Martin Käser. Single Sign-on mit OpenSAML

Transcription

1 Martin Käser Single Sign-on mit OpenSAML

2 SAML Überblick l SAML = Security Assertion Markup Language v1.1 OASIS Standard 2003 v2.0 OASIS Standard 2005 l Rollen: User agent (Principal) Identity Provider () Service Provider () l Single Sign-on (SSO) 2 Single Sign-on mit OpenSAML

3 SAML Assertions l Assertions authentication statement attribute statement auth. decision statement l Übermittlung von Assertions ( zu ) by value by reference l Assertion artifact (42 bytes, Base64) 3 Single Sign-on mit OpenSAML

4 SAML Assertion Beispiel <saml1:assertion AssertionID="a5870b1a-9d f824b" IssueInstant=" T09:40:00.000Z" Issuer="dev.dsw" MajorVersion="1" MinorVersion="1" xmlns:saml1="urn:oasis:names:tc:saml:1.0:assertion"> <saml1:conditions NotBefore=" T09:39:00.000Z" NotOnOrAfter=" T09:55:00.000Z"/> <saml1:authenticationstatement AuthenticationInstant=" T09:40:00.000Z" AuthenticationMethod="urn:oasis:names:tc:SAML:1.0:am:password"> <saml1:subject> <saml1:nameidentifier>user13</saml1:nameidentifier> </saml1:subject> </saml1:authenticationstatement> </saml1:assertion> 4 Single Sign-on mit OpenSAML

5 Single Sign-on (SSO): Variante Browser/POST 1. Startseite Webseite Startseite Verwaltung Fuhrpark Abruf Faktura Link auf einen externen Serviceprovider: Resource ( 5 Single Sign-on mit OpenSAML

6 Single Sign-on (SSO): Variante Browser/POST 2. Inter-site Tranfer über GET target= 6 Single Sign-on mit OpenSAML

7 Single Sign-on (SSO): Variante Browser/POST 3. User-Authentifizierung durch Identity Provider Please login: User Password OK 7 Single Sign-on mit OpenSAML

8 Single Sign-on (SSO): Variante Browser/POST 4. HTML-Form mit Assertion vom HTML-Form ACTION: TARGET: SAMLResponse: agvsbg8gd29ybgqgdgh pcybpcybhignvbxbszxrligfydglmywn0 8 Single Sign-on mit OpenSAML

9 Single Sign-on (SSO): Variante Browser/POST 5. Aufruf des Assertion-Service beim POST TARGET: SAMLResponse: agvsbg8gd29ybgqgdgh pcybpcybhignvbxbszxrligfydglmywn0 9 Single Sign-on mit OpenSAML

10 Single Sign-on (SSO): Variante Browser/POST 6. Assertion-Prüfung beim 10 Single Sign-on mit OpenSAML

11 Single Sign-on (SSO): Variante Browser/POST l : Aufruf Inter-site Transfer beim GET l : Authentifizierung l : Form mit Target und Assertion l : Aufruf Assertion-Service beim POST l TARGET: l SAMLResponse: agvsbg8gd29ybgq l : Prüfung der Assertion und Redirect GET 11 Single Sign-on mit OpenSAML

12 Single Sign-on (SSO): Variante Browser/Artifact 1. Startseite Webseite Startseite Verwaltung Fuhrpark Abruf Faktura Link auf einen externen Serviceprovider: Resource ( 12 Single Sign-on mit OpenSAML

13 Single Sign-on (SSO): Variante Browser/Artifact 2. Inter-site Tranfer über GET target= 13 Single Sign-on mit OpenSAML

14 Single Sign-on (SSO): Variante Browser/Artifact 3. User-Authentifizierung durch Identity Provider Please login: User Password OK 14 Single Sign-on mit OpenSAML

15 Single Sign-on (SSO): Variante Browser/Artifact 4. Redirect auf den Artifact-Service beim Redirect auf target= SAMLart=YXJ0aWZhY3Q= 15 Single Sign-on mit OpenSAML

16 Single Sign-on (SSO): Variante Browser/Artifact 5. Aufruf Artifact-Service beim GET target= SAMLart=YXJ0aWZhY3Q= 16 Single Sign-on mit OpenSAML

17 Single Sign-on (SSO): Variante Browser/Artifact 6. SAML-Request SAML-Request <SOAP-ENV:Envelope> <samlp:request> <samlp:assertionartifact> YXJ0aWZhY3Q= </samlp:assertionartifact> </samlp:request> </SOAP-ENV:Envelope> 17 Single Sign-on mit OpenSAML

18 Single Sign-on (SSO): Variante Browser/Artifact 7. SAML-Response SAML-Response <SOAP-ENV:Envelope> <samlp:response> <samlp:assertion> <saml:conditions NotAfter=. /> <saml:authenticationstatement> > </saml:authenticationstatement> </samlp:assertion> </samlp:response> </SOAP-ENV:Envelope> 18 Single Sign-on mit OpenSAML

19 Single Sign-on (SSO): Variante Browser/Artifact 8. Assertion-Prüfung beim 19 Single Sign-on mit OpenSAML

20 Single Sign-on (SSO): Variante Browser/Artifact l : Aufruf Inter-site Transfer beim GET l : Authentifizierung l : Redirect auf mit SAMLart l : Aufruf Artifact-Service beim l SAMLart=YXJ0aWZhY3Q= l : Request an wegen Artifact (SOAP) l : Response an mit Assertion (SOAP) l : Prüfung der Assertion und Redirect GET 20 Single Sign-on mit OpenSAML

21 Single Sign-on (SSO): Variante DSW l DSW =, SAP-Fremdanmietungsportal = l DSW: Neues Artifact und Verknüpfung mit User l DSW: Link auf mit SAMLart l : Aufruf Artifact-Service beim SAMLart= AAHURRhN5xFVXq9nPjXz/Pqc9YLGoBT & TARGET= l : Request an DSW wegen Artifact l DSW: Response an mit Assertion l : Prüfung der Assertion und Redirect 21 Single Sign-on mit OpenSAML

22 OpenSAML l OpenSAML2 l Apache License, Version 2.0 l Java und C++ l SAML Schema: Unmarshalling / Marshalling l SAML Request / Response l Decoder / Encoder für Profiles l Artifact-Erzeugung l Security: Encryption, Signature 22 Single Sign-on mit OpenSAML

23 OpenSAML Beispiel-Servlet public class MySamlServlet extends HttpServlet { protected void service( HttpServletRequest servletrequest, HttpServletResponse servletresponse ) { BasicSAMLMessageContext context = new BasicSAMLMessageContext(); context.setinboundmessagetransport( new HttpServletRequestAdapter(servletRequest)); context.setoutboundmessagetransport( new HttpServletResponseAdapter(servletResponse, false)); } } new HTTPSOAP11Decoder().decode(context); Request request = (Request) messagecontext.getinboundsamlmessage(); Response response = processmyrequest(request); messagecontext.setoutboundsamlmessage(response); new HTTPSOAP11Encoder().encode(messageContext); 23 Single Sign-on mit OpenSAML

24 A. Verweise Weiterführende Links & Verweise l SAML l SAML l Technical Overview of the OASIS Security Assertion Markup Language l OpenSAML l OpenID exxcellent solutions gmbh Beim Alten Fritz 2 D Ulm Telefon: +49 (0) Telefax: +49 (0) Web: 24 Single Sign-on mit OpenSAML