek bir TOA (SSO) sunucusu kullanmak– “Uygulamadaki zorluklar”?!
![Page 9: ULAKAAI Kimlik Federasyonu](https://reader030.fdocuments.net/reader030/viewer/2022012903/56815d20550346895dcb1c46/html5/thumbnails/9.jpg)
ULAKNET - Tek Oturum Açma
![Page 10: ULAKAAI Kimlik Federasyonu](https://reader030.fdocuments.net/reader030/viewer/2022012903/56815d20550346895dcb1c46/html5/thumbnails/10.jpg)
Kimlik Doğrulama ve Yetkilendirme MekanizmalarıTek Oturum Açma ( Single Sign-On)
• “TOA (SSO) - Çoklu etki alanları arasında çalışmak için yeterli mi?!”
![Page 11: ULAKAAI Kimlik Federasyonu](https://reader030.fdocuments.net/reader030/viewer/2022012903/56815d20550346895dcb1c46/html5/thumbnails/11.jpg)
Kimlik Federasyonu Kavramı• Kimlik Federasyonu ;– Belirli bir kural seti,– Teknik Standartlar,
altında tüm kimlik doğrulama ve yetkilendirme sistemlerinin birlikte çalışabilmesini amaçlar.
Böylece ; • Farklı altyapıların birlikte çalışabilmesi,• Altyapılar arası güvenin sağlanması,• Etki alanlarındaki servislerin ağ dışına da açılması,
gibi isteklere çözüm getirir.
![Page 12: ULAKAAI Kimlik Federasyonu](https://reader030.fdocuments.net/reader030/viewer/2022012903/56815d20550346895dcb1c46/html5/thumbnails/12.jpg)
ULAKAAI Kimlik Federasyonu ( Pilot )
ULAKAAI– ULAKNET içerisindeki kdy sistemlerinin birleşmesini,– Elektronik kaynakların ve servislerin tüm etki alanıyla
paylaşılabilmesini,
sağlamak amacıyla kurulmuş kimlik federasyonudur.
![Page 13: ULAKAAI Kimlik Federasyonu](https://reader030.fdocuments.net/reader030/viewer/2022012903/56815d20550346895dcb1c46/html5/thumbnails/13.jpg)
ULAKAAI Kimlik Federasyonu
![Page 14: ULAKAAI Kimlik Federasyonu](https://reader030.fdocuments.net/reader030/viewer/2022012903/56815d20550346895dcb1c46/html5/thumbnails/14.jpg)
ULAKAAI Bileşenleri
• Teknik Bileşenler– Kimlik Sağlayıcılar• Kimlik Doğrulama ( authentication )• Kullanıcı Nitelikleri ( user attributes )
– Servis Sağlayıcılar• Yetkilendirme ( authorization )• Nitelik Filtreleme ( attribute filtering )
– Federasyon Bağlantı Noktası• Karşılama Servisi ( Discovery Service )• Metadata Deposu
– Federasyon KS ve SS Bilgileri
![Page 15: ULAKAAI Kimlik Federasyonu](https://reader030.fdocuments.net/reader030/viewer/2022012903/56815d20550346895dcb1c46/html5/thumbnails/15.jpg)
ULAKAAI Bileşenleri
![Page 16: ULAKAAI Kimlik Federasyonu](https://reader030.fdocuments.net/reader030/viewer/2022012903/56815d20550346895dcb1c46/html5/thumbnails/16.jpg)
ULAKAAI Bileşenleri
• İdari – ULAKAAI Yönetim Grubu• Federasyona katılım ( idari işler )• Diğer federasyonlarla ilişkiler
– ULAKAAI İşletim Grubu• Federasyona katılım ( teknik işler )
* Federasyon Politikası *• Kural Seti ( Sözleşme )
• Kurum ile Federasyon Merkezi arasında imzalanır.
![Page 17: ULAKAAI Kimlik Federasyonu](https://reader030.fdocuments.net/reader030/viewer/2022012903/56815d20550346895dcb1c46/html5/thumbnails/17.jpg)
ULAKAAI Bileşenleri
![Page 18: ULAKAAI Kimlik Federasyonu](https://reader030.fdocuments.net/reader030/viewer/2022012903/56815d20550346895dcb1c46/html5/thumbnails/18.jpg)
Federasyonsuz KDY
1) Erişebilir miyim?2) Yetkin Var mı????
3) Kullanıcı adı ve Parola Versem?Servis SağlayıcıKimlik Sağlayıcı
• Kullanıcı kimlik ve nitelik bilgileri herkesçe biliniyor• Servis Sağlayıcı gereğinden fazla ve ihtiyacından daha az veriye sahip• Kurumların değerli bilgileri, servislere dağıtılıyor
![Page 19: ULAKAAI Kimlik Federasyonu](https://reader030.fdocuments.net/reader030/viewer/2022012903/56815d20550346895dcb1c46/html5/thumbnails/19.jpg)
Federasyonlu
1) Erişebilir miyim?2) Yetkin Var mı?
Servis SağlayıcıKimlik Sağlayıcı
3) Yetkim Var mı?
4) Kimlik Bilgileri ve Yetkileri
• Kullanıcı kimlik bilgileri kurum içerisinde kalıyor• Servis Sağlayıcı sadece ihtiyacın olanı biliyor• Dağıtılılan nitelikler azalıyor ve daha kontrollü gerçekleşiyor
![Page 20: ULAKAAI Kimlik Federasyonu](https://reader030.fdocuments.net/reader030/viewer/2022012903/56815d20550346895dcb1c46/html5/thumbnails/20.jpg)
ULAKAAI
• Federasyon Uygulamaları– SimpleSAMLphp– Shibboleth – Federasyonlar tarafından geliştirilen diğer uygulamalar
• SAML Protokolü– Etki alanları arasında ( KS <-> SS ) kimlik doğrulama ve
yetkilendirme verilerinin değişimi için kullanılan XML tabanlı açık standarttır.
– OASIS tarafından geliştirilmiş– Avustralya,Danimarka,Finlandiya,Fransa,Norveç,İsviçre,İs
veç,Amerika SAML tabanlı federasyonlar
![Page 21: ULAKAAI Kimlik Federasyonu](https://reader030.fdocuments.net/reader030/viewer/2022012903/56815d20550346895dcb1c46/html5/thumbnails/21.jpg)
ULAKAAI Pilot
• Federasyon Uygulamaları– SimpleSAMLphp• LDAP, sql, radius vb. modulleri var,• Kurulumu ve bakımı kolay,
– Türkçe kurulum dökümanı hazırlandı.• Web geliştirici ekibimiz konuya hakim• Free Software
– Shibboleth • SAML destekliyor,• Türkçe doküman yok, uygulayan yazarsa seviniriz ;)
![Page 22: ULAKAAI Kimlik Federasyonu](https://reader030.fdocuments.net/reader030/viewer/2022012903/56815d20550346895dcb1c46/html5/thumbnails/22.jpg)
REFEDSResearch and Education Federations
ULAKAAI Pilot
![Page 23: ULAKAAI Kimlik Federasyonu](https://reader030.fdocuments.net/reader030/viewer/2022012903/56815d20550346895dcb1c46/html5/thumbnails/23.jpg)
![Page 24: ULAKAAI Kimlik Federasyonu](https://reader030.fdocuments.net/reader030/viewer/2022012903/56815d20550346895dcb1c46/html5/thumbnails/24.jpg)
Dünyadaki Kimlik Federasyonlarıİstatistikler• Dünya Genelinde 30 Federasyon bulunuyor. ( Akademik )• SWITCHaai ( İsviçre Akademik Ağı Genelinde )• Ağustos 2005 ‘ ten bu yana çalışır halde,• 300'000 akademik personel (İsviçre Akademik Ağının %96 ‘ sı)• 44 Kimlik Sağlayıcı (IDP), 475 Servis Sağlayıcı (SP)• Son 12 ayda 10 Milyon oturum açılmış
• UKFederation ( İngiltere Genelinde )• 30 Ekim 2006 ‘ dan bu yana çalışır halde• Üye Kurum Sayısı (Lise ve Üniversiteler dahil) 864• İngiltere Akademik Ağının %90 ‘ ı
![Page 25: ULAKAAI Kimlik Federasyonu](https://reader030.fdocuments.net/reader030/viewer/2022012903/56815d20550346895dcb1c46/html5/thumbnails/25.jpg)
eduGAIN• eduGAIN• Federasyonların Federasyonu
• eduroam mimarisi gibi, federatif bir yapı, Network tabanlı SSO : eduroam Web/Servis tabanlı SSO : eduGAIN
![Page 26: ULAKAAI Kimlik Federasyonu](https://reader030.fdocuments.net/reader030/viewer/2022012903/56815d20550346895dcb1c46/html5/thumbnails/26.jpg)
eduGAIN
• eduGAIN ‘ e Katılım• Kural Seti• Teknik Standartlar
• ULAKAAI katılıyor, üniversiteler ULAKAAI üzerinden dahil oluyor.
• Avrupa ‘ daki servislerden ULAKNET kullanıcıları da yararlanabiliyor
![Page 27: ULAKAAI Kimlik Federasyonu](https://reader030.fdocuments.net/reader030/viewer/2022012903/56815d20550346895dcb1c46/html5/thumbnails/27.jpg)
ULAKAAI Pilot
• ULAKAAI Pilot Aşaması ilerleyen günlerde • Web sitesi http://aai.ulak.net.tr • Kurulum ve çeviri dökümanları
• [email protected] • ÇOMÜ ile testler devam ediyor. Testlere
katılmak isteyen diğer kurumlar ile bir çalışma grubu oluşturulup çalışmalara devam edilecek.
![Page 28: ULAKAAI Kimlik Federasyonu](https://reader030.fdocuments.net/reader030/viewer/2022012903/56815d20550346895dcb1c46/html5/thumbnails/28.jpg)
Sorular – Eksikler
?