Использование технологий федеративной аутентификации для решения задач интеграции университетских ИТ-сервисов Устинов В. А., Сорокин А.Е. Совещание по развитию и повышению эффективности функционирования Федеральной университетской компьютерной сети России RUNNet. 14-16 октября 2015 г Цели и задачи • Организовать единую точку получения доступа к информационным сервисам вуза для пользователей университета • Реализовать возможность доступа к информационным сервисам вуза сторонних пользователей (посредством учетных записей facebook, vk, каталогов других университетов) • Реализовать возможность доступа пользователей вуза к информационным сервисам сторонних университетов 2 1 Этап (2012-2013): “Внедрение почтовой системы на базе MS Exchange и каталога на базе MS Active Directory” Основные результаты для Интеграции ИТ-сервисов университета • Интегрированные сервисы проверки подлинности пользователей • Единый механизм аутентификации и авторизации всех пользователей и приложений в масштабах университета • Единая база данных об оргструктуре, сотрудниках, студентах, устройствах и сервисах Для подразделений • Централизованное управление компьютерами, учетными записями, почтовыми ящиками и информационными ресурсами Подразделения. • Сокращение затрат на обслуживание компьютерного парка Подразделения. • Доступ к общим папкам и сетевым принтерам Подразделения. • Доступ к обновлениям ПО Microsoft и к сервисам корпоративной активации ПО. Для пользователей корпоративной сети • Сервис корпоративной электронной почты для сотрудников с единой адресной книгой • Возможность подключения к сети мобильного доступа (Wi-Fi) УрФУ и Интернет • Доступ к сервису получения лицензионного ПО Microsoft • Доступ к компьютерам централизованных компьютерных классов УрФУ • Файловые сервисы 3 Особенности реализации проекта Число учетных записей пользователей единого каталога 52 346 Число активных учетных записей 25 658 Число учетных записей сотрудников 9 403 Число учетных записей студентов 40 910 Число учетных записей компьютеров 2114 Интеграция с HR системами университета 4 Особенности реализации проекта Разработан Web-инструмент самообслуживания ID.URFU.RU (состоит из 2-х модулей) 5 Особенности реализации проекта Разработан Web-инструмент администрирования Не нарушает целостность данных в AD (всегда есть уникальный идентификатор, корректный пароль и т.д.) 6 Интеграция информационных сервисов с единым каталогом пользователей 1. Корпоративная почта 2. Сервис домашних папок пользователей 3. Сервис общих папок подразделений 4. Загрузка лицензионного ПО (DreamSpark) 5. Системы активации и обновления ПО (KMS, WSUS) 6. Личный кабинет сотрудников (личные страницы преподавателей) 7. Система электронного документооборота 8. Информационная система управления проектами PRO.URFU.RU 9. Портал частного облака вычислительных ресурсов VM.URFU.RU 10. Балльно-рейтинговая система 11. Wi-Fi 12. Система гостевого доступа к Wi-Fi 13. Системы электронного обучения (Гиперметод, Moodle) 14. Система управления научными исследованиями Pure (в процессе) 15. Система виртуальных рабочих столов студентов и сотрудников (VDI) 16. Система доступа к библиотечным подпискам 17. Личный кабинет студента 18. Система мониторинга ИТ-инфраструктуры 19. Система Service Desk 7 2 Этап (2014-2015) “Пилотное развертывание технологий федеративной аутентификации” 1. Организация единой точки получения доступа к информационным сервисам на основе технологий единого входа (SSO) и внедрения федеративной аутентификации. 2. Реализация приложения-инструмента “каталога сервисов” с индикацией работоспособности сервисов и унифицированным механизмом обмена данными между каталогом сервисов и компонентами-сервисами. 3. Разработка регламента обмена данными между приложением - каталогом сервисов с компонентамисервисами. Создание новых возможностей для интеграции сервисов. 8 Федеративная аутентификация (ФА) • Технология, которая позволяет использовать единое имя пользователя или его мандат для доступа в сетях, которые установили между собой доверительные отношения и входят в ассоциацию безопасности, называемую "федерацией". • Аутентификация на основе утверждений (Claims-Based Identity) содержит несколько компонент: – Компонент-сервис - веб-приложение или сервис, которое использует "утверждения" (claims), содержащие в себе идентификационную информацию – Центр федеративной аутентификации - сервис, выпускающий электронные идентификаторы (security tokens). – Пользователь - лицо, решающее о том, какую информацию о себе он предоставляет в систему. • Механизмы аутентификации выносятся из целевого приложения и заменяются на механизмы доверия к Центру ФА и выпускаемым им утверждениям. • Пользователю достаточно один раз пройти процедуру аутентификации на Центре ФА. Далее пользователь может многократно запрашивать электронные идентификаторы с различными утверждениями для разных серверов. Центр ФА становится единой точкой входа. 9 Преимущества технологии Федеративной аутентификации • Унифицированный механизм централизованной авторизации для всех сервисов; • Упрощенный вариант интеграции с единым каталогом пользователей; • Получение данных о пользователях унифицированным способом • Упрощение доступа пользователей к сервису: – Обеспечение технологии единого входа в систему (SSO) (для компьютеров в домене и не в домене); – Дополнительные варианты аутентификации (по смарткартам, сертификатам, одноразовым паролям), – Возможность смены пароля перед первым входом, – Простой интегрированный интерфейс смены пароля и восстановления пароля, получения и разблокировки учетной записи. 10 Протоколы Федеративной аутентификации • • • • • WS-Federation и WS-Trust SAML 2.0 OpenID OAuth Kerberos 11 Протоколы SAML 2.0, WS-Federation и WS-Trust • Назначение: Enterprise SSO, Федеративная аутентификация • Поддерживается единый вход в систему для всех приложений без необходимости интерактивного подтверждения пользователем • Авторизация: встроенная • Необязательно использовать SSL для серверов федеративной аутентификации и интегрированных сервисов • Формат имени пользователя: любой • Являются открытыми стандартами (почти всегда для интеграции нет необходимости писать какой-либо код) • Непосредственная сетевая связность между серверами федеративной аутентификации и интегрированными сервисами необязательна (можно размещать в разных сетевых сегментах) • Встроенная возможность использования нескольких каталогов пользователей и внешних провайдеров аутентификации 12 Протокол OpenID • Назначение: Аутентификация в сети Интернет • Как правило требуется интерактивное взаимодействие с пользователем для аутентификации в конечном сервисе • Авторизация: не поддерживается • Обязательно использование SSL для серверов федеративной аутентификации и интегрированных сервисов • Формат имени пользователя: жестко заданный • Каждым провайдером протокол реализуется по-своему • Обязательна непосредственная сетевая связность между серверами федеративной аутентификации и интегрированными сервисами • В настоящее время в разработке находится OpenID Connect, лишенный большинства этих недостатков 13 Протокол OAuth • Протокол занимает промежуточное положение по возможностям между OpenID и SAML2.0/WS-Federation • Протокол Всеми провайдерами реализуется по-своему. Для интеграции как правило необходима доработка приложений. • Обязательна сетевая связность между серверами федеративной аутентификации и интегрированными сервисами. • В протоколе не предусмотрена возможность использования нескольких каталогов пользователей и внешних провайдеров аутентификации. • Для реализации возможностей использования нескольких каталогов или внешних провайдеров необходима разработка дополнительного кода. 14 Основные решения Федеративной Аутентификации • Shibboleth • Microsoft Active Directory Federation Services • • • • • • Ping-Federate от Ping Identity IBM Tivoli Oracle Identity Federation Optimal IDM Centrify Novell Access Manager 15 Возможности Shibboleth • Виды Аутентификации: Forms, Basic, IP Address • Поддерживаемые протоколы: SAML 2.0, WS-Federation (Plugin), OpenID (Plugin) • Обеспечение высокой доступности: – Репликация RAM сторонними методами или Active-Passive режим. – Частичная реализация высокой доступности при помощи Load Balancer с перенаправлением клиентов на один узел. – При отключении одного узла, все клиенты должны будут аутентифицироваться заново. – Virtual Machine Failover (с потерей аутентифицированных сессий). • Особенности Развертывания – Не является стандартным компонентом ОС. – Требует веб-сервер и отдельный сервер приложений (например, glassfish). – Для поддержки Active Directory необходима дополнительная конфигурация. • Возможность доработки: наличие плагинов, открытый исходный код 16 Возможности ADFS • Виды Аутентификации: Forms, Certificate, Smartcard, Windows Integrated Authentication, Windows Integrated Authentication в режиме Fallback to Forms • Поддерживаемые протоколы: WS-Federation, SAML, oAuth • Обеспечение высокой доступности: – Active-Active режим в том числе между центрами обработки данных (встроенная репликация, либо репликация SQL Server). – Virtual Machine Failover (без потери аутентифицированных сессий). – Состояние всех аутентифицированных сессий сохраняется при перезагрузке сервера или при переключении клиента на резервный сервер. – Возможно использование различных методов балансировки нагрузки. • Особенности Развертывания – Включен в Windows Server. – Не требует веб-сервера и сервера приложений. – Нативно поддерживает Active Directory и режимы высокой доступности. – Не требует установки дополнительных компонентов. • Возможность доработки: только javascript на клиенте 17 Пример реализации. Интерфейс входа 18 Пример реализации. Смена пароля перед входом 19 Инфраструктура Федеративной аутентификации в УрФУ 20 Схема интеграции сервисов внутри УрФУ 21 Результаты проекта Единая точка аутентификации • Аутентификация пользователей из единого каталога по паролю и сертификату. • Поддержка внешних провайдеров аутентификации (vk, facebook). • Для интеграции любого сервиса с Каталогами других университетов необходимо интегрировать лишь один сервис ADFS. Возможности SSO • Однократный ввод пароля для всех интегрированных вебприложений. • Автоматический вход на компьютерах в домене без ввода пароля (в Internet Explorer). 22 Сервисы, интегрированные с федеративной аутентификацией • • • • • • • • • • Корпоративная почтовая система (Exchange 2013) Elsivier Pure (портал научных исследований) Dreamspark (MSDN AA) Moodle Каталог ИТ-сервисов Модуль управления профилем пользователя Модуль получения и восстановления доступа Личный Кабинет Сотрудника (SharePoint 2013) Почта для студентов (Office 365) Модуль самостоятельного создания почтовых ящиков для сотрудника 23 Результаты проекта. Платформа интеграции • Единая точка доступа к всем сервисам. • Индикация статуса работы сервисов с информацией о запланированных работах. • Отображение дополнительных данных из сервисов. • Единая точка редактирования профиля. • Упрощенная интеграция с каталогом пользователей. • Список сервисов в формате XML с веб-редактором и с иконками сервисов. 24 Нормативные документы • Положение об использовании сервисов единого каталога AT.URFU.RU в сети Уральского федерального университета имени первого Президента России Б.Н. Ельцина. (http://dit.urfu.ru/fileadmin/user_upload/UI/IT_materialy/Polojenie_katalog.pdf ) • Регламент администрирования единого каталога AT.URFU.RU (http://dit.urfu.ru/fileadmin/user_upload/UI/IT_materialy/Reglament_post.pdf ) • Положение об использовании каталога сервисов GO.URFU.RU в сети Уральского федерального университета имени первого Президента России Б.Н. Ельцина (http://dit.urfu.ru/fileadmin/user_upload/UI/IT_materialy/Polozhenie_o_kataloge_servisov__538720_v2__ Em_1_.pdf) • Регламент Интеграции информационных сервисов с единым каталогом AT.URFU.RU Уральского федерального университета имени первого Президента России Б.Н. Ельцина (http://dit.urfu.ru/fileadmin/user_upload/UI/IT_materialy/Reglament_integracii_informacionnykh_servisov _s_edinym_katalogom_AT.URFU.RU.pdf) • Регламент интеграции информационных сервисов с инфраструктурой федеративной аутентификации Уральского федерального университета имени первого Президента России Б.Н. Ельцина (http://dit.urfu.ru/fileadmin/user_upload/UI/IT_materialy/Reglament_integracii_servisov_s_federativnoi_a utentifikaciei.pdf) 25 Схема интеграции сервисов с другими вузами 26 Перспективы интеграции сервисов с другими вузами • Доступ к электронным образовательным ресурсам другого ВУЗа • Доступ к библиотечным ресурсам другого ВУЗа • Использование единой учетной записи для студентов и преподавателей, при командировках в другой ВУЗ • Та же самая учетная запись будет использоваться для Wi-Fi «eduroam». • Упрощенная интеграция (необходимо интегрировать только один сервис для работы всех остальных сервисов вуза) 27 Каталог сервисов Каталог сервисов: http://Go.urfu.ru Контакты: Устинов Владимир Алексеевич, vladimir.ustinov@urfu.ru 28