Jump to content

Шибболет (программное обеспечение)

Шибболет
Тип единого входа Система
Лицензия Апач 2.0
Веб-сайт www .шибболет .сеть

Shibboleth — это система единого входа в компьютерные сети и Интернет . Это позволяет людям входить в систему, используя только один идентификатор, в различные системы, управляемые федерациями разных организаций или учреждений. Федерациями часто являются университеты или организации общественного обслуживания.

Shibboleth Internet2 Инициатива промежуточного программного обеспечения создала архитектуру и реализацию с открытым исходным кодом для управления идентификацией и федеративной ) на основе инфраструктуры аутентификации и авторизации (или контроля доступа идентификации на основе языка разметки утверждений безопасности (SAML). Федеративная идентификация позволяет обмениваться информацией о пользователях из одного домена безопасности с другими организациями в федерации. Это позволяет осуществлять единый междоменный вход и устраняет необходимость для контент-провайдеров хранить имена пользователей и пароли. Поставщики удостоверений (IdP) предоставляют информацию о пользователях, а поставщики услуг (SP) потребляют эту информацию и предоставляют доступ к защищенному контенту.

Проект Shibboleth вырос из Internet2. Сегодня проектом управляет Консорциум Шибболет. Двумя наиболее популярными программными компонентами, управляемыми консорциумом Shibboleth, являются поставщик удостоверений Shibboleth и поставщик услуг Shibboleth, оба из которых являются реализациями SAML .

Проект был назван в честь идентификационной фразы, использованной в Библии ( Судей 12: 4–6 ), поскольку ефремляне не могли произносить «ш».

Проект Shibboleth был начат в 2000 году с целью облегчить совместное использование ресурсов между организациями с несовместимыми инфраструктурами аутентификации и авторизации . Архитектурные работы выполнялись более года до начала разработки программного обеспечения. После разработки и тестирования в июле 2003 года был выпущен Shibboleth IdP 1.0. [1] За этим последовал выпуск Shibboleth IdP 1.3 в августе 2005 года.

Версия 2.0 программного обеспечения Shibboleth представляла собой серьезное обновление, выпущенное в марте 2008 года. [2] Он включал в себя как компоненты IdP, так и SP, но, что более важно, Shibboleth 2.0 поддерживал SAML 2.0.

Протоколы Shibboleth и SAML были разработаны в одно и то же время. С самого начала Shibboleth был основан на SAML, но там, где SAML не хватало, Shibboleth импровизировал, и разработчики Shibboleth реализовали функции, которые компенсировали отсутствующие функции в SAML 1.1 . Некоторые из этих функций позже были включены в SAML 2.0 , и в этом смысле Шибболет внес свой вклад в развитие протокола SAML.

Возможно, наиболее важной функцией стал устаревший протокол Shibboleth AuthnRequest. Поскольку протокол SAML 1.1 по своей сути был протоколом, ориентированным на IdP, Шибболет изобрел простой протокол запроса аутентификации на основе HTTP, который превратил SAML 1.1 в протокол, ориентированный на SP. Этот протокол был впервые реализован в Shibboleth IdP 1.0, а затем усовершенствован в Shibboleth IdP 1.3.

Основываясь на этой ранней работе, Liberty Alliance представил полностью расширенный протокол AuthnRequest в Liberty Identity Federation Framework. В конечном итоге Liberty ID-FF 1.2 был включен в состав OASIS, который лег в основу стандарта OASIS SAML 2.0. [ важность? ]

Архитектура

[ редактировать ]

Shibboleth — это веб-технология, реализующая артефакты HTTP/POST и профили push-уведомлений SAML , включая компоненты поставщика удостоверений (IdP) и поставщика услуг (SP). Shibboleth 1.3 имеет собственный технический обзор, [3] архитектурный документ, [4] и документ о соответствии [5] которые основаны на спецификациях SAML 1.1.

Шибболет 1.3

[ редактировать ]

В каноническом варианте использования:

  1. Пользователь сначала обращается к ресурсу, размещенному на веб-сервере (поставщике услуг), на котором включена защита контента Shibboleth.
  2. SP создает собственный запрос аутентификации, который передается через браузер с использованием параметров запроса URL-адреса для предоставления SAML-идентификатора объекта запроса, местоположения использования утверждения и, при необходимости, конечной страницы, на которую возвращается пользователь.
  3. Пользователь перенаправляется либо к своему домашнему IdP, либо к службе WAYF (Откуда вы), где он выбирает своего домашнего IdP для дальнейшего перенаправления.
  4. Пользователь проходит аутентификацию в механизме контроля доступа, внешнем по отношению к Shibboleth.
  5. Shibboleth генерирует утверждение аутентификации SAML 1.1 с содержащимся в нем временным «дескриптором». Этот дескриптор позволяет IdP распознавать запрос о конкретном пользователе браузера как соответствующий субъекту, который прошел аутентификацию ранее.
  6. Пользователь отправляется POST в потребительскую службу утверждений SP. SP использует утверждение и выдает AttributeQuery службе атрибутов IdP для атрибутов этого пользователя, которые могут включать или не включать в себя личность пользователя.
  7. IdP отправляет SP утверждение атрибута, содержащее достоверную информацию о пользователе.
  8. SP либо принимает решение об управлении доступом на основе атрибутов, либо предоставляет информацию приложениям для принятия решений самостоятельно.

Shibboleth поддерживает ряд вариантов этого базового варианта, включая потоки в стиле портала, при которых IdP создает незапрошенное утверждение для доставки при первоначальном доступе к SP, и отложенное инициирование сеанса, которое позволяет приложению активировать защиту контента с помощью метода по своему выбору по мере необходимости.

Shibboleth 1.3 и более ранние версии не предоставляют встроенного механизма аутентификации , но любой веб-механизм аутентификации может использоваться для предоставления пользовательских данных для использования Shibboleth. Общие системы для этой цели включают CAS или Pubcookie . Также можно использовать функции аутентификации и единого входа в контейнере Java, в котором работает IdP (например, Tomcat).

Шибболет 2.0

[ редактировать ]

Shibboleth 2.0 основан на стандартах SAML 2.0 . IdP в Shibboleth 2.0 должен выполнять дополнительную обработку для поддержки запросов пассивной и принудительной аутентификации в SAML 2.0. Поставщик услуг может запросить у IdP конкретный метод аутентификации. Shibboleth 2.0 поддерживает дополнительные возможности шифрования.

Атрибуты

[ редактировать ]

Контроль доступа Shibboleth осуществляется путем сопоставления атрибутов, предоставленных поставщиками удостоверений, с правилами, определенными поставщиками услуг. Атрибут — это любая информация о пользователе, например «участник этого сообщества», «Алиса Смит» или «лицензия по контракту А». Идентификатор пользователя считается атрибутом и передается только в случае явной необходимости, что сохраняет конфиденциальность пользователя. Атрибуты могут быть написаны на Java или извлечены из каталогов и баз данных. Чаще всего используются стандартные атрибуты X.520 , но новые атрибуты могут определяться произвольно, если они одинаково понимаются и интерпретируются IdP и SP в транзакции.

Доверять

[ редактировать ]

Доверие между доменами реализуется с использованием криптографии с открытым ключом (часто просто сертификатов сервера TLS ) и метаданных, описывающих поставщиков. Использование передаваемой информации контролируется соглашениями. Федерации часто используются для упрощения этих отношений путем объединения большого количества поставщиков, которые соглашаются использовать общие правила и контракты.

Разработка

[ редактировать ]

Shibboleth имеет открытый исходный код и предоставляется по лицензии Apache 2. Многие расширения были предложены другими группами. [ нужна ссылка ]

Принятие

[ редактировать ]

Во многих странах мира были созданы федерации для создания трастовых структур для обмена информацией с использованием программного обеспечения SAML и Shibboleth. Многие крупные поставщики контента поддерживают доступ на основе Shibboleth.

В феврале 2006 года Объединенный комитет информационных систем (JISC) советов по финансированию высшего образования Англии, Шотландии, Уэльса и Северной Ирландии объявил, что он перейдет от афинской системы аутентификации к системе управления доступом, основанной на технологии Shibboleth. [6] С тех пор компания обновила свою позицию и поддерживает решение по федеративному управлению доступом, а не сам Shibboleth. [ нужна ссылка ]

См. также

[ редактировать ]
  1. ^ Поллак, Мишель (1 июля 2003 г.). «I2-News: Internet2 выпускает программное обеспечение для веб-авторизации, сохраняющее конфиденциальность» (список рассылки). Архивировано из оригинала 13 декабря 2012 г. Проверено 28 ноября 2007 г.
  2. ^ «Доступна Шибболет 2.0» .
  3. ^ Скаво, Том; Кантор, Скотт (8 июня 2005 г.). «Архитектура Шибболет: Технический обзор (Идентификатор документа: Draft-Mace-shibboleth-tech-overview-02)» (PDF) . Архивировано из оригинала 14 марта 2012 г. Проверено 2 октября 2017 г. {{cite web}}: CS1 maint: bot: исходный статус URL неизвестен ( ссылка )
  4. ^ «Архитектура Шибболета: протоколы и профили» (PDF) . 10 сентября 2005 г. Проверено 24 августа 2017 г.
  5. ^ Кантор, Скотт; Морган, Р.Л. «Боб»; Скаво, Том (10 сентября 2005 г.). «Архитектура Шибболет: Требования соответствия» (PDF) . Проверено 24 августа 2017 г.
  6. ^ «JISC объявляет о разработке новой системы управления доступом для Великобритании» . Объединенный комитет по информационным системам . Проверено 19 июля 2006 г.
[ редактировать ]
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 1366798168f50bdc6ef3b497b617408e__1716401520
URL1:https://arc.ask3.ru/arc/aa/13/8e/1366798168f50bdc6ef3b497b617408e.html
Заголовок, (Title) документа по адресу, URL1:
Shibboleth (software) - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)