1. Термины и сокращения 3 Общие положения 5



Дата02.01.2017
Размер1.22 Mb.
Просмотров154
Скачиваний0

Содержание



1.Термины и сокращения 3

2.Общие положения 5

3.Требования к клиенту для использования федеративной аутентификации 7

4.Требования к интегрируемому сервису 8

5.Регистрация информационного сервиса в каталоге сервисов 10

6.Авторизация пользователей 12

7.Техническая информация для настройки сервиса 13

8.Расширения 14

Планы развития инфраструктуры федеративной аутентификации 16

Приложение. Пример информации, необходимой для регистрации сервиса 17


  1. Термины и сокращения


УрФУ

Уральский федеральный университет имени первого Президента России Б.Н. Ельцина

Дирекция ИТ, Дирекция информационных технологий

Дирекция информационных технологий УрФУ

УИТИ

Управление информационно-телекоммуникационной инфраструктуры в Дирекции ИТ

Отдел базовых сервисов

Отдел базовых сервисов в УИТИ Дирекции ИТ

ПО

Программное обеспечение

ОС

Операционная система

Единый каталог, АД, AD, Active Directory

Каталог объектов Microsoft Active Directory. Включает в себя домен Active Directory «at.urfu.ru», лес Active Directory «at.urfu.ru», DNS-зону «at.urfu.ru» дочерние DNS-зоны в зоне «at.urfu.ru» и несколько обратных DNS-зон

КД, Контроллер домена

Сервера и контроллеры домена для AD на базе ОС Microsoft Windows Server 2008 R2 Service Pack 1 или более новой версии с установленным ПО Active Directory Services

Подразделение

Структурное подразделение УрФУ соответствующее принятой организационно-штатной структуре университета. В качестве Подразделения могут выступать управление, центр, отдел, институт, департамент, кафедра, лаборатория, сектор и т. п.

Сервисный администратор Active Directory

Сотрудник ОБС, назначенный в соответствии с регламентом администрирования единого каталога пользователей и обеспечивающий работоспособность Active Directory как сервиса, предоставляемого подразделениям.

Администратор подразделения

Назначенный в соответствии с регламентом администрирования, администратор в Active Directory, использующий Active Directory в целях, необходимых подразделению.

Пользователь

Пользователь информационной инфраструктуры и сервисов УрФУ. Включает в себя сотрудников, студентов, аспирантов, докторантов, контрагентов и иные типы пользователей.

Учетная запись

Учетная запись пользователя в едином каталоге пользователей AT.URFU.RU. включает Имя учётной записи, Пароль и ряд других атрибутов.

Информационная система, сервис, приложение

Набор программного, аппаратного и иного обеспечения, функционирующий на базе информационной инфраструктуры УрФУ работающий в комплексе и предоставляющий информационные услуги.

SSO, технология единого входа

Single Sign-On - механизм единого входа в систему или в приложение, принцип работы которого состоит в распознавании любого интерфейса процесса аутентификации и автоматического заполнения формы ввода пароля для каждого корпоративного приложения.

Аутентификация

Процедура проверки подлинности пользователя путём сравнения введённого им пароля с паролем в базе данных пользователей.

Федеративная аутентификация

Комплекс технологий и соответствующая инфраструктура, которые позволяют использовать единое имя пользователя и/или его мандат/сертификат идентификации для доступа в сетях, которые установили между собой доверительные отношения и входят в ассоциацию безопасности, обычно называемую "федерацией".

Авторизация

Предоставление пользователю прав доступа к информационным ресурсам и прав на выполнение определённых действий в едином каталоге пользователей.


  1. Общие положения


    1. Целью настоящего Регламента является описание порядка и методов интеграции разрабатываемых и внедряемых в университете информационных сервисов с инфраструктурой федеративной аутентификации.

    2. Регламент определяет правила интеграции информационных сервисов с инфраструктурой федеративной аутентификации для администраторов подразделений и разработчиков информационных сервисов УрФУ.

    3. Данный регламент является дополнением к регламенту интеграции информационных сервисов с единым каталогом AT.URFU.RU и регламенту администрирования единого каталога пользователей AT.URFU.RU.

    4. Инфраструктура федеративной аутентификации основана на базе возможностей операционной системы Windows Server 2012 R2 и службы федерации Active Directory Federation Services (ADFS 3,0).

    5. Интеграция информационного сервиса с инфраструктурой федеративной аутентификации позволяет обеспечить следующие преимущества:

      • Аутентификацию пользователей;

      • Авторизацию пользователей;

      • Получение иных данных о пользователях из информационных систем (в том числе из единого каталога пользователей Active Directory «AT.URFU.RU») унифицированным способом;

      • Упрощенный вариант интеграции с единым каталогом пользователей Active Directory «AT.URFU.RU» с повышенной доступностью;

      • Обеспечение технологии единого входа в систему (SSO) для пользователей сервиса;

      • Внесение сервиса в единый каталог ИТ-сервисов с отображением сервисов, которые доступны пользователю лично;

      • Упрощение доступа пользователей к сервису (дополнительные варианты аутентификации, возможность смены пароля перед первым входом, простой смены пароля и восстановления пароля, получения и разблокировки учетной записи).

    1. Порядок интеграции информационного сервиса с инфраструктурой федеративной аутентификации и общий план интеграции сервиса соответствует разделам описанных в регламенте интеграции информационных сервисов с единым каталогом «AT.URFU.RU».
  1. Требования к клиенту для использования федеративной аутентификации


    1. Пользователь (или приложение) должен иметь учетную запись в едином каталоге «at.urfu.ru».

    2. На клиентском компьютере необходима поддержка протокола TLS (Transport Layer Security) v1, расширения данного протокола Server Name Indication (SNI), а также алгоритма симметричного шифрования AES256.

    3. JavaScript должен быть включен в используемом браузере.

    4. Cookies должны быть включены в используемом браузере.

    5. На клиентском компьютере должен быть доступ по tcp-портам 443 и 49443 ко всем серверам, разрешаемым DNS-имени «sts.urfu.ru».

    6. Для автоматического использования учетных данных пользователя единого каталога «AT.URFU.RU», под которым был выполнен вход в ОС Windows, на серверах федеративной аутентификации используемый браузер должен поддерживать такой функционал и иметь возможность изменения User Agent.


  1. Требования к интегрируемому сервису


    1. Инфраструктура федеративной аутентификации поддерживает использование следующих протоколов и их профилей для интеграции с информационными сервисами:

  • WS-Federation;

  • WS-Trust;

  • SAML 2.0 с профилями IDPLite, SPLite & eGov1.5;

  • OAuth 2.0 Authorization Grant Profile (только Authorization Code Flow).

    1. Информационный сервис должен быть опубликован по DNS-имени в домене «urfu.ru», «at.urfu.ru», либо в поддоменах «*.urfu.ru». Интеграция информационных сервисов, опубликованных по IP-адресу не поддерживается.

    2. На сервисе должна быть поддержка протокола HTTPS для клиентского доступа и федеративной аутентификации, а также должен быть установлен один из следующих сертификатов:

    1. Для настройки и использования DNS-имен в корпоративной сети УрФУ, а также получения SSL-сертификатов администраторы подразделений могут воспользоваться соответствующими инструкциями, которые они могут получить у сервисных администраторов.

    2. Сервис должен использовать безопасный алгоритм хеширования SHA256 для проверки подписи и проверки токенов.

    3. Сертификат для подписи токенов будет периодически обновляться. Администраторы сервисов в течение 12-х дней должны настраивать обновленный сертификат на сервисе, либо получать обновленный сертификат автоматически через метаданные сервиса федеративной аутентификации.

    4. При использовании протокола OAuth не поддерживается API ClientSecret. С примером реализации протокола OAuth для инфраструктуры ADFS можно ознакомиться по адресу «https://github.com/nordvall/TokenClient/wiki/OAuth-2-Authorization-Code-grant-in-ADFS».

    5. Утверждения (Claim) на основе которых выполняется авторизация и которые могут быть переданы сервису могут получаться на основе простых правил из следующих хранилищ информации:

  • единого каталога пользователей AT.URFU.RU (на основе атрибутов или членства в группах безопасности);

  • дополнительных каталогов LDAP (предоставляются администратором подразделения);

  • баз данных Microsoft SQL Server (предоставляются администратором подразделения);

  • утверждения (Claim), полученные от подключенных Identity Provider;

  • утверждения (Claim), полученные от сервиса (администратору подразделения необходимо предоставить сертификат для подписи токенов).


  1. Регистрация информационного сервиса в каталоге сервисов


    1. Администратор сервиса должен предоставить в ОБС следующую информацию для регистрации сервиса в каталоге сервисов:

  • Название сервиса на русском и английском языке;

  • Список возможных каталогов пользователей (без отдельной разработки интеграционных компонент поддерживается только Active Directory «AT.URFU.RU»);

  • Используемые приложением протоколы федеративной аутентификации (SAML 2.0, WS-Federation Passive, WS-Trust, oAuth);

  • URN сервиса (AudienceUri, а формате «urn:*» и дополнительно в виде «https?://*.urfu.ru»). Для OAuth URN зависит от структуры виртуальных каталогов приложения и DNS-имени и должен совпадать с ClientId и RedirectUrl;

  • (для протокола WS-Federation) WS Federation Passive Protocol URL;

  • (для протокола SAML 2.0) Service URL (Trusted URL) и Response Logout URL;

  • Federation Metadata (при наличии);

  • Сертификат для подписи запросов от сервиса (в случае, описанном в разделе 4.9);

  • Сертификат для шифрования исходящих токенов (в случаях, описанных в разделе 5.2);

  • Список требуемых входящих утверждений (Claim) и их типов. При передаче стандартных утверждений (логин, email и т.д.) должны использоваться стандартные типы утверждений (Claim);

  • Список правил авторизации пользователей (для выдачи токенов пользователю);

  • Сообщение о невозможности авторизации пользователя (отказ в доступе) к данному сервису. Сообщение предоставляется в виде текста или в формате HTML с возможными тегами «br», «a» и «p», длинной не более 300 символов (опционально).

    1. Если список входящих утверждений содержит персональные данные, то должно использоваться шифрование токена, и администратор сервиса должен предоставить сертификат для шифрования токенов.

    2. Администратору рекомендуется проверить работоспособность интеграции сервиса с произвольной инстанцией Active Directory Federation Services 3.0 до интеграции с продуктивной федеративной аутентификацией УрФУ. Тесты возможно проводить на тестовой инстанции федеративной аутентификации УрФУ.

    3. В некоторых случаях может потребоваться дополнительная информация о сервисе:

  • URL с описанием сервиса;

  • URL с файлом помощи или инструкцией;

  • Методы проверки работоспособности сервисов;

  • Дополнительные хранилища атрибутов;

  • Дополнительные ссылки и информация.

    1. После получения от администратора подразделения (сервиса) необходимой информации сервисный администратор ОБС выполняет следующие действия:

  • Вносит информацию о сервисе в каталог сервисов;

  • Производит настройку инфраструктуры федеративной аутентификации для интеграции сервиса;

  • Присылает администратору подразделения публичный сертификат федеративной аутентификации для подписи и шифрования токенов.


  1. Авторизация пользователей


    1. Следует выполнять авторизацию доступа пользователей к сервису на серверах федеративной аутентификации.

    2. Правила авторизации пользователей в интегрируемых сервисах строятся на основе утверждений (Claim), которые могут быть получены из источников данных, описанных в разделе 4.10 настоящего регламента.

    3. В числе прочих администратор подразделения может использовать следующие правила авторизации пользователей в сервисе:

  • Все пользователи имеют доступ к сервису;

  • Доступ к сервису имеют только пользователи определенного каталога пользователей;

  • Доступ к сервису имеют пользователи определенной группы безопасности в едином каталоге пользователей (администратору подразделения необходимо создать соответствующую группу доступа к ресурсам в Active Directory);

  • Доступ к сервису имеют пользователи с фиксированными значениями определенных атрибутов в Active Directory (администратору подразделения необходимо определить имена и значения атрибутов);

  • Доступ к сервису имеют пользователи с определенными значениями определенных утверждений (Claim).

    1. При невозможности авторизации пользователя ему выводится сообщение об отказе в доступе к сервису со стандартным сообщением об ошибке или кастомизированным сообщением для конкретного сервиса.


  1. Техническая информация для настройки сервиса


Для настройки интеграции информационного сервиса с инфраструктурой федеративной аутентификации необходимо использовать следующие значения технических параметров:

Параметр

Значение

DNS-имя сервера федеративной аутентификации

sts.urfu.ru

URL c метаданными типа Federation Metadata

https://sts.urfu.ru/FederationMetadata/2007-06/FederationMetadata.xml

URL c метаданными типа WS-MEX

https://sts.urfu.ru/adfs/services/trust/mex

URL с метаданными типа ADFS 1.0

https://sts.urfu.ru/adfs/fs/federationserverservice.asmx

Корневой URL для протокола SAML 2.0 и WS-Federation

https://sts.urfu.ru/adfs/ls

Корневой URL для протокола OAuth

https://sts.urfu.ru/adfs/OAuth2

Отпечаток (thumbprint) сертификата типа token signing на 22.07.2015

75B8FF54D6997CA819246B360F3FA44CE340978D

Издатель (Issuer) сертификата типа token signing, Federation Service Identifier

http://sts.urfu.ru/adfs/services/trust


  1. Расширения


Возможно систему расширить с помощью дополнительных Identity Provider (например, для аутентификации через facebook), либо подключением дополнительных хранилищ атрибутов для формирования утверждений (Claim) и выполнения авторизации.

Требования к дополнительным хранилищам атрибутов:



  • Microsoft SQL Server 2012 с Windows аутентификацией;

  • LDAP с Windows-аутентификацией;

  • Хранилище должно содержать уникальный идентификатор пользователя из единого каталога пользователей Active Directory AT.URFU.RU.

Если администратору сервиса требуется аутентификация пользователей в каталогах пользователей других организаций (т.е. помимо единого каталога Active Directory «at.urfu.ru»), то необходима разработка шлюза или коннектора федеративной аутентификации для данного каталога пользователей (например, шлюз oAuth-SAML для аутентификации пользователей через vk.com). Интеграция дополнительных каталогов пользователей возможна только для каталогов других организаций (не УрФУ). В качестве каталога пользователей УрФУ поддерживаются только единый каталог пользователей Active Directory «AT.URFU.RU».

Требования к подключаемому Identity Provider:



  • Использование веб-интерфейса пользователя;

  • Поддержка протоколов федеративной аутентификации SAML 2.0 WebSSO или WS-Federation Passive;

  • Поддержка сертификата для подписи токенов с протоколами RSA (2048-битный ключ или выше) и SHA256;

  • Использование протокола https для работы пользователей и протоколов федеративной аутентификации. На сервере должен быть установлен один из следующих сертификатов:

    • Сертификат, подписанный публичным доверенным центром сертификации (например, GeoTrust);

    • Сертификат из внутреннего центра сертификации УрФУ (https://ca.urfu.ru , http://dit.urfu.ru/instrukcii/kornevoi-sertifikat-urfuru/).

Планы развития инфраструктуры федеративной аутентификации


В рамках развития инфраструктуры федеративной аутентификации к концу 2016-го года планируется поддержка следующие протоколов и возможностей:

  • Поддержка OpenID Connect;

  • Поддержка OAuth с поддержкой дополнительных профилей, OBO (OnBehalfOf), ID Token и Confidential Client.


Приложение. Пример информации, необходимой для регистрации сервиса


  • Название сервиса (на двух языках): «Dreamspark»;

  • Список возможных каталогов пользователей: единый каталог пользователей Active Directory «AT.URFU.RU»;

  • Используемые приложением протоколы федеративной аутентификации: WS-Federation Passive;

  • URN сервиса: «https://dreamspark.urfu.ru»;

  • WS Federation Passive Protocol URL: «https://dreamspark.urfu.ru»;

  • Список требуемых входящих утверждений (Claim): EmailAddress, User Principal Name as Name, GivenName, Surname;

  • Список правил авторизации пользователей: члены группы безопасности «DIT OBS Dreamspark Access»;

  • URL с описанием сервиса: «http://dit.urfu.ru/servisy/dreamspark/»;

  • Методы проверки работоспособности сервисов: сервер dreamspark.urfu.ru доступен по сети.



Поделитесь с Вашими друзьями:


База данных защищена авторским правом ©nethash.ru 2017
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал