infn-aai saml 2.0

INFN-AAISAML 2.0

Dael Maselli

Tutorial INFN-AAI Plus

14-17 Dicembre 2010

SAML 2.0

Security Assertion Markup Language (SAML) è uno standard per lo scambio di dati di autenticazione e autorizzazione (detti assertion) tra domini di sicurezza distinti

Identity Provider (IdP) entità che fornisce informazioni di identità

Service Provider (SP) entità che fornisce il servizio

Il formato delle assertion SAML e basato su XML

2INFN-AAI - Dael Maselli - 2010

Applicazioni

SAML permette di delegare l’autenticazione e l’autorizzazione di una applicazione web ad un Identity Provider centrale

Credenziali presentate dall’utente solo all’IdP Il Service Provider può essere una libreria per uno

specifico linguaggio o semplicemente un modulo per il web server che esporti le opportune variabili di autorizzazione all’applicazione

SAML semplifica enormemente l’implementazione dell’AA nelle applicazioni web-based


Metadati

Durante la configurazione i partner (IdP e SP) si scambiano dei metadati, ovvero informazioni su gli attributi richiesti dall’applicazione gli endpoint ovvero le URL a cui chiedere o

inviare le assertion di authN e authZ


Funzionamento

Quando l’utente, tramite browser, accede alla risorsa, la libreria SP manda al client un redirect http verso l’IdP con i dati (in POST) della richiesta di autenticazione

L’IdP richiede l’autenticazione all’utente attraverso una form web o simile

Se l’utente è correttamente autenticato l’IdP raccoglie gli attributi relativi e manda un redirect verso il SP con in POST l’assertion XML contenente gli attributi richiesti


Flusso


Implementazione

INFN-AAI mette a disposizione l’IdP SAML idp.infn.it AuthN: user/pass, Kerberos5 e x509 PKI AuthZ: attributi LDAP ou=People,dc=infn,dc=it

Per implementare un Service Provider SAML 2.0 si consiglia l’uso dei seguenti software: PHP: simpleSAMLphp Apache: Shibboleth 2.2 JAVA: OIOSAML


F I N E

INFN-AAISAML 2.0

Dael Maselli

Tutorial INFN-AAI Plus

infn-aai saml 2.0

Documents