Post on 12-Jan-2017
Single Sign-On durch LDAP Anbindung an den Basler Schulen
Eine Portallösung mit Zugriff auf UCS-LDAP
Markus Bäumler, Hanspeter RutschmannErziehungsdepartement Basel-Stadtmarkus.baeumler@edubs.ch
Agenda
• PZ.BS ICT Medien – über uns
• Anforderungen Single Sign-On
• Projektplanung, Ausschreibung
• eduBS Infrastruktur und UCS-Architektur
• f5 BIG-IP: Integration
• Zweifaktor-Authentisierung
• SAML
• Stand der Arbeiten
• Live Demo
Erziehungsdepartement Basel-Stadt
• Fortbildung ICT
• Pädagogisches Konzept / Support
• Hardware / Software
• Technischer Support
• Netzwerk
• Zentrale Services
ICT Medien - Über uns
ICT Medien – über uns
ca. 60 Standorteca. 27‘000 Userca. 3’000 Clients
UCS LDAP – Identity Management
Windows AD-Connector (VDI)
Owncloud, Fileserver
eduBS-Mail mit Adressbüchern
Lernplattform (Ilias)
Schulwebsites mit Intranet (Plone)
UCS@school, OTRS, Nagios
WLAN
UCS-LDAP:
User Rechner
Netze
Anforderungen Portallösung
Jetzt Portal
login
login
login
login
Webmail
ILIAS
eduBS-Dektop
eduBS-Intern
login
Webmail
ILIAS
eduBS-Dektop
eduBS-Intern
SoLe
UMC
SMS
Projektplanung, Ausschreibung
• Einladungsverfahren auf Grund des geschätzten Volumens
(inkl. Support für 4 Jahre, 1000 concurrent user)
• Redundanz
• Das Portal nutzt das bestehende Benutzerverzeichnis (OpenLDAP
Univention Corporate Server) für die Authentifizierung und für die
Zuordnung der Benutzerprofile.
• Zweifaktor-Authentisierung pro Applikation
• Anonymisierung der Userdaten bei Weitergabe möglich
• PoC als Voraussetzung für definitiven Zuschlag
• Zuschlag: NTT Com Security mit Produkt f5 Big-IP
Unser Umfeld: eduBS Infrastruktur und UCS-Architektur
• ca. 50 virtuelle –ix Server (Produktion und Testumgebung)
auf 8 XENServer
• ca. 30 virtuelle Windows-Server und 600 VDI VMs
auf 15 Windows Server
• ca. 120TB Storage (NFS, CIFS und iSCSI)
• ca. 27’000 Benutzerkonten
• ca. 9,3 Mio. Mails/Jahr
SchulverwaltungESCADA2 UCS Master
UCS Backup 1
UCS Slave 1Samba Homes
UCS Backup 2
Import aus Schulverwaltung
UCS Slave 2UCS@School
UCS Slave 3Datensicherung
UCS Slave 4Remote LDAP-Redundanz
PloneWeb
IliasLernpattform
Owncloud
Beziehen Echtzeit-Daten aus LDAPHaben eine
LDAP-Kopie
PortalMail
eduBS Infrastruktur und UCS-Architektur
Unser Umfeld: eduBS Infrastruktur und UCS-Architektur
Neue Komponente: portal.edubs.ch
• Zugriff auf alle Services von einem zentralen Punkt aus
• Single Sign-on
• Wo nötig: Zweifaktoren-Authentisierung
• Sitzt «neben der Firewall» zwischen DMZ und Server-Netz
Single Sign-on:Motivation und Ausprägungen
Problemstellung:
Viele Dienste, die zwar alle mit denselben Zugangsdaten (aus UCS-LDAP)
authentisieren sind, aber die Credentials müssen überall neu eingegeben werden.
Lösung:
„Portal“, das nach einmaliger Anmeldung die Zugangsdaten weitergibt. Übermittlung
kann auf mehrere Arten erfolgen:
• IP-basierend: Wer übers Portal kommt, darf rein. Keine persönliche Anmeldung
erforderlich. Beispiel: Internet-Bibliotheken, für die Campuslizenzen existieren.
• „Web-Formular“-basierend: Login- und Passwortfelder werden automatisch
ausgefüllt. Persönliche Anmeldung. Beispiel: Webmail, Owncloud
• SAML-basierend: Interessant, weil offener Standard.
Wird bei uns Schlüsseltechnologie und Standard
2-Faktoren Authentisierung (2FA)
Definition:• Zweifaktor-Authentisierung wird definiert durch die Verwendung von zwei,
voneinander unabhängigen, Kenntnissen oder Besitztümern.
• Vorteilhafterweise ist eines davon mit einer kurzen Lebensdauer (im einstelligen
Minutenbereich) behaftet und/oder nicht mehrfach verwendbar. OTP (One-Time-
Password)
• Üblicherweise ist die Username / Passwort – Kombination die Grundlage und wird
mit einem zweiten Faktor ergänzt.
• Caveat: „Orthogonalität“ beachten: Per eMail zugestelltes OTP, das mit
Username/Pw abgefragt werden kann, ist kein valabler zweiter Faktor!
2-Faktoren Authentisierung (2FA)
Anforderungen:
Sorgfältige Abwägung des Schutzgrades. (Wo setze ich 2FA ein, wo nicht?)
Bei eduBS:
• Für Erfassung von Noten und Absenzen (Lehrpersonen)
• Zum Zurücksetzen von Passwörtern ganzer Klassen (Schul-Admins)
• Für diverse Admin-Konsolen unseres Teams
„Sicherheit und Bequemlichkeit sind nicht deckungsgleiche Ziele!“
2-Faktoren Authentisierung (2FA) – Methoden:
SMS
Am einfachsten zu implementierende Lösung.
• Bedingt aber lückenlose Erfassung der Mobile# an vertrauenswürdiger Stelle
• Wird bei uns Standard sein
• OTP wird generiert und über truesenses.com versandt
• Für „Handy-Resistente“ werden wir eine Alternative anbieten müssen
Streichliste• Offensichtliche Lösung, Anwendung durch eBanking bekannt
• Bei uns wegen wiederkehrendem Aufwand für Distribution nicht leistbar
2-Faktoren Authentisierung (2FA) – Methoden:
Yubikey• Wollen wir genauer untersuchen, sieht interessant aus
• Preislich ab ca 30.- €; wesentlich günstiger als andere
Dongles (mit mehr Funktionalitäten/Features).
• Fungiert als USB-Tastatur, die auf Knopfdruck ein OTP verschickt
• „Gegenstück“/Kontrollinstanz ist ein Server, der entweder im lokalen RZ oder als
Cloud-Service implementiert wird.
• Einmaliger Aufwand: Zuordnen, ausliefern, vergessen
• NB: Yubikey ist auch über PrivacyIDEA direkt mit UCS kombinierbar
• Standardisiertes Verfahren, publiziert durch OASIS.
OASIS is the Organization for the Advancement of Structured Information Standards, a not-
for-profit, international consortium that drives the development, convergence and adoption of
open standards for the global information society.
Mitglieder sind u.a. IBM, Microsoft, Citrix, Netapp, CA, PaloAlto, Checkpoint, Huawei, SAP
• (nicht nur) für SSO
• Aktuell V2.0
Security Assertion Markup LanguageSAML
Security Assertion Markup LanguageAblauf eines Verbindungsaufbaus
Quelle: Wikipedia, Scavo
mutual trust!
Profile
Bindings
Protocols
Assertions
Security Assertion Markup LanguageElemente
Assertions: Aussagen über Benutzer• Authentication Statements:
Aussagen über Art und Zeit der Identifikation• Attribute Statements:
Zusatzinformationen• Authorization Decision Statements:
Aussagen über Berechtigungen zu ResourcenProtocols: Verfahren• Authentication Request• Single Logout• Assertion Query/Request• Artifact Resolution• Name Identifier Management• Name Identifier MappingBindings: Übergeordnetes Transportmittel(üblicherweise HTTP oder SOAP)Profile: Bündelung obiger ElementezB für SSO Profile
Quelle: jaxenter.deKrafzig / Yunus
Standardisierte Verfahren
Für SSO keine per-Applikation-
Analyse erforderlich
Sichere und anonyme Einbindung von
extern gehosteter Lernsoftware
möglich
o Single-Sign-Off muss sorgfältig
designed werden
o Funktioniert nicht, wenn das Passwort
weitergereicht werden muss
SAMLVor- und Nachteile
Work in progress!
• Abgeschlossen:- Anbindung von ca 8 Applikationen mit forms oder IP-based SSO- Anbindung von 2 Applikationen per SAML in finaler Planungsphase- StepUp-Authentication mit SMS- Separates Portal mit Yubikey erfolgreich getestet
• Kurz vor «closed beta» mit 5-15 Lehrpersonen
• ToDo:- Überprüfung der Architektur mit UCS 4.1 im Sommer 17: Anbindung als IdP sinnvoll? Vor-/Nachteile?- Implementation SAML SPs- Weitere Applikationen einbinden- Einfachen Zugriff auf Laufwerke ermöglichen (Drive Mapping)- SSO aus dem VDI-Desktop
Stand der Arbeit
Live Demo
Vielen Dank für Ihre Aufmerksamkeit!
Kontakt Markus Bäumler & Hanspeter RutschmannErziehungsdepartement Basel-StadtPZ.BS ICT Medienmarkus.baeumler@edubs.chhanspeter.rutschmann@edubs.chwww.edubs.ch/ict