Sulinet+ Azonosítási és jogosultságkezelési pilot Sulinet eduid/eduroam oktatás Bajnok Kristóf NIIF Intézet
Bemutatkozás
A tanfolyamról Elsődleges cél: a szövetségi (ún. föderatív) azonosítási rendszerek fogalmát bemutatni bizalomra épülő rendszer, a résztvevőknek felelősségük van nem elsősorban informatikai kérdés! Másodlagos cél: a pilot elképzelések bemutatása ez már technikai(bb)
Tartalom (Bevezetés) A pilotról nagy vonalakban Föderatív azonosítás Eduroam technikai részletek eduid technikai részletek
Sulinet+ Elsősorban hálózati eszközök cseréje a nagyobb sávszélesség előfeltétele Sulinet Dashboard az iskola szolgáltatásait egységes felületen lehessen kezelni Kollaborációs mintarendszerek videokonferencia, Videotorium, streaming Azonosítási és jogosultságkezelési mintarendszerek
Pilot A Pilot célja, hogy megvizsgáljuk, hogy a szövetségi azonosítás alkalmazható-e a köznevelés intézményei esetében kölcsönösen dolgoznunk kell benne AP-támogatás
Tartalom (Bevezetés) A pilotról nagy vonalakban Föderatív azonosítás Eduroam technikai részletek eduid technikai részletek
Ez a probléma:
Jelszavak, jelszavak,... Alkalmazásonként külön jelszavak nehezen használható jelszó változtatás sok jelszó nem menedzselhető új felhasználó hozzáadása kilépett felhasználó törlése
Hálózati szűrés? Mobilitás ha otthonról szeretne dolgozni? Biztonság ha valaki hálózati hozzáférést kap, akkor jogosult lesz a rendszereinket is használni? feltört belső gép = ugródeszka BYOD-mánia (saját tulajdonú eszközök használata)
Központi adatbázis kell, ámde... Biztonság ha minden alkalmazás hozzáfér a központi adatbázishoz access control nehéz egy alkalmazás jogaival az összes felhasználóhoz hozzáférhetünk Kényelmetlen újból és újból megadni a jelszót
nem elég Külsős hozzáférés biztosítása biztonság nem adunk-e több jogosultságot, mint szeretnénk? menedzsment jelszóváltoztatás felhasználó még egy jelszó...
Föderatív azonosítás Az oktatásban működő intézmények megbíznak egymás felhasználókezelési gyakorlatában Az intézmények fogadják el egymás felhasználóit azonosítottnak bizalmi szövetség = föderáció Intézményen belül legyen elegendő egyetlen azonosítási pont mind a belső, mind a külső szolgáltatások számára
Föderatív alapelvek Vendég felhasználók regisztrálása helyett bízzuk ezt olyan intézményre, aki ezt megteszi helyettünk. Csak olyan felhasználó lehet, akinek tisztázott a viszonya egy intézménnyel viszony: dolgozó / tanár / tanuló / szülő Tapasztalat: sok esetben ez elegendő ahhoz, hogy szolgáltatást adjunk vö. útlevél kontra vízum Szabványos, biztonságos kommunikáció nincs központi elem
Szerepek Identity Provider (IdP) azonosítja a felhasználót megadja az azonosítás körülményeit és a felhasználó tulajdonságait (attribútumok) Service Provider (SP) feldolgozza az IdP-től kapott információt jogosultság-ellenőrzést végez az attribútumok alapján
Előnyök IdP átláthatóvá teszi az adatkezelést növeli a biztonságot push modell egységes bejelentkező felület szolgáltatások könnyen integrálhatók SP csökkenti a felhasználóadminisztrációval kapcsolatos költségeket nagy számú potenciális felhasználó Felhasználó single sign-on sok szolgáltatás egyszerűen elérhető
Felhasználási területek - wifi - web
Felhasználási területek (példák) Hálózati hozzáférés (eduroam) Belső alkalmazások E-learning pl. moodle Online könyvtári szolgáltatások adatbázis-hozzáférések intézményi előfizetés Projekt együttműködés azonosított hozzáférés több iskola tanárainak Kereskedelmi és non-profit szolgáltatók
Szövetségi azonosítás összefoglalva Minél több szolgáltatáshoz minél kevesebb (lehetőleg egyetlen) jelszóval Központi Nagy Testvér nélkül Biztonságosan, átláthatóan Bizalmi elv: anyaintézménynél történő azonosítás
Tartalom (Bevezetés) A pilotról nagy vonalakban Föderatív azonosítás Eduroam technikai részletek eduid technikai részletek
Eduroam Wifi hozzáférés biztosítása egyéni azonosítás alapján Vendégek = helyiek (!) Az engedélyezett felhasználók más intézmények eduroam hálózatát is használhatják, akár külföldön is Csak felnyitom a gépem és máris online vagyok
Saját felhasználók kezelése Központi felület, integrálva a sulinetes központi levelezéssel közös felhasználónév és jelszó! Engedélyezés: viszony megadásával pedagógus tanuló egyéb dolgozó A viszony mezőt naprakészen kell tartani
Sulinet Wi-Fi 1-3 Cisco access point 802.11abgn közvetlenül a routerre kötve SSID: eduroam opcionálisan saját is (PSK) hálózat: külön privát címtartomány alapértelmezetten nincs átjárás a jelenlegi belső hálózathoz, de ez módosítható Leírás: https://sulinet.niif.hu/eduroam Kliens letölthető: https://cat.eduroam.org
eduroam hogyan működik? WPA2-Enterprise, EAP Védett, titkosított csatorna a kliens (supplicant) és az otthoni Radius szerver között a jelszót nem ismeri a meglátogatott intézmény
eduroam biztonság? A Sulinet+ eduroam pilotban a Radius szervereket az NIIFI üzemelteti Biztonsági incidens esetén a NIIFI tudja megmondani (pontos időbélyeg és portszám alapján), hogy ha más intézményből jött a támadó (feltört gép tulajdonosa), akkor honnan ha a mi intézményünkből jött a támadó, akkor mi a felhasználói azonosítója A bejelentett incidenseket az otthoni intézménynek kezelnie kell
EduID Webes alkalmazások számára Single Sign-on SAML2 szabványra épül Pontosabb jogosultság-szabályozás akár viszonyra, akár egyes felhasználókra Folyamatosan bővülő szolgáltatáslista Támogatás intézményi alkalmazások integrációjához Szolgáltatók, kormányzati szervek bevonása