ENGR 5770G : Service Computing / Winter 2013 Anwar Abdalbari - PowerPoint PPT Presentation

ENGR 5770G : Service Computing / Winter 2013 Anwar Abdalbari

Outline ¡  Introduction.  Identity Systems.  Analysis of Identity Systems.  Open Trust Frameworks.  Shibboleth Approach

What are we talking about? ¡ Authentication Authorization Who are you? What to do? Authentication Authorization is about securely is about what you identifying an actor are allowed to do. -- people, Login, read only, applications, etc. read/write, etc.

The ¡Ugly ¡Page ¡

Overview ¡  An Internet-scale identity system is an architecture that defines standardized mechanisms enabling the identity attributes of its users to be shared between applications and Web sites . ¡

Why ¡Iden3ty ¡Systems? ¡  A streamlined and optimized online experience for users.  More protection from identity theft.  Provide an automatic customization and personalization for users to configure their accounts.  A number of different technologies and standards initiatives are designed to deliver an Internet scale identity system . ¡

Terms ¡used ¡in ¡iden3ty ¡Systems ¡ Identity ¡Provider ¡(IDP) ¡ SP ¡which ¡creates, ¡maintains, ¡and ¡manages ¡identity ¡ ¡ information ¡for ¡users ¡and ¡provides ¡user ¡ authentication ¡on ¡behalf ¡of ¡other ¡SPs. ¡ Relying ¡Party/Service ¡ A ¡system ¡entity ¡that ¡decides ¡whether ¡or ¡not ¡to ¡ Provider ¡(RP/SP) ¡ take ¡an ¡action ¡based ¡on ¡information ¡provided ¡by ¡ another ¡system ¡entity ¡such ¡as ¡an ¡Identity ¡ Provider. ¡ User ¡ person ¡who ¡uses ¡an ¡information ¡system ¡and ¡its ¡ resources ¡for ¡any ¡purpose ¡ Active ¡Client ¡ A ¡smart ¡client ¡or ¡service ¡that ¡assists ¡the ¡user ¡in ¡ controlling ¡and ¡directing ¡identity ¡transactions. ¡ Selector ¡ An ¡active ¡client ¡using ¡the ¡information ¡card ¡metaphor ¡

Iden*ty ¡Systems ¡  SAML  Information Cards  OpenID  OAuth  SAML( Security Assertion Markup Language )  SAML is an XML standard for exchanging authentication and authorization data between entities.  SAML is a product of the OASIS Security Services Technical Committee.

SAML ¡Specifica*on ¡  Assertions : Authentication, Profiles Attribute and Authorization information  Protocol : Request and Response Bindings elements for packaging assertions. Protocol  Bindings : How SAML Protocols map onto standard messaging Assertions or communication protocols.  Profiles : Tie all the above into interoperable patterns for common use cases (e.g. Browser Single Sign On, Web Services Security, etc.)

Informa*on ¡Cards ¡  Information Card has a card-shaped picture and a card name associated with it that enable people to organize their digital identities and to easily select one they want to use for any given interaction.  At Web sites that support Information Cards, a user can authenticate using a previously established secret key rather than a password.  The Information Card metaphor is implemented by Identity Selectors like Windows CardSpace, DigitalMe or Higgins Identity Selector.

Example ¡of ¡Informa*on ¡Cards ¡

Example ¡Cont’d ¡

OpenID ¡ Open source, distributed authentication system  Simple and lightweight: identity is a URL  Fully decentralized and open platform  I want to log into example.com :  1. I type my OpenID URL into the login form on example.com 2. example.com redirects me (via my web-browser) to myopenid.com 3. I tell myopenid.com whether or not I trust example.com with my identity 4. I am redirected back to example.com and am automatically logged in

http://www.google.com/accounts/o8/id

What’s ¡behind? ¡ ¡

Ac3on?! ¡  Over 500 million OpenID-enabled Users  More than 25,000 websites

OAuth ¡(Open ¡Autheriza*on) ¡  OAuth 1.0a is an IETF standard that began as a delegation protocol built to allow users to granularly grant service and data access to external relying parties.  OAuth allows users to share their privtae resources (photos, videos, contact list) stored on one site with another site without having to hand out their user name and password.  A common usage of OAuth is the “OpenID/OAuth Hybrid Model” which combines an OpenID authentication (and possibly a registration) with a subsequent request for permission to consume ongoing services.

An ¡Iden*ty ¡Conversa*on ¡ user ¡ RP-­‑SP ¡ Hello, ¡I’d ¡like ¡Service ¡“A.” ¡ , ¡… ¡ ¡ ¡ e d o c ¡ p i Z ¡ d , r o w s s a P ¡ , e ¡ m a n r e s U ¡ ” X “ ¡ e t u b r i t t A y ¡ t i t n e d I e ¡ r i u q e r I ¡ H e r e ¡ i s ¡ I d e n t i t y ¡ A t t r i b u t e ¡ “ X . ” ¡ ¡ ” A . “ e ¡ c v i e r S ¡ i s ¡ e r e H

An ¡Improved ¡Conversa*on ¡ 1-­‑ ¡Hello, ¡I’d ¡like ¡Service ¡“A.” ¡ 4-­‑ ¡RP/SP ¡requires ¡Identity ¡ ¡ 2-­‑ Before A, I require Identity Attribute “X” Attribute ¡“X.” ¡ 3-­‑ ¡ ¡Which ¡IDPs ¡can ¡match ¡? ¡ IDPa ¡ User ¡ RP/SP ¡ 5-­‑ ¡ ¡ ¡Identity ¡Attribute ¡“X.” ¡ ¡6-­‑ ¡Here ¡is ¡Identity ¡Attribute ¡“X.” ¡ 7-­‑ ¡ Here ¡is ¡Service ¡“A.” ¡

Iden*ty ¡Type ¡  Identity systems use the exchange of certain types of identity attributes like unique user identifiers or more general attributes (such as email address, telephone number, user profile information, etc.) ¡ ¡ Identifiers ¡ SAML Allows for a variety of identifier types Information Allows for IDPs, either self-issued or a third party, to Cards issue a Private Personal Identifier (PPID) by which RP/ SPs can recognize the user for authentication. OpenID Default assumption is that users are identified by a personal URI. OAuth The service is identified rather than the user. An opaque one-time identifier is used to map between user accounts on each side.

Iden3fiers ¡Categories ¡  Global Identifier  All RP/SPs use the same identifier to refer to a given user. (SAML)  Pair-wise Pseudonyms  Pairs of providers establish and subsequently use unique identifiers for users. (SAML , OpenID 2.0, Information Cards)  One-time Identifier  Each time a user accesses an RP/SP they have a different identifier. (SAML , OAuth)

Authen*ca*on-­‑Iden*ty ¡Flow ¡  Single Sign-On: enables a user to authenticate to an IDP and then have their digital identity asserted by the IDP to RP/SPs, thereby enabling user access to resources at that RP/SP.  Front Channel Identity Flow : Identity information flows through the user-agent from IDP to RP/SP and thereby makes possible direct user mediation.  Back Channel Identity Flow : Identity information flows direct from IDP to RP/SP.

OpenID ¡Account ¡Registra*on, ¡Authen*ca*on ¡ and ¡SSO ¡with ¡OAuth ¡Service ¡Authoriza*on ¡

¡ ¡ ¡ Open ¡Trust ¡Frameworks ¡for ¡Open ¡ Government ¡

¡ ¡ Open ¡government ¡ ¡ ¡  Open government requires a way for citizens to easily and safely engage with government websites.  OpenID and Information Cards—fit this issue.  OpenID Foundation and the Information Card Foundation are working with the U.S. General Services administration to create open trust frameworks for their respective communities.  These frameworks will enable government websites to accept identity credentials from academic, non- profit and commercial identity providers that meet government standards .

The ¡Basic ¡“Trust ¡Triangle” ¡  The ¡user ¡has ¡a ¡direct ¡trust ¡relationship ¡with ¡both ¡the ¡ identity ¡service ¡provider ¡and ¡the ¡relying ¡party ¡  The ¡problem ¡is : ¡How ¡can ¡the ¡identity ¡service ¡provider ¡ and ¡relying ¡party ¡trust ¡each ¡other? ¡

A ¡MaEer ¡of ¡Trust ¡  Relying Parties (RP) must be able to trust that the Identity Provider can reliably provide accurate user data  Identity Providers (IDP) must be able to trust that the Relying Party is legitimate (i.e., not a hacker, phisher, etc.)  Direct RP-to-IDP agreements are a common solution, but are impossible to manage at Internet scale ¡

The ¡Open ¡Trust ¡Framework ¡  Jointly developed by the OpenID Foundation and the Information Card Foundation  Reflects our common interests in providing a trust framework adapted to open identity technologies – technologies that:  Are open standards  Operate at Internet scale  Support user-controlled identity management  Do not presume any pre-existing trust relationships between identity providers and relying parties