Shibboleth бірыңғай кіру архитектурасы - Shibboleth Single Sign-on architecture

Shibboleth логотипі

Шибболет Бұл бір рет кіру компьютерлік желілерге арналған жүйеге кіру және ғаламтор. Бұл адамдарға әр түрлі ұйымдардың немесе мекемелердің федерациялары басқаратын әр түрлі жүйелерге бір ғана сәйкестендіру арқылы кіруге мүмкіндік береді. Федерациялар көбінесе университеттер немесе халыққа қызмет көрсету ұйымдары болып табылады.

Шибболет Интернет2 орта бағдарламалық жасақтама бастама құрылған сәулет және ашық көзі жүзеге асыру жеке басын басқару және федеративті сәйкестілік - негізделген аутентификация және авторизация (немесе қатынасты басқару ) негізделген инфрақұрылым Қауіпсіздікті белгілеу тілі (SAML). Федеративті сәйкестендіру пайдаланушылар туралы ақпаратты бір қауіпсіздік доменінен федерациядағы басқа ұйымдарға бөлуге мүмкіндік береді. Бұл домендер арасына бір рет кіруге мүмкіндік береді және контент-провайдерлердің пайдаланушы аттары мен парольдерін сақтау қажеттілігін жояды. Жеке куәлікті жеткізушілер (IDP) пайдаланушылар туралы ақпаратты ұсынады, ал қызмет көрсетушілер (SP) бұл ақпаратты пайдаланады және қауіпсіз мазмұнға қол жеткізеді.

Тарих

Shibboleth жобасы Internet2-ден шықты. Бүгінгі күні жобаны Shibboleth консорциумы басқарады. Shibboleth консорциумы басқаратын ең танымал бағдарламалық жасақтаманың екеуі - Shibboleth сәйкестендіру провайдері және Shibboleth қызмет көрсетушісі, олардың екеуі де SAML.

Жоба ан құпия фразаны анықтау қолданылған Інжіл (Төрешілер 12:4–6 ) өйткені Эфраимиттер «sh» дыбысын айта алмады.

Shibboleth жобасы үйлесімді аутентификациясы мен авторизациялау инфрақұрылымы бар ұйымдар арасында ресурстарды бөлуді жеңілдету үшін 2000 жылы басталды. Сәулет жұмысы кез-келген бағдарламалық жасақтама жасалмас бұрын бір жылдан астам уақыт бойы орындалды. Әзірлеуден және тестілеуден кейін Shibboleth IdP 1.0 2003 жылдың шілде айында шығарылды.^[1] Осыдан кейін 2005 жылдың тамызында Shibboleth IdP 1.3 шығарылды.

Shibboleth бағдарламалық жасақтамасының 2.0 нұсқасы 2008 жылы наурызда шыққан маңызды жаңарту болды.^[2] Ол IdP және SP компоненттерін де қамтыды, бірақ, ең бастысы, Shibboleth 2.0 SAML 2.0 қолдайды.

Shibboleth және SAML хаттамалары дәл осы уақыт аралығында жасалды. Басынан бастап Shibboleth SAML-ге негізделген, бірақ SAML жетіспейтіні анықталған жерде Shibboleth импровизацияланған және Shibboleth жасаушылары жетіспейтін мүмкіндіктердің орнын толтыратын мүмкіндіктерді жүзеге асырған SAML 1.1. Осы ерекшеліктердің кейбіреулері кейінірек енгізілді SAML 2.0 және, осы мағынада, Шибболет SAML протоколының дамуына ықпал етті.

Мүмкін, ең маңызды үлес - бұл Shibboleth AuthnRequest мұра хаттамасы болды. SAML 1.1 протоколы өзіндік IdP-протоколы болғандықтан, Shibboleth қарапайым HTTP-ға негізделген аутентификация сұранысының протоколын ойлап тапты, ол SAML 1.1-ді SP-алғашқы протоколына айналдырды. Бұл хаттама алдымен Shibboleth IdP 1.0-де іске асырылды, кейінірек Shibboleth IdP 1.3-те жетілдірілді.

Сол алғашқы жұмысқа сүйене отырып Бостандық Альянсы толықтай кеңейтілген AuthnRequest хаттамасын Liberty Identity Federation Framework-ке енгізді. Сайып келгенде, OASIS SAML 2.0 стандартына негіз болған OASIS-ке Liberty ID-FF 1.2 қосылды.^{[маңыздылығы? ]}

Сәулет

Shibboleth - бұл HTTP / POST артефактісін және атрибуттық push профильдерін іске асыратын веб-технология SAML жеке сәйкестендіру провайдері (IdP) және Service Provider (SP) компоненттерін қосқанда. Shibboleth 1.3 өзінің техникалық шолуына ие,^[3] сәулеттік құжат,^[4] және сәйкестік құжаты^[5] SAML 1.1 сипаттамаларының жоғарғы жағына салынған.

Шибболет 1.3

Канондық жағдайда:

Пайдаланушы алдымен веб-серверде (қызмет провайдері) орналастырылған, Shibboleth мазмұнын қорғау мүмкіндігі бар ресурсқа қол жеткізеді.
SP сұраныс берушінің SAML жеке идентификаторын, тұтынуды бекіту орнын және пайдаланушыны қайтару үшін соңғы бетті қамтамасыз ету үшін URL сұранысының параметрлері арқылы браузер арқылы берілетін меншікті аутентификация сұрауын жасайды.
Пайдаланушы өз үйінің идентификаторына немесе WAYF (қай жердесіз) қызметіне бағытталады, сонда олар қайта бағыттау үшін үй идентификаторын таңдайды.
Пайдаланушы Shibboleth-тен тыс кіруді басқару механизмінің аутентификациясын жасайды.
Shibboleth құрамында уақытша «тұтқасы» бар SAML 1.1 аутентификациясын растайды. Бұл дескриптор IDP-ге браузердің белгілі бір пайдаланушысы туралы сұранысты бұрын түпнұсқалығы расталған директорға сәйкес тануға мүмкіндік береді.
Пайдаланушы СП тұтынушылық қызметтерін растауға жіберіледі. SP пайдаланушыны сәйкестендіруге болатын немесе енгізбейтін сол пайдаланушы туралы атрибуттар үшін бекітуді қолданады және IdP атрибуттық қызметіне AttributeQuery береді.
IdP пайдаланушы туралы сенімді ақпараты бар атрибуттық бекітуді SP-ға жібереді.
SP қол жетімділікті басқару туралы шешімді атрибуттар негізінде қабылдайды немесе қолданбаларға өздері шешім қабылдау үшін ақпарат береді.

Shibboleth осы негізгі жағдайдағы бірқатар вариацияларды қолдайды, соның ішінде портал стиліндегі ағындар, соның ішінде IdP SP-ге алғашқы қол жетімділікте жіберілетін талап етілмеген мәлімдемені шығарады және сессияға жалқау бастайды, бұл қолданбаға әдіс арқылы мазмұнды қорғауды іске қосуға мүмкіндік береді талап бойынша оны таңдау.

Shibboleth 1.3 және одан ертерек кіріктірілмеген аутентификация механизмі, бірақ кез-келген веб-негізіндегі аутентификация механизмі Shibboleth пайдалануы үшін пайдаланушы деректерін беру үшін пайдаланылуы мүмкін. Осы мақсаттағы жалпы жүйелерге мыналар жатады CAS немесе Пукки. IDP жұмыс істейтін Java контейнерінің аутентификациясы және бір рет кіру мүмкіндіктерін де пайдалануға болады (мысалы, Tomcat).

Shibboleth 2.0

Shibboleth 2.0 негізделеді SAML 2.0 стандарттар. SAML 2.0 аутентификациясының пассивті және мәжбүрлі сұраныстарын қолдау үшін Shibboleth 2.0-дағы IDP қосымша өңдеуден өтуі керек. SP ИД-дан нақты аутентификация әдісін сұрай алады. Shibboleth 2.0 қосымша шифрлау мүмкіндігін қолдайды.

Атрибуттар

Shibboleth-тің қол жетімділігін бақылау ИД-мен берілген атрибуттарды СП анықтаған ережелермен сәйкестендіру арқылы жүзеге асырылады. Атрибут дегеніміз - пайдаланушы туралы «осы қауымдастықтың мүшесі», «Элис Смит» немесе «А келісімшартына сәйкес лицензияланған» сияқты кез-келген ақпарат. Пайдаланушының сәйкестігі атрибут болып саналады және тек қажет болған жағдайда ғана беріледі, бұл пайдаланушының жеке өмірін сақтайды. Атрибуттарды Java-да жазуға немесе каталогтар мен мәліметтер базасынан алуға болады. Стандартты X.520 атрибуттар жиі қолданылады, бірақ жаңа атрибуттар оларды транзакция кезінде IdP және SP-мен бірдей түсінген және түсінген жағдайда ерікті түрде анықталуы мүмкін.

Сенім

Домендер арасындағы сенім жалпыға қол жетімді криптографияны қолдану арқылы жүзеге асырылады (көбінесе жай TLS сервер сертификаттары) және провайдерлерді сипаттайтын метадеректер. Берілген ақпаратты пайдалану келісімдер арқылы бақыланады. Федерациялар көбінесе осы қатынастарды қарапайым ережелер мен келісімшарттарды қолдануға келісетін көптеген провайдерлерді біріктіру арқылы оңайлату үшін қолданылады.

Даму

Shibboleth бастапқы көзі болып табылады және Apache 2 лицензиясымен қамтамасыз етілген. Көптеген кеңейтулерге басқа топтар үлес қосты.

Бала асырап алу

Ақпарат алмасу үшін сенім құрылымдарын құру үшін әлемнің көптеген елдерінде федерациялар құрылды SAML және Shibboleth бағдарламалық жасақтамасы. Көптеген ірі мазмұн жеткізушілері Shibboleth-ке қол жетімділікті қолдайды.

2006 жылдың ақпанында Бірлескен ақпараттық жүйелер комитеті (JISC) Англия, Шотландия, Уэльс және Солтүстік Ирландия Жоғары білім беруді қаржыландыру кеңестері өзінің Афины аутентификация жүйесі Shibboleth технологиясына негізделген қол жетімділікті басқару жүйесіне.^[6] Содан бері ол өзінің позициясын жаңартып, Shibboleth-тің орнына федеративті қатынасты басқарудың шешімін қолдайды.^{[дәйексөз қажет ]}

Сондай-ақ қараңыз

OpenAthens

Әдебиеттер тізімі

^ Поллак, Мишель (2003-07-01). «I2-News: Internet2 құпиялылықты сақтайтын веб-авторизациялау бағдарламалық жасақтамасын шығарады» (Тарату тізімі). Алынған 2007-11-28.
^ «Shibboleth 2.0 қол жетімді».
^ Скаво, Том; Кантор, Скотт (2005-06-08). «Shibboleth Architecture: Техникалық шолу (Құжат идентификаторы: draft-mace-shibboleth-tech-шолу-02)» (PDF). 2012-03-14 ж. Түпнұсқасынан мұрағатталған. Алынған 2017-10-02.CS1 maint: BOT: түпнұсқа-url күйі белгісіз (сілтеме)
^ «Shibboleth Architecture: хаттамалар және профильдер» (PDF). 2005-09-10. Алынған 2017-08-24.
^ Кантор, Скотт; Морган, RL «Боб»; Скаво, Том (2005-09-10). «Shibboleth Architecture: сәйкестікке қойылатын талаптар» (PDF). Алынған 2017-08-24.
^ «JISC Ұлыбритания үшін қол жетімділікті басқарудың жаңа жүйесін әзірлейтіндігі туралы хабарлайды». Бірлескен ақпараттық жүйелер комитеті. Алынған 2006-07-19.

Сыртқы сілтемелер

[1] Поллак, Мишель (2003-07-01). «I2-News: Internet2 құпиялылықты сақтайтын веб-авторизациялау бағдарламалық жасақтамасын шығарады» (Тарату тізімі). Алынған 2007-11-28.

[2] «Shibboleth 2.0 қол жетімді».

[3] Скаво, Том; Кантор, Скотт (2005-06-08). «Shibboleth Architecture: Техникалық шолу (Құжат идентификаторы: draft-mace-shibboleth-tech-шолу-02)» (PDF). 2012-03-14 ж. Түпнұсқасынан мұрағатталған. Алынған 2017-10-02.CS1 maint: BOT: түпнұсқа-url күйі белгісіз (сілтеме)

[4] «Shibboleth Architecture: хаттамалар және профильдер» (PDF). 2005-09-10. Алынған 2017-08-24.

[5] Кантор, Скотт; Морган, RL «Боб»; Скаво, Том (2005-09-10). «Shibboleth Architecture: сәйкестікке қойылатын талаптар» (PDF). Алынған 2017-08-24.

[6] «JISC Ұлыбритания үшін қол жетімділікті басқарудың жаңа жүйесін әзірлейтіндігі туралы хабарлайды». Бірлескен ақпараттық жүйелер комитеті. Алынған 2006-07-19.

[1]

[2]

[3]

[4]

[5]

[6]