saml sp - vaikeat käyttotapaukset, haka - virtu päivä 3.2.2010
DESCRIPTION
Esitys käsittelee HAKA tai Virtu -luottamusverkkojen SP-toteutusten haasteita lähinnä kun federoitujen identiteettien lisäksi on paikallisia käyttäjiä (Finnish).TRANSCRIPT
Kim Westerlund johtava konsultti, Nixu
Federoinnin vaikeat käyttötapaukset
palveluntarjoajille (SP)
© Nixu 2010
We must defend the Customer from risks, but purely defensive approach may prevent us from
seeing opportuni:es.
Nixun taustaa Useita WebSSO + SAML -projekteja julkishallinnossa ja
suuryrityksille Projektit ovat usein muuta kuin suoraviivaisia SAML-
integraatioprojekteja Nixulla on käyttöönottoon keskittyvä menetelmä, koska
tekniikka on liian helppoa (johtaa).
© Nixu 2010
SARA apurahahakemuspalvelu tutkijoille
>7 000 käy9äjää
60%‐70% ‐käy9äjiä
KTJ selainAetopalvelu kunnille, viranomaisille, kiinteistöväli9äjille ja luotonantajille
>10 000 käy9äjää
Paljon ‐käy9äjiä
SP:n tulee tunnistaa käyttötapaukset
© Nixu 2010
Yhdistä paikalliseen tunnukseen
Koskee vain paikallisia
Koskee vain federoituja käyttäjiä
Koskee molempia käyttötapauksia
Federoitu tunnus Pääkäyttäjä
Sisäinen käyttäjä
Paikallinen tunnus
Kirjautuminen
SSO
Logout
Rekisteröityminen
Käy9övaltuus‐hallinta
Tilin luominen
Ongelmanhallinta
Palauta unohtunut salasana
Vaihda salasana
Omien k.Aetojen hallinta
Yhdiste9yjen Alien hallinta
Esimerkki Akatemian SARA-SP:n suunnittelusta
© Nixu 2010
Muistilista SP:lle Onko järjestelmässä paikallinen tili tai profiili? Luodaanko käyttäjä automaattisesti? Miten tili poistuu kun käyttäjältä poistuu syy käyttää järjestelmää?
Miten paikallisten tilien yhdistäminen hoidetaan? Mitä tehdään yhdistetyn tilin paikalliselle salasanalle? Säilyykö tili organisaatiovaihdon yhteydessä? Miten omat käyttäjät tunnistetaan? Entä pääkäyttäjät?
Valitse tunnistustasot – hyväksytäänkö weak kaikkiin toimintoihin? Miten tarkistetaan että virtuHomeOrganization vastaa IdP:n organisaatiota Mihin palvelun käyttövaltuudet perustuvat? Mitä tietoja (attribuutteja) palvelu tarvitsee esim. tilin provisiointiin?
Miten hoidetaan käyttäjän hätäpoisto/-muokkaus? Miten hoidetaan valvonta ja end-to-end ongelmanselvitys? …
© Nixu 2010
h9p://www.csc.fi/sivut/virtu/tekniikka/ohjeet_ja_suositukset/sp‐kay9oono9osuunnitelma.pdf h9p://www.csc.fi/sivut/virtu/tekniikka/ohjeet_ja_suositukset/idp‐kay9oono9osuunnitelma.pdf
Miten Nixu voi auttaa liittymään luottamusverkkoon? Poistamalla yllätykset!
© Nixu 2010
• Käy9ötapaukset • VaaAmusmääri9ely • [Prosessikartoitus] • Tietoturvatason määri9ely
Esiselvitys
• Tarjouspyyntö (valmistohjelmisto tai palvelu) • VaaAmustenmukaisuuden arvioinA • Sopimusneuvotelut Hankinta
• Ke9erä tekninen toteutus • [Uusien prosessien määri9ely] • Testaus eri IdP/SP –tahojen kanssa • Tietoturva‐auditoinA
Toteutus
• Palvelun rekisteröinA CSC:lle/VIP:lle • 2 kk:n pilo` • Käy9öönoton suunni9elu • Ratkaisutuki jatkuvana palveluna
Käy9ööno9o
Nixu kumppanina Pohjoismaiden suurin tietoturvan
asiantuntijapalveluyritys – 80 henkeä Perustettu 1988, liikevaihto > 8 M€ Sertifioitu maksukorttitietoturvan (PCI DSS)
auditoija Tuotteistetut menetelmät ja jatkuva kehitys n. 100 asiakasta yli 200 projektissa vuonna 2008 95 % asiakkaistamme on valmis suosittelemaan
kollegalleen (kevät ’09) www.nixu.fi
2/4/10 © Nixu 2009
Nixun palvelualueet
Feb-4-10 © Nixu 2009
Develop kehi+ää
Advise ohjeistaa
Build rakentaa
Inspect tarkastaa
• Tietoturvastrategia • Riskienhallinta • Jatkuvuussuunnittelu • Tietoturvapolitiikat ja ohjeistot • Tietoturvakulttuurin luonti ja jalkautus • Vaatimustenmukaisuus
• Identiteetinhallinnan konsultointi ja toteutus • Pääsynhallinta • PKI kehitys • Lokienhallinnan konsultointi • Turva-arkkitehtuuri
• PCI DSS auditoinnit • Tietoturva-auditoinnit • Verkon murtotestaus • Web-sovellusten murtotestaus • Forensiikka • Testausautomaatio
• Turvallinen ohjelmistokehitys • Linux/embedded ohjelmistokehitys • Secure SDLC