Identitetsfederering etapp II Höga och låga observationer

Transkript

1 Identitetsfederering etapp II Höga och låga observationer Thomas Nilsson

2 Smidigt och kontrollerat <samlp:response> <saml:issuer> <saml:assertion> 3 4 <saml:issuer> <Signature>signaturmetod,hashalgoritm,singatur mm</signature> <saml:subject> <saml:nameid> </saml:nameid> </saml:subject> <saml:conditions NotBefore=start NotOnOrAfter=stopp></saml:Conditions> <saml:authnstatement> <saml:authncontext> <saml:authncontextclassref>autentisering</saml:authncontextclassref> </saml:authncontext> </saml:authnstatement> <saml:attributestatement> <saml:attribute Name="fullName"> Thomas Nilsson"</saml:Attribute> <saml:attribute Name= "> thomas@certezza.net"</saml:attribute> <saml:attribute Name= orgnr"> "</saml:Attribute> </saml:attributestatement> </saml:assertion> </samlp:response> Intyg/Biljett/Assertion

3 Smidigt och kontrollerat <samlp:response> <saml:issuer> <saml:assertion> 3 4 <saml:issuer> <Signature>signaturmetod,hashalgoritm,singatur mm</signature> <saml:subject> <saml:nameid> </saml:nameid> </saml:subject> <saml:conditions NotBefore=start NotOnOrAfter=stopp></saml:Conditions> <saml:authnstatement> <saml:authncontext> <saml:authncontextclassref>autentisering</saml:authncontextclassref> </saml:authncontext> </saml:authnstatement> <saml:attributestatement> <saml:attribute Name="fullName"> Thomas Nilsson"</saml:Attribute> <saml:attribute Name= "> thomas@certezza.net"</saml:attribute> <saml:attribute Name= orgnr"> "</saml:Attribute> </saml:attributestatement> </saml:assertion> </samlp:response> E-tjänsteleverantör (SP) E-tjänsteleverantör (SP) E-tjänsteleverantör (SP) Intyg/Biljett/Assertion men kanske ingen identitetsfederation

4 E-tjänster i ett underläge E-tjänsteleverantör (SP) E-tjänsteleverantör (SP) E-tjänsteleverantör (SP) 1 2? och en full mesh med nycklar är inte heller speciellt skalbart

5 En federation är Nycklar Adresser Egenskaper regelverk och metadata

6 Tillitsnivå (LoA) vems linjal gäller?

7 Tillitsnivå (LoA) EX PÅ MJUKA VÄRDEN Krav på ett möte Krav på legitimering Jmf utgivning kreditkort 4 EX PÅ HÅRDA VÄRDEN Smarta kort 2 faktor Avancerade lösenord Egen registrering 1 Enkla lösenord Federationens kanske viktigaste hörnsten!

8 Anvisning en stötesten Central Anvisningstjänst Lokal (SP) 5 4 (Alla redirects sker i användarens webbläsare) eller?

9 Ombedda vs O-ombedda SAMLv2.0 vs SAML v ?SAMLRequest=unsolicited &entityid= Vingklippt SP? Skalbart? Användarvänligt?

10 Finns rätt förmågor? Exempel på profiler Web SSO Holder of key (LoA4) LoA Context IdP Discovery Single Logout Metadata Interop Ställningstaganden Signering av intyg Kryptering av intyg Vad är RÄTT i sammanhanget?

11 Tänkbara innovationer HSM med signeringsnycklar för federationen Publicerar en hash av den publika nyckel (jmf Delegation Signer) Kontroll att signerats med rätt nyckelpar DNS/DNSSEC/DANE Fler innovationer? Let the open space begin!

12