Использование технологий федеративной

реклама
Использование технологий федеративной
аутентификации для решения задач интеграции
университетских ИТ-сервисов
Устинов В. А., Сорокин А.Е.
Совещание по развитию и повышению эффективности функционирования
Федеральной университетской компьютерной сети России RUNNet.
14-16 октября 2015 г
Цели и задачи
• Организовать единую точку получения доступа к
информационным сервисам вуза для
пользователей университета
• Реализовать возможность доступа к
информационным сервисам вуза сторонних
пользователей (посредством учетных записей
facebook, vk, каталогов других университетов)
• Реализовать возможность доступа пользователей
вуза к информационным сервисам сторонних
университетов
2
1 Этап (2012-2013): “Внедрение почтовой системы на базе
MS Exchange и каталога на базе MS Active Directory”
Основные результаты для Интеграции ИТ-сервисов университета
• Интегрированные сервисы проверки подлинности пользователей
• Единый механизм аутентификации и авторизации всех пользователей и приложений в
масштабах университета
• Единая база данных об оргструктуре, сотрудниках, студентах, устройствах и сервисах
Для подразделений
• Централизованное управление компьютерами, учетными записями, почтовыми ящиками и
информационными ресурсами Подразделения.
• Сокращение затрат на обслуживание компьютерного парка Подразделения.
• Доступ к общим папкам и сетевым принтерам Подразделения.
• Доступ к обновлениям ПО Microsoft и к сервисам корпоративной активации ПО.
Для пользователей корпоративной сети
• Сервис корпоративной электронной почты для сотрудников с единой адресной книгой
• Возможность подключения к сети мобильного доступа (Wi-Fi) УрФУ и Интернет
• Доступ к сервису получения лицензионного ПО Microsoft
• Доступ к компьютерам централизованных компьютерных классов УрФУ
• Файловые сервисы
3
Особенности реализации проекта
Число учетных
записей
пользователей
единого каталога
52 346
Число активных
учетных записей
25 658
Число учетных
записей
сотрудников
9 403
Число учетных
записей студентов
40 910
Число учетных
записей
компьютеров
2114
Интеграция с HR системами
университета
4
Особенности реализации проекта
Разработан Web-инструмент самообслуживания ID.URFU.RU (состоит из 2-х модулей)
5
Особенности реализации проекта
Разработан
Web-инструмент
администрирования
Не нарушает
целостность
данных в AD
(всегда есть
уникальный
идентификатор,
корректный пароль
и т.д.)
6
Интеграция информационных сервисов с единым
каталогом пользователей
1. Корпоративная почта
2. Сервис домашних папок пользователей
3. Сервис общих папок подразделений
4. Загрузка лицензионного ПО (DreamSpark)
5. Системы активации и обновления ПО (KMS, WSUS)
6. Личный кабинет сотрудников (личные страницы преподавателей)
7. Система электронного документооборота
8. Информационная система управления проектами PRO.URFU.RU
9. Портал частного облака вычислительных ресурсов VM.URFU.RU
10. Балльно-рейтинговая система
11. Wi-Fi
12. Система гостевого доступа к Wi-Fi
13. Системы электронного обучения (Гиперметод, Moodle)
14. Система управления научными исследованиями Pure (в процессе)
15. Система виртуальных рабочих столов студентов и сотрудников (VDI)
16. Система доступа к библиотечным подпискам
17. Личный кабинет студента
18. Система мониторинга ИТ-инфраструктуры
19. Система Service Desk
7
2 Этап (2014-2015) “Пилотное развертывание технологий
федеративной аутентификации”
1. Организация единой точки получения доступа к
информационным сервисам на основе технологий
единого входа (SSO) и внедрения федеративной
аутентификации.
2. Реализация приложения-инструмента “каталога
сервисов” с индикацией работоспособности сервисов и
унифицированным механизмом обмена данными между
каталогом сервисов и компонентами-сервисами.
3. Разработка регламента обмена данными между
приложением - каталогом сервисов с компонентамисервисами. Создание новых возможностей для
интеграции сервисов.
8
Федеративная аутентификация (ФА)
• Технология, которая позволяет использовать единое имя пользователя или его
мандат для доступа в сетях, которые установили между собой доверительные
отношения и входят в ассоциацию безопасности, называемую "федерацией".
• Аутентификация на основе утверждений (Claims-Based Identity) содержит
несколько компонент:
– Компонент-сервис - веб-приложение или сервис, которое использует "утверждения"
(claims), содержащие в себе идентификационную информацию
– Центр федеративной аутентификации - сервис, выпускающий электронные
идентификаторы (security tokens).
– Пользователь - лицо, решающее о том, какую информацию о себе он предоставляет
в систему.
• Механизмы аутентификации выносятся из целевого приложения и заменяются
на механизмы доверия к Центру ФА и выпускаемым им утверждениям.
• Пользователю достаточно один раз пройти процедуру аутентификации на
Центре ФА. Далее пользователь может многократно запрашивать электронные
идентификаторы с различными утверждениями для разных серверов. Центр
ФА становится единой точкой входа.
9
Преимущества технологии Федеративной аутентификации
• Унифицированный механизм централизованной авторизации для всех
сервисов;
• Упрощенный вариант интеграции с единым каталогом пользователей;
• Получение данных о пользователях унифицированным способом
• Упрощение доступа пользователей к сервису:
– Обеспечение технологии единого входа в систему (SSO) (для
компьютеров в домене и не в домене);
– Дополнительные варианты аутентификации (по смарткартам,
сертификатам, одноразовым паролям),
– Возможность смены пароля перед первым входом,
– Простой интегрированный интерфейс смены пароля и
восстановления пароля, получения и разблокировки учетной
записи.
10
Протоколы Федеративной аутентификации
•
•
•
•
•
WS-Federation и WS-Trust
SAML 2.0
OpenID
OAuth
Kerberos
11
Протоколы SAML 2.0, WS-Federation и WS-Trust
• Назначение: Enterprise SSO, Федеративная аутентификация
• Поддерживается единый вход в систему для всех приложений без
необходимости интерактивного подтверждения пользователем
• Авторизация: встроенная
• Необязательно использовать SSL для серверов федеративной
аутентификации и интегрированных сервисов
• Формат имени пользователя: любой
• Являются открытыми стандартами (почти всегда для интеграции нет
необходимости писать какой-либо код)
• Непосредственная сетевая связность между серверами
федеративной аутентификации и интегрированными сервисами
необязательна (можно размещать в разных сетевых сегментах)
• Встроенная возможность использования нескольких каталогов
пользователей и внешних провайдеров аутентификации
12
Протокол OpenID
• Назначение: Аутентификация в сети Интернет
• Как правило требуется интерактивное взаимодействие с
пользователем для аутентификации в конечном сервисе
• Авторизация: не поддерживается
• Обязательно использование SSL для серверов федеративной
аутентификации и интегрированных сервисов
• Формат имени пользователя: жестко заданный
• Каждым провайдером протокол реализуется по-своему
• Обязательна непосредственная сетевая связность между серверами
федеративной аутентификации и интегрированными сервисами
• В настоящее время в разработке находится OpenID Connect,
лишенный большинства этих недостатков
13
Протокол OAuth
• Протокол занимает промежуточное положение по возможностям
между OpenID и SAML2.0/WS-Federation
• Протокол Всеми провайдерами реализуется по-своему. Для
интеграции как правило необходима доработка приложений.
• Обязательна сетевая связность между серверами федеративной
аутентификации и интегрированными сервисами.
• В протоколе не предусмотрена возможность использования
нескольких каталогов пользователей и внешних провайдеров
аутентификации.
• Для реализации возможностей использования нескольких каталогов
или внешних провайдеров необходима разработка дополнительного
кода.
14
Основные решения Федеративной Аутентификации
• Shibboleth
• Microsoft Active Directory Federation Services
•
•
•
•
•
•
Ping-Federate от Ping Identity
IBM Tivoli
Oracle Identity Federation
Optimal IDM
Centrify
Novell Access Manager
15
Возможности Shibboleth
• Виды Аутентификации: Forms, Basic, IP Address
• Поддерживаемые протоколы: SAML 2.0, WS-Federation (Plugin), OpenID
(Plugin)
• Обеспечение высокой доступности:
– Репликация RAM сторонними методами или Active-Passive режим.
– Частичная реализация высокой доступности при помощи Load Balancer с
перенаправлением клиентов на один узел.
– При отключении одного узла, все клиенты должны будут аутентифицироваться
заново.
– Virtual Machine Failover (с потерей аутентифицированных сессий).
• Особенности Развертывания
– Не является стандартным компонентом ОС.
– Требует веб-сервер и отдельный сервер приложений (например, glassfish).
– Для поддержки Active Directory необходима дополнительная конфигурация.
• Возможность доработки: наличие плагинов, открытый исходный код
16
Возможности ADFS
• Виды Аутентификации: Forms, Certificate, Smartcard, Windows Integrated
Authentication, Windows Integrated Authentication в режиме Fallback to Forms
• Поддерживаемые протоколы: WS-Federation, SAML, oAuth
• Обеспечение высокой доступности:
– Active-Active режим в том числе между центрами обработки данных (встроенная
репликация, либо репликация SQL Server).
– Virtual Machine Failover (без потери аутентифицированных сессий).
– Состояние всех аутентифицированных сессий сохраняется при перезагрузке
сервера или при переключении клиента на резервный сервер.
– Возможно использование различных методов балансировки нагрузки.
• Особенности Развертывания
– Включен в Windows Server.
– Не требует веб-сервера и сервера приложений.
– Нативно поддерживает Active Directory и режимы высокой доступности.
– Не требует установки дополнительных компонентов.
• Возможность доработки: только javascript на клиенте
17
Пример реализации. Интерфейс входа
18
Пример реализации. Смена пароля перед входом
19
Инфраструктура Федеративной аутентификации в УрФУ
20
Схема интеграции сервисов внутри УрФУ
21
Результаты проекта
Единая точка аутентификации
• Аутентификация пользователей из единого каталога по
паролю и сертификату.
• Поддержка внешних провайдеров аутентификации (vk,
facebook).
• Для интеграции любого сервиса с Каталогами других
университетов необходимо интегрировать лишь один
сервис ADFS.
Возможности SSO
• Однократный ввод пароля для всех интегрированных вебприложений.
• Автоматический вход на компьютерах в домене без ввода
пароля (в Internet Explorer).
22
Сервисы, интегрированные с федеративной
аутентификацией
•
•
•
•
•
•
•
•
•
•
Корпоративная почтовая система (Exchange 2013)
Elsivier Pure (портал научных исследований)
Dreamspark (MSDN AA)
Moodle
Каталог ИТ-сервисов
Модуль управления профилем пользователя
Модуль получения и восстановления доступа
Личный Кабинет Сотрудника (SharePoint 2013)
Почта для студентов (Office 365)
Модуль самостоятельного создания почтовых ящиков для
сотрудника
23
Результаты проекта. Платформа интеграции
• Единая точка доступа к всем сервисам.
• Индикация статуса работы сервисов с
информацией о запланированных работах.
• Отображение дополнительных данных из
сервисов.
• Единая точка редактирования профиля.
• Упрощенная интеграция с каталогом
пользователей.
• Список сервисов в формате XML с веб-редактором
и с иконками сервисов.
24
Нормативные документы
• Положение об использовании сервисов единого каталога AT.URFU.RU в сети
Уральского федерального университета имени первого Президента России Б.Н.
Ельцина. (http://dit.urfu.ru/fileadmin/user_upload/UI/IT_materialy/Polojenie_katalog.pdf )
• Регламент администрирования единого каталога AT.URFU.RU
(http://dit.urfu.ru/fileadmin/user_upload/UI/IT_materialy/Reglament_post.pdf )
• Положение об использовании каталога сервисов GO.URFU.RU в сети Уральского
федерального университета имени первого Президента России Б.Н. Ельцина
(http://dit.urfu.ru/fileadmin/user_upload/UI/IT_materialy/Polozhenie_o_kataloge_servisov__538720_v2__
Em_1_.pdf)
• Регламент Интеграции информационных сервисов с единым каталогом
AT.URFU.RU Уральского федерального университета имени первого Президента
России Б.Н. Ельцина
(http://dit.urfu.ru/fileadmin/user_upload/UI/IT_materialy/Reglament_integracii_informacionnykh_servisov
_s_edinym_katalogom_AT.URFU.RU.pdf)
• Регламент интеграции информационных сервисов с инфраструктурой
федеративной аутентификации Уральского федерального университета имени
первого Президента России Б.Н. Ельцина
(http://dit.urfu.ru/fileadmin/user_upload/UI/IT_materialy/Reglament_integracii_servisov_s_federativnoi_a
utentifikaciei.pdf)
25
Схема интеграции сервисов с другими вузами
26
Перспективы интеграции сервисов с другими вузами
• Доступ к электронным образовательным ресурсам
другого ВУЗа
• Доступ к библиотечным ресурсам другого ВУЗа
• Использование единой учетной записи для
студентов и преподавателей, при командировках в
другой ВУЗ
• Та же самая учетная запись будет использоваться
для Wi-Fi «eduroam».
• Упрощенная интеграция (необходимо
интегрировать только один сервис для работы всех
остальных сервисов вуза)
27
Каталог сервисов
Каталог сервисов:
http://Go.urfu.ru
Контакты:
Устинов Владимир
Алексеевич,
vladimir.ustinov@urfu.ru
28
Скачать