Sulinet+ Azonosítási és jogosultságkezelési pilot. Sulinet eduid/eduroam oktatás. Bajnok Kristóf NIIF Intézet

Sulinet+ Azonosítási és jogosultságkezelési pilot Sulinet eduid/eduroam oktatás Bajnok Kristóf NIIF Intézet

Bemutatkozás

A tanfolyamról Elsődleges cél: a szövetségi (ún. föderatív) azonosítási rendszerek fogalmát bemutatni bizalomra épülő rendszer, a résztvevőknek felelősségük van nem elsősorban informatikai kérdés! Másodlagos cél: a pilot elképzelések bemutatása ez már technikai(bb)

Tartalom (Bevezetés) A pilotról nagy vonalakban Föderatív azonosítás Eduroam technikai részletek eduid technikai részletek

Sulinet+ Elsősorban hálózati eszközök cseréje a nagyobb sávszélesség előfeltétele Sulinet Dashboard az iskola szolgáltatásait egységes felületen lehessen kezelni Kollaborációs mintarendszerek videokonferencia, Videotorium, streaming Azonosítási és jogosultságkezelési mintarendszerek

Pilot A Pilot célja, hogy megvizsgáljuk, hogy a szövetségi azonosítás alkalmazható-e a köznevelés intézményei esetében kölcsönösen dolgoznunk kell benne AP-támogatás

Tartalom (Bevezetés) A pilotról nagy vonalakban Föderatív azonosítás Eduroam technikai részletek eduid technikai részletek

Ez a probléma:

Jelszavak, jelszavak,... Alkalmazásonként külön jelszavak nehezen használható jelszó változtatás sok jelszó nem menedzselhető új felhasználó hozzáadása kilépett felhasználó törlése

Hálózati szűrés? Mobilitás ha otthonról szeretne dolgozni? Biztonság ha valaki hálózati hozzáférést kap, akkor jogosult lesz a rendszereinket is használni? feltört belső gép = ugródeszka BYOD-mánia (saját tulajdonú eszközök használata)

Központi adatbázis kell, ámde... Biztonság ha minden alkalmazás hozzáfér a központi adatbázishoz access control nehéz egy alkalmazás jogaival az összes felhasználóhoz hozzáférhetünk Kényelmetlen újból és újból megadni a jelszót

nem elég Külsős hozzáférés biztosítása biztonság nem adunk-e több jogosultságot, mint szeretnénk? menedzsment jelszóváltoztatás felhasználó még egy jelszó...

Föderatív azonosítás Az oktatásban működő intézmények megbíznak egymás felhasználókezelési gyakorlatában Az intézmények fogadják el egymás felhasználóit azonosítottnak bizalmi szövetség = föderáció Intézményen belül legyen elegendő egyetlen azonosítási pont mind a belső, mind a külső szolgáltatások számára

Föderatív alapelvek Vendég felhasználók regisztrálása helyett bízzuk ezt olyan intézményre, aki ezt megteszi helyettünk. Csak olyan felhasználó lehet, akinek tisztázott a viszonya egy intézménnyel viszony: dolgozó / tanár / tanuló / szülő Tapasztalat: sok esetben ez elegendő ahhoz, hogy szolgáltatást adjunk vö. útlevél kontra vízum Szabványos, biztonságos kommunikáció nincs központi elem

Szerepek Identity Provider (IdP) azonosítja a felhasználót megadja az azonosítás körülményeit és a felhasználó tulajdonságait (attribútumok) Service Provider (SP) feldolgozza az IdP-től kapott információt jogosultság-ellenőrzést végez az attribútumok alapján

Előnyök IdP átláthatóvá teszi az adatkezelést növeli a biztonságot push modell egységes bejelentkező felület szolgáltatások könnyen integrálhatók SP csökkenti a felhasználóadminisztrációval kapcsolatos költségeket nagy számú potenciális felhasználó Felhasználó single sign-on sok szolgáltatás egyszerűen elérhető

Felhasználási területek - wifi - web

Felhasználási területek (példák) Hálózati hozzáférés (eduroam) Belső alkalmazások E-learning pl. moodle Online könyvtári szolgáltatások adatbázis-hozzáférések intézményi előfizetés Projekt együttműködés azonosított hozzáférés több iskola tanárainak Kereskedelmi és non-profit szolgáltatók

Szövetségi azonosítás összefoglalva Minél több szolgáltatáshoz minél kevesebb (lehetőleg egyetlen) jelszóval Központi Nagy Testvér nélkül Biztonságosan, átláthatóan Bizalmi elv: anyaintézménynél történő azonosítás

Tartalom (Bevezetés) A pilotról nagy vonalakban Föderatív azonosítás Eduroam technikai részletek eduid technikai részletek

Eduroam Wifi hozzáférés biztosítása egyéni azonosítás alapján Vendégek = helyiek (!) Az engedélyezett felhasználók más intézmények eduroam hálózatát is használhatják, akár külföldön is Csak felnyitom a gépem és máris online vagyok

Saját felhasználók kezelése Központi felület, integrálva a sulinetes központi levelezéssel közös felhasználónév és jelszó! Engedélyezés: viszony megadásával pedagógus tanuló egyéb dolgozó A viszony mezőt naprakészen kell tartani

Sulinet Wi-Fi 1-3 Cisco access point 802.11abgn közvetlenül a routerre kötve SSID: eduroam opcionálisan saját is (PSK) hálózat: külön privát címtartomány alapértelmezetten nincs átjárás a jelenlegi belső hálózathoz, de ez módosítható Leírás: https://sulinet.niif.hu/eduroam Kliens letölthető: https://cat.eduroam.org

eduroam hogyan működik? WPA2-Enterprise, EAP Védett, titkosított csatorna a kliens (supplicant) és az otthoni Radius szerver között a jelszót nem ismeri a meglátogatott intézmény

eduroam biztonság? A Sulinet+ eduroam pilotban a Radius szervereket az NIIFI üzemelteti Biztonsági incidens esetén a NIIFI tudja megmondani (pontos időbélyeg és portszám alapján), hogy ha más intézményből jött a támadó (feltört gép tulajdonosa), akkor honnan ha a mi intézményünkből jött a támadó, akkor mi a felhasználói azonosítója A bejelentett incidenseket az otthoni intézménynek kezelnie kell

EduID Webes alkalmazások számára Single Sign-on SAML2 szabványra épül Pontosabb jogosultság-szabályozás akár viszonyra, akár egyes felhasználókra Folyamatosan bővülő szolgáltatáslista Támogatás intézményi alkalmazások integrációjához Szolgáltatók, kormányzati szervek bevonása