• Home

  • Documents

  • Enterprise Web-SSO mit CAS und OpenSSOalt.java-forum-stuttgart.de/jfs/2009/folien/F2.pdf ·...
23
Enterprise Web-SSO mit CAS und OpenSSO

Enterprise Web-SSO mit CAS und OpenSSOalt.java-forum-stuttgart.de/jfs/2009/folien/F2.pdf · Configuration Data Store Policy Store Authentication / Authorization Request Access Management-

  • Upload
    others

  • View
    19

  • Download
    0

Embed Size (px)

Citation preview

Page 1: Enterprise Web-SSO mit CAS und OpenSSOalt.java-forum-stuttgart.de/jfs/2009/folien/F2.pdf · Configuration Data Store Policy Store Authentication / Authorization Request Access Management-

Enterprise Web-SSO mit CAS und OpenSSO

Page 2: Enterprise Web-SSO mit CAS und OpenSSOalt.java-forum-stuttgart.de/jfs/2009/folien/F2.pdf · Configuration Data Store Policy Store Authentication / Authorization Request Access Management-

Agenda

Gründe für SSO

Web-SSO selbst gemacht

Enterprise Web-SSO mit CAS

Enterprise Web-SSO mit SUN OpenSSO

Federation-Management

Zusammenfassung

Page 3: Enterprise Web-SSO mit CAS und OpenSSOalt.java-forum-stuttgart.de/jfs/2009/folien/F2.pdf · Configuration Data Store Policy Store Authentication / Authorization Request Access Management-

Gründe für SSO

Page 4: Enterprise Web-SSO mit CAS und OpenSSOalt.java-forum-stuttgart.de/jfs/2009/folien/F2.pdf · Configuration Data Store Policy Store Authentication / Authorization Request Access Management-

Logins im Inter- und Intranet

Page 5: Enterprise Web-SSO mit CAS und OpenSSOalt.java-forum-stuttgart.de/jfs/2009/folien/F2.pdf · Configuration Data Store Policy Store Authentication / Authorization Request Access Management-

Web-SSO selbst gemacht

Page 6: Enterprise Web-SSO mit CAS und OpenSSOalt.java-forum-stuttgart.de/jfs/2009/folien/F2.pdf · Configuration Data Store Policy Store Authentication / Authorization Request Access Management-

Web-SSO selbst gemacht

www.mydomain.net

www.mydomain.net/login

www.mydomain.net/app

Page 7: Enterprise Web-SSO mit CAS und OpenSSOalt.java-forum-stuttgart.de/jfs/2009/folien/F2.pdf · Configuration Data Store Policy Store Authentication / Authorization Request Access Management-

Enterprise Web-SSO

Page 8: Enterprise Web-SSO mit CAS und OpenSSOalt.java-forum-stuttgart.de/jfs/2009/folien/F2.pdf · Configuration Data Store Policy Store Authentication / Authorization Request Access Management-

Zielarchitektur

AttributeProvider

PEPPDP

PAP

User Store

ConfigurationData Store

Policy StoreAuthentication /AuthorizationRequest

Access Management-Komponenten

Page 9: Enterprise Web-SSO mit CAS und OpenSSOalt.java-forum-stuttgart.de/jfs/2009/folien/F2.pdf · Configuration Data Store Policy Store Authentication / Authorization Request Access Management-

Enterprise Web-SSO mit CAS

Page 10: Enterprise Web-SSO mit CAS und OpenSSOalt.java-forum-stuttgart.de/jfs/2009/folien/F2.pdf · Configuration Data Store Policy Store Authentication / Authorization Request Access Management-

CAS

n CAS ClientsCAS Server

AuthenticationBackend

Ticket Registry

Protocol

CAS-Komponenten

Page 11: Enterprise Web-SSO mit CAS und OpenSSOalt.java-forum-stuttgart.de/jfs/2009/folien/F2.pdf · Configuration Data Store Policy Store Authentication / Authorization Request Access Management-

Enterprise Web-SSO mit CAS

1 Zugriff

5 Service Ticket und Service URL 6 NetID (oder SAML etc.)3 Redirect und Login

2 Redirect mit Service URL

4 Redirect mit Service Ticket

4 Redirect mit Service Ticket

Page 12: Enterprise Web-SSO mit CAS und OpenSSOalt.java-forum-stuttgart.de/jfs/2009/folien/F2.pdf · Configuration Data Store Policy Store Authentication / Authorization Request Access Management-

BackEnds:

Clients&Integra4on:

Protocolls:

ServerComponent:

• open-source Java server component

• Web Application that runs in Tomcat e.g.

• Standards: e.g. Spring, Maven2

• Clustering: BerkeleyDB, JBossCache, Memcache, Database

• ... to implement a SSO solution in a matter of hours

• LDAP (e.g. Microsoft Active Directory)• Databases• X.509 certificates• RADIUS• Simple API

• Java (Servlet und Spring Security)

• Net, PHP, Perl, Apache

• Ruby, Python (Zope)

• Joomla, Wordpress, Drupal, Alfresco, Twiki

• Mantis, Jira

• Liferay and others

CAS - Fähigkeiten

• CAS1 / CAS2

• SAML 1.1

• Partial SAML2 (Google Apps, e.g. Gmail)

• also RESTful API

Page 13: Enterprise Web-SSO mit CAS und OpenSSOalt.java-forum-stuttgart.de/jfs/2009/folien/F2.pdf · Configuration Data Store Policy Store Authentication / Authorization Request Access Management-

Enterprise Web-SSO mit OpenSSO

Page 14: Enterprise Web-SSO mit CAS und OpenSSOalt.java-forum-stuttgart.de/jfs/2009/folien/F2.pdf · Configuration Data Store Policy Store Authentication / Authorization Request Access Management-

OpenSSO – Übersicht

• Open Source Projekt aus dem Sun IAM-Produktportfolio• besteht aus ca. 800 Projektmitglieder• 15 externe Committer

• 100% Java• unter der CDDL lizenziert• Standard-basiert (SAML, XACML, …)• Unterstützung einer Vielzahl von Client- und Serversystemen• Integrierte Lösung für SSO, Authorization, Personalization,

Federation und Webservices-Security

Page 15: Enterprise Web-SSO mit CAS und OpenSSOalt.java-forum-stuttgart.de/jfs/2009/folien/F2.pdf · Configuration Data Store Policy Store Authentication / Authorization Request Access Management-

Federa4on‐Management:Access‐Management:

OpenSSO - Fähigkeiten

WebServiceSecurity:Iden4ty‐Services:

• Definition vertrauenswürdiger Beziehungen• Identity Provider + Service Provider =

Circle of Trust• Federating identities• Fedlets (HTTP Post Profile)

• Federation SSO ohne OpenSSO Enterprise

• Ticket-granting Cookie• Authentication-Chaining

• LDAP/AD, Certificate, SecureI, Unix, Windows NT, JDBC, WindowsDesktopSSO (Kerberos)

• Authorization• Policy-Agents

• Web, J2EE, WSP, WSC,STS Client

• Authentication• Authorization• Attributes & Audit Log

• Message Level Security• WS-*• XML-Encryption und –Signature• beinhaltet JSR196 Provider

Transparentes Access-

Management

Page 16: Enterprise Web-SSO mit CAS und OpenSSOalt.java-forum-stuttgart.de/jfs/2009/folien/F2.pdf · Configuration Data Store Policy Store Authentication / Authorization Request Access Management-

OpenSSO – Entwicklungen

• Implementierung eigener:● Authentication Module

» com.sun.identity.authentication.spi.AMLoginModule

● Policy Evaluation Module» com.sun.identity.policy.PolicyManager

● Authorization Module» com.sun.identity.policy.interfaces.Subject» com.sun.identity.policy.interfaces.Condition» com.sun.identity.policy.interfaces.Referral» com.sun.identity.policy.interfaces.ResponseProvider

● neuer Webservices● Konfigurations- und User-Datastore Module

• Anpassung des User Interface• Nutzung des Client SDK

Page 17: Enterprise Web-SSO mit CAS und OpenSSOalt.java-forum-stuttgart.de/jfs/2009/folien/F2.pdf · Configuration Data Store Policy Store Authentication / Authorization Request Access Management-

Verwendung Policy Agent (OpenSSO)

PolicyAgent

OpenSSOCore

OpenDS

OpenDS

OpenDSAuthentication /AuthorizationRequest

Access Management-Komponenten

ControlPolicy

ControlCredentials

Request

Page 18: Enterprise Web-SSO mit CAS und OpenSSOalt.java-forum-stuttgart.de/jfs/2009/folien/F2.pdf · Configuration Data Store Policy Store Authentication / Authorization Request Access Management-

Federation Management

Page 19: Enterprise Web-SSO mit CAS und OpenSSOalt.java-forum-stuttgart.de/jfs/2009/folien/F2.pdf · Configuration Data Store Policy Store Authentication / Authorization Request Access Management-

Rollen bei Federation

Service Provider

Attribute Authority

Claim Transfomers

Identity Provider Erstellt und verwaltet digitale Identitäten

Stellt Services (z.B. Applikationen) für Subjects zur Verfügung und benötigt dazu Identitäten bzw. deren Attribute

Kontrolliert Benutzerinformationen (z.B. zusätzliche Attribute)

Web Single Sign On

Subjects Haben digitale Identitäten (z.B. Benutzer, Organisationen)

Übersetzen Informationen über Identitäten von einem Format in ein anderes (z.B. technisch X.500, Kerberos oder fachlich)

Page 20: Enterprise Web-SSO mit CAS und OpenSSOalt.java-forum-stuttgart.de/jfs/2009/folien/F2.pdf · Configuration Data Store Policy Store Authentication / Authorization Request Access Management-

Rollen bei Federation (simplified)

1 Zugriff

2 fragt nach Identität

3 Ticket und Adresse der AA

4 Fragt nach Informationen

(5 Bestätigung durch Nutzer)

(6 Nutzer bestätigt)

7 Daten werden übermittelt

Subject Service Provider Identity Provider

Attribute Authority

Page 21: Enterprise Web-SSO mit CAS und OpenSSOalt.java-forum-stuttgart.de/jfs/2009/folien/F2.pdf · Configuration Data Store Policy Store Authentication / Authorization Request Access Management-

Zusammenfassung

Page 22: Enterprise Web-SSO mit CAS und OpenSSOalt.java-forum-stuttgart.de/jfs/2009/folien/F2.pdf · Configuration Data Store Policy Store Authentication / Authorization Request Access Management-

Besonderheiten CAS und OpenSSO

Beide

Cross-Technology kostenfrei OpenSource

CAS OpenSSO

• Leichtgewichtig• Spring-Integration

• Leicht handhabbar• SUN Produktintegration

Page 23: Enterprise Web-SSO mit CAS und OpenSSOalt.java-forum-stuttgart.de/jfs/2009/folien/F2.pdf · Configuration Data Store Policy Store Authentication / Authorization Request Access Management-

…vielen Dank für Ihre Aufmerksamkeit!

[email protected]

[email protected]

mailto:[email protected]
mailto:[email protected]
mailto:[email protected]
mailto:[email protected]

alt.java-forum-stuttgart.dealt.java-forum-stuttgart.de/jfs/2012/folien/B7.pdf · Vagrant Need to deal with databases . Continuous Delivery mitJava adessoJ business. people, technology

alt.java-forum-stuttgart.dealt.java-forum-stuttgart.de/jfs/2012/folien/B7.pdf · Vagrant Need to deal with databases . Continuous Delivery mitJava adessoJ business. people, technology

Documents
Der EJB 2.0 Server BEA WebLogic Serveralt.java-forum-stuttgart.de/jfs/2001/folien/A2.pdfThomas Walter Manager Enterprise Java Group (Central / Eastern Europe) Phone: +49-7051-77355

Der EJB 2.0 Server BEA WebLogic Serveralt.java-forum-stuttgart.de/jfs/2001/folien/A2.pdfThomas Walter Manager Enterprise Java Group (Central / Eastern Europe) Phone: +49-7051-77355

Documents
Security Technologien in Java EE 6alt.java-forum-stuttgart.de/jfs/2010/folien/B7.pdf · 7/2/2010  · Java EE 6 Technologies Einleitung Web Application Technologies • Servlet 3.0

Security Technologien in Java EE 6alt.java-forum-stuttgart.de/jfs/2010/folien/B7.pdf · 7/2/2010  · Java EE 6 Technologies Einleitung Web Application Technologies • Servlet 3.0

Documents
Sun Java Composite Application Platform Suitealt.java-forum-stuttgart.de/jfs/2007/folien/A5.pdf · Sun Java Composite Application Platform Suite Java Forum Stuttgart, 4. Juli 2007

Sun Java Composite Application Platform Suitealt.java-forum-stuttgart.de/jfs/2007/folien/A5.pdf · Sun Java Composite Application Platform Suite Java Forum Stuttgart, 4. Juli 2007

Documents
Best Practices and Patterns for Business Process Integrationalt.java-forum-stuttgart.de/jfs/2009/folien/E3.pdf · About me Eduard Hildebrandt IT Consultant SOA IOOiCQ MOA +49 (0711)

Best Practices and Patterns for Business Process Integrationalt.java-forum-stuttgart.de/jfs/2009/folien/E3.pdf · About me Eduard Hildebrandt IT Consultant SOA IOOiCQ MOA +49 (0711)

Documents
Java GUI – Quo vadis? - alt.java-forum-stuttgart.dealt.java-forum-stuttgart.de/jfs/2012/folien/E2.pdf · Java Android UI Entwicklung • Restriktionen, „Pain Points“ – Android

Java GUI – Quo vadis? - alt.java-forum-stuttgart.dealt.java-forum-stuttgart.de/jfs/2012/folien/E2.pdf · Java Android UI Entwicklung • Restriktionen, „Pain Points“ – Android

Documents
Leistungssport - Java Forum Stuttgartalt.java-forum-stuttgart.de/jfs/2009/folien/A7.pdf · 2009-06-25 · von Java Software Weiterbildungsberatung, Train & Solve-Programme • Methoden,

Leistungssport - Java Forum Stuttgartalt.java-forum-stuttgart.de/jfs/2009/folien/A7.pdf · 2009-06-25 · von Java Software Weiterbildungsberatung, Train & Solve-Programme • Methoden,

Documents
dm Server: Der Open-Source- OSGi-Application-Serveralt.java-forum-stuttgart.de/jfs/2009/folien/D2.pdf · formats and therefore migration – Java EE WAR → Shared Libraries WAR →

dm Server: Der Open-Source- OSGi-Application-Serveralt.java-forum-stuttgart.de/jfs/2009/folien/D2.pdf · formats and therefore migration – Java EE WAR → Shared Libraries WAR →

Documents
Sen. Leitender Systemberater Oracle Fusion Middlewarealt.java-forum-stuttgart.de/jfs//2010/folien/B4.pdfArchitektur Integration Pattern (Read -Through, Write -Through, Write - 2 Behind)

Sen. Leitender Systemberater Oracle Fusion Middlewarealt.java-forum-stuttgart.de/jfs//2010/folien/B4.pdfArchitektur Integration Pattern (Read -Through, Write -Through, Write - 2 Behind)

Documents
Bernd Trops - Java Forum Stuttgartalt.java-forum-stuttgart.de/jfs/2004/folien/E5_Oracle.pdf · JSR 227: Bindings & Data Controls €€ 55000088,,0000 salary employeesIter UI Control

Bernd Trops - Java Forum Stuttgartalt.java-forum-stuttgart.de/jfs/2004/folien/E5_Oracle.pdf · JSR 227: Bindings & Data Controls €€ 55000088,,0000 salary employeesIter UI Control

Documents
hpauli@de.ibmalt.java-forum-stuttgart.de/jfs/2000/folien/D7_Pauli_ibm.pdf · Object Transaction Monitor (OTM) Synchron, strongly coupled Transaction Processing Objektorientiert (verbindet

[email protected]/jfs/2000/folien/D7_Pauli_ibm.pdf · Object Transaction Monitor (OTM) Synchron, strongly coupled Transaction Processing Objektorientiert (verbindet

Documents
JavaFX 2.X - Swing++ die zweite Runde - Java Forum Stuttgartalt.java-forum-stuttgart.de/Jfs/2012/Folien/E4.pdfJavaFX 2.X - Swing++ die zweite Runde Java-Forum Stuttgart Thomas Bolz,

JavaFX 2.X - Swing++ die zweite Runde - Java Forum Stuttgartalt.java-forum-stuttgart.de/Jfs/2012/Folien/E4.pdfJavaFX 2.X - Swing++ die zweite Runde Java-Forum Stuttgart Thomas Bolz,

Documents
JUnit 4 – Ein neuer Meilenstein?alt.java-forum-stuttgart.de/jfs/2006/folien/D5_Hiller.pdfJun 07, 2006  · © Copyright 2006 | Jochen Hiller | Java Forum Stuttgart 2006 | JUnit 4

JUnit 4 – Ein neuer Meilenstein?alt.java-forum-stuttgart.de/jfs/2006/folien/D5_Hiller.pdfJun 07, 2006  · © Copyright 2006 | Jochen Hiller | Java Forum Stuttgart 2006 | JUnit 4

Documents
IBM Software Group Presentation Template - alt.java-forum ...alt.java-forum-stuttgart.de/jfs//2006/folien/A6_Armbruster_IBM.pdf · Enabling clients to govern the business process

IBM Software Group Presentation Template - alt.java-forum ...alt.java-forum-stuttgart.de/jfs//2006/folien/A6_Armbruster_IBM.pdf · Enabling clients to govern the business process

Documents
Kittel Folien

Kittel Folien

Documents
Markus Knauer EclipseSourcealt.java-forum-stuttgart.de/jfs//2010/folien/B3.pdfSearching the Cloud | The EclipseRT Umbrella! | © 2010 Markus Knauer, EclipseSource The Goal: Cloudle

Markus Knauer EclipseSourcealt.java-forum-stuttgart.de/jfs//2010/folien/B3.pdfSearching the Cloud | The EclipseRT Umbrella! | © 2010 Markus Knauer, EclipseSource The Goal: Cloudle

Documents
Project Mustang - Neues in Java SE 6alt.java-forum-stuttgart.de/jfs/2006/folien/E7_Adelhardt_Sun.pdf · Windows system tray JVMTI: attach on demand LCD font support chmod free disk

Project Mustang - Neues in Java SE 6alt.java-forum-stuttgart.de/jfs/2006/folien/E7_Adelhardt_Sun.pdf · Windows system tray JVMTI: attach on demand LCD font support chmod free disk

Documents
Java auf dem Mainframe mit IBM WebSphere Application ...alt.java-forum-stuttgart.de/jfs/2001/folien/D6.pdf · HPUX, Linux (INTEL & S/390) HTML Java applet browser Java application

Java auf dem Mainframe mit IBM WebSphere Application ...alt.java-forum-stuttgart.de/jfs/2001/folien/D6.pdf · HPUX, Linux (INTEL & S/390) HTML Java applet browser Java application

Documents
Die JavaScript (R)Evolutionalt.java-forum-stuttgart.de/jfs/2009/folien/C7.pdf · • Flash, Flex • Silverlight • JavaFX. Newsflash von gestern... Quelle: cnet uk, 1. Juli 2009

Die JavaScript (R)Evolutionalt.java-forum-stuttgart.de/jfs/2009/folien/C7.pdf · • Flash, Flex • Silverlight • JavaFX. Newsflash von gestern... Quelle: cnet uk, 1. Juli 2009

Documents
Integration Mule ESB - alt.java-forum-stuttgart.dealt.java-forum-stuttgart.de/jfs/2012/folien/F3.pdf · 06/11/2012 · Spoilt for Choice – Which Integration Framework to choose?

Integration Mule ESB - alt.java-forum-stuttgart.dealt.java-forum-stuttgart.de/jfs/2012/folien/F3.pdf · 06/11/2012 · Spoilt for Choice – Which Integration Framework to choose?

Documents
344nderung der Java Plattform ver1.1.pptx)alt.java-forum-stuttgart.de/jfs/2012/folien/B2.pdf · JavaFX 3.0 •Next generation Java Client JavaScript •Next-gen JavaScript-on-JVM

344nderung der Java Plattform ver1.1.pptx)alt.java-forum-stuttgart.de/jfs/2012/folien/B2.pdf · JavaFX 3.0 •Next generation Java Client JavaScript •Next-gen JavaScript-on-JVM

Documents
JUGS 2004 Service-orientierte Architektur für einen ...alt.java-forum-stuttgart.de/jfs/2004/folien/C2_Seibold_Weckenmann.pdf · + Adapter : Normierung von ... JMS Adapter JMX Adapter

JUGS 2004 Service-orientierte Architektur für einen ...alt.java-forum-stuttgart.de/jfs/2004/folien/C2_Seibold_Weckenmann.pdf · + Adapter : Normierung von ... JMS Adapter JMX Adapter

Documents
Development of JavaTM Applications for - Java Forum Stuttgartalt.java-forum-stuttgart.de/jfs/2000/folien/D3_Eisma_oti.pdf · 2000-06-28  · n JavaCard n Jini. June 28, 2000 Aldo

Development of JavaTM Applications for - Java Forum Stuttgartalt.java-forum-stuttgart.de/jfs/2000/folien/D3_Eisma_oti.pdf · 2000-06-28  · n JavaCard n Jini. June 28, 2000 Aldo

Documents
The Eclipse 4.x Rendering Concept: Separation of ...alt.java-forum-stuttgart.de/jfs/2012/folien/D5.pdf · 21.06.2012 · 6/21/2012 1 The Eclipse 4.x Rendering Concept: Separation

The Eclipse 4.x Rendering Concept: Separation of ...alt.java-forum-stuttgart.de/jfs/2012/folien/D5.pdf · 21.06.2012 · 6/21/2012 1 The Eclipse 4.x Rendering Concept: Separation

Documents
Eclipse 4 for Eclipse developers - Java Forum Stuttgartalt.java-forum-stuttgart.de/jfs/2012/folien/D4.pdfEclipse 4.x Status •No API Freeze •Smaller platform → not everything

Eclipse 4 for Eclipse developers - Java Forum Stuttgartalt.java-forum-stuttgart.de/jfs/2012/folien/D4.pdfEclipse 4.x Status •No API Freeze •Smaller platform → not everything

Documents
Perfecting the Image: Improving JSF for Rich Internet ...alt.java-forum-stuttgart.de/jfs/2008/folien/D4.pdf3 Key Terms • UI Component • JSF is component based • Managed Bean

Perfecting the Image: Improving JSF for Rich Internet ...alt.java-forum-stuttgart.de/jfs/2008/folien/D4.pdf3 Key Terms • UI Component • JSF is component based • Managed Bean

Documents
Apache Beehive, Simplizität für J2EE und SOAalt.java-forum-stuttgart.de/jfs/2005/folien/B2_BEA.pdf · Strongly typed Java compiles all methods and fields. But in XML, wildcards

Apache Beehive, Simplizität für J2EE und SOAalt.java-forum-stuttgart.de/jfs/2005/folien/B2_BEA.pdf · Strongly typed Java compiles all methods and fields. But in XML, wildcards

Documents
Advanced Eclipse BIRT Report Customizationalt.java-forum-stuttgart.de/jfs/2008/folien/E1.pdf · 7/3/2008 · • Template is a Report Design in any stage of completion • Use Templates

Advanced Eclipse BIRT Report Customizationalt.java-forum-stuttgart.de/jfs/2008/folien/E1.pdf · 7/3/2008 · • Template is a Report Design in any stage of completion • Use Templates

Documents
IBM Software Groupalt.java-forum-stuttgart.de/jfs//2006/folien/A2_Keppeler_IBM.pdfDescribes data expected to be sent and received Describes what the Service can do Describes how to

IBM Software Groupalt.java-forum-stuttgart.de/jfs//2006/folien/A2_Keppeler_IBM.pdfDescribes data expected to be sent and received Describes what the Service can do Describes how to

Documents
Java – Quo Vadisalt.java-forum-stuttgart.de/jfs//2003/folien/C7_Eisoldt_Sun.pdf · More J2ME Devices C452CA Cassiopei a A3012CA iPaq F503is F503i F504i C3001HC451H SH-P300 C3002KQCP

Java – Quo Vadisalt.java-forum-stuttgart.de/jfs//2003/folien/C7_Eisoldt_Sun.pdf · More J2ME Devices C452CA Cassiopei a A3012CA iPaq F503is F503i F504i C3001HC451H SH-P300 C3002KQCP

Documents