• Keine Ergebnisse gefunden

Alternative AAI auf Basis von kurzlebigen Zertifikaten

N/A
N/A
Info
Herunterladen
Protected

Academic year: 2022

Aktie "Alternative AAI auf Basis von kurzlebigen Zertifikaten"

Copied!
1
0
0

Wird geladen.... (Jetzt Volltext ansehen)

Jetzt herunterladen ( 1 Seite )

Volltext

(1)

Formatvorlage des Untertitelmasters durch Klicken bearbeiten

C3-Grid

Konzept mit Portal Delegation und Autorisierung anhand SAML Assertions

1. Authentifizierung am Portal per Shibboleth.

2. Portal bezieht ein SLC vom DFN-SLCS.

3. Aus Campus- (und VOMS-) Attributen wird eine SAML Assertion zusammengestellt und durch das Portal signiert.

4. Proxy-Zertifikat wird abgeleitet (SAML Assertion wird dabei in Proxy integriert) 5. Proxy (+SAML) werden durch Scheduling und DMS an die RP weitergereicht.

6. Bei den RP: Autorisierungsentscheidung anhand der Informationen aus der SAML Assertion.

TextGrid

Portal Delegation mit Rechtesynchronisierung auf der Grid-Ressource

1+2. Authentifizierung über Shibboleth

3+4. Erzeugung der TextGrid SessionID (Security Token)

5-8. Bezug des SLC und Speicherung in der Autorisierungskomponente TG-auth*

9+10. Rückgabe der SID und Anfrage des Rich Clients am zentralen Dateioperations- Dienst TG-crud

11+12. Bezug des SLC von TG-auth* (alternativ MyProxy)

13. Verwendung des SLC durch TG-crud bei Grid-Operationen 14. Rechte- und Rolleninformation aus TG-auth*

werden regelmäßig auf Zugriffsrechte auf Dateiebene (POSIX ACLs) und UNIX- Gruppen abgebildet.

Wie kommen die SLCs ins Portal / Grid ?

SLC - Steckbrief

•Short lived credentials (SLC)

•Digitale X509 - Zertifikate

•Lebenszeit: max. 1 Million Sekunden (~11,5 Tage)

•DFN-SLCS (http://www.pki.dfn.de/slcs)

•Verwendet werden Proxy-Zertifikate

•Bezug per Java WebStart –Anwendung:

CredentialRetriever

•Keine Browser-Integration

•Akkreditierte und nicht akkreditierte Version

•Authentifizierung per Shibboleth

Website:

http://gap- slc.awi.de

Alternative AAI auf Basis von kurzlebigen Zertifikaten

Stefan Pinkernell1, Bernadette Fritzsch1, Stefan Funk2, Martin Haase2, Peter Gietz2

1.)Alfred-Wegener-Institut für Polar- und Meeresforschung 2.)DAASI International GmbH

Abb.1

Wie werden SLCs bei den Communities verwendet? Use Cases.

Abb.1: Portal Delegation

1. Portal-Aufruf generiert Schlüsselpaar und Cert- Request

2. Cert-Request wird gesendet, spätestens hier:

Shibboleth-Auth.

3. Zustimmung zu PortalDelgation (Token) 4. Zertifikat wird ausgestellt

5. Zertifikat wird an Web-Browser gesendet 6. Zertifikat wird an Portal weitergeleitet

Abb.2

Abb.2: Portal Delegation

1. Nutzer Login am shibbolisierten Portal a) Portalaufruf

b) Weiterleitung an den WAYF zur Auswahl der Heimateinrichtung

c) Weiterleitung an den Shib-IdP der Heimateinrichtung zur Authentifizierung d) Weiterleitung des authentifizierten Nutzers an das Portal

2. a) Portal generiert Schlüsselpaar sowie Zertifikat-Request und kontaktiert den DFN-SLCS b) Kurzlebiges Zertifikat (SLC) wird durch Online CA ausgestellt

3. Bezug der am VOMS hinterlegten VO-Attribute (Authentifizierung über das SLC)

4. Am Portal: Ausstellung einer neuen SAML Assertion mit den gesammelten Campus- und VO- Attributen, die in das vom SLC abgeleitete Proxy-Zertifikat eingebettet wird

5. Über das Portal können Grid-Jobs abgeschickt werden (abgesichert durch das Proxy Zertifikat) Achtung: Unverschlüsseltes Abspeichern von privaten Schlüsseln der Nutzer am Portal

nicht erlaubt. Diese werden während der Browser-Session im Speicher des Portals gehalten.

Referenzen

Jetzt herunterladen ( PDF - 1 Seite - 0.95 MB )

ÄHNLICHE DOKUMENTE

Anleitung Proxy-Einstellungen

1- Öffnen Sie Mozilla Firefox und klicken Sie auf dieses Zeichen (oben rechts) und wählen Sie Einstellungen aus.. 2- Klicken Sie auf Erweitert dann Netzwerk und

Anleitung Proxy-Einstellungen

Sollten dennoch Probleme oder Fragen auftreten rufen Sie uns bitte an unter der 0611-1665866 oder schicken eine E-Mail

Entwurfsmuster und Frameworks – Proxy

a placeholder object (proxy) that provides the same interface and that delegates operation calls to the actual subject.. I Applicability: Common reasons to hide a subject behind a

bwIDM : Föderieren auch nicht-webbasierter Dienste auf Basis von SAML

Im vorliegenden Papier wurden Anforderungen an f¨oderative Verfahren aufgestellt, die erf¨ullt werden m¨ussen, um auch diese Dienste einbinden zu k¨onnen. Moonshot, als ein

SAML Privacy-Enhancing Profile

The profile empowers users to take control over the authentication process and their personal data and provide detailed information of the participants and the authentication to

bwIDM: Föderieren auch nicht-webbasierter Dienste auf Basis von SAML

Dies wird aus technischen Gr¨unden auch in Zukunft nicht vermeidbar sein, jedoch lassen sich Dienst-lokale Konten durch FV vor einem Nutzer verbergen, indem das f¨oderative Konto

LIBYA’S PROXY BATTLEFIELD

Given the alliance of some Malian Tuareg clans with al-Qaida in the Islamic Maghreb (AQIM, an Algerian-origin group), there are frequent allegations of onward links to jihadist

Coercion-resistant Proxy Voting

Outside of these scenarios, the system provides vote secrecy, and with it coer- cion resistance for the voters under the same assumptions as the original scheme with k ≤ 1 3 n.