Federation och SAML

Federation och SAML

Bakgrund till Federation

För ca 100 år sedan började företag köpa elektricitet från elnätet istället för att producera elektricitet själva. Anledningen till denna förflyttning var att företagen erhöll högre kvalitet, bättre kapacitet till ett lägre pris.

För ca 20 år sedan började företag att använda Internet för att elektroniskt kommunicera med samarbetspartners, kunder och leverantörer.
Nu kommer nästa stora händelse i utvecklingen – Vi flyttar gränsen för tillgängligheten på våra system – tidigare var dessa interna, nu nyttjar våra samarbetspartners samma resurser som vi själva eller så nyttjar vi Internettjänster eftersom det erbjuder bättre pris/prestanda. “Molnet” har blivit ett begrepp för IT tjänster som levereras likt “två hål i väggen”, och antingen så levererar vi en gemensam webbaserad tjänst för anställda och samarbetspartners, ett sk “privat moln”, eller så nyttjar vi en SaaS tjänst i det publika molnet.

Grunderna

Många organisationer har byggt sitt IT stöd med datorer kopplade via interna nätverk mot de egna servrarna i domänerna. Dessa interna miljöer har blivit isolerade öar där det krävts mycket manuellt arbete för att kommunicera med omvärlden. Och för varje resurs som ska vara nåbar utanför den egna domänen har det krävts manuell hantering av nyuppläggning/borttag mm av användare. Se fig 1.

Ett sätt att lösa denna utmaning är att sätta upp en federationslösning, t.ex baserad på de-facto standarden SAML 2.0. En federation är jämförbar med en överenskommelse där olika tjänster (webbaserade applikationer) förlitar sig på en eller flera separata autentiseringstjänster. Ett mervärde för denna lösning är Single Sign-on för alla användare inom federationen. Dvs en användare inom federationen kan autentisera t.ex. i det egna nätverket och genom denna inloggning erhålla en automatisk inloggning mot andra tjänster inom federationen.

Men fortfarande kräver de flesta tjänster att det finns ett användarkonto i tjänsten. För att lösa detta tillämpas automatiserad användarsynkronisering (User Provisioning). Detta innebär ett en organisation kan administrera sina användarkonton på vanligt sätt i sitt Active Directory och därifrån sker sedan en automatisk synkronisering av relevant information till tjänsten utan manuellt arbete.

Bygget av broar mellan de isolerade öarna sker alltså genom att sätta upp en federationslösning. Och för att minska användaradministrationen synkroniseras kontoinformation automatiskt genom sk användar- provisionering.

Lösning utan Federation

Figur 1 - Utan Federation och Användar-provisionering

SAML

Vad är SAML?

SAML 2.0 är ett standardprotokoll baserat på XML. Den största fördelen med SAML är att man erhåller Single Sign-On (SSO) mellan alla web applikationer inom en SAML federation. Den första versionen av SAML kom ut redan 2001 och är idag den mest utbredda standarden för lösningar kring federerade identiteter.

Grunderna i SAML

SAML definierar två grundläggande roller: Identity Provider och Service Provider. Identity Provider lagrar all information om användarkonton och lösenord och dess roll är att autentisera användare och utfärda en så kallad “SAML biljett” som visar att användaren är inloggad. Service Providern är den som levererar en tjänst (ex. SaaS) och Service Providern kontrollerar biljetten och ger därmed användaren tillbörlig access till tjänsten.

SAML 2.0 Översikt och Beskrivning

Figur 2 - SAML processen

1. Användaren går till tjänsten, benämnd Service Providern enligt SAML
2. Service Providern kontrollerar om användaren har en SAML biljett. Om inte:
3. Användaren blir omdirigerad till den Identity Provider som användaren tillhör
4. Identity Providern autentiserar användaren
5. Identity Providern skapar en SAML biljett
6. Användaren blir omdirigerad till Service Providern
7. Service Providern verifierar SAML biljetten
8. Service Providern ger användaren relevant access till tjänsten

SAML Federation och Användar-provisionering

Federation enligt SAML standarden

En federation är en överenkommelse mellan en Service Provider och en Identity Provider. En Identity Provider kan hantera flera Service Providers och då upplever användaren en Single Sign-On mellan de olika applikationer som levereras av Service Providers. Eller enklare utryckt, användaren loggar bara in en gång men får access till alla tjänster som användaren har behörighet till.

Användar-provisionering

Generellt så hanteras alla användarkonton i Identity Providern och inte hos Service Providern. Men eftersom de flesta applikationer (Service Providers) kräver ett användarkonto för att tillhandahålla rätt tjänst (ex epost genom Google Apps). För att lösa detta så används Användar-provisionering, där kontoinformation om användare synkroniseras från Identity Providern till Service Providern.

Lösning med Federation och Provisionering

Figur 3 - Federation och Användar-provisionering

Vilka är fördelarna?

Ett exempel: Ett företag har tio olika IT system, några interna och några utanför företagsdomänen varav ett par är “moln-applikationer” (SaaS). Företagets IT avdelning administrerar användarna manuellt i de olika systemen.

Användarna är frustrerade över att behöva använda olika användarnamn och lösenord i alla olika system. En nyanställd får inte access till de olika systemen förrän efter flera dagar.

Med en lösning baserad på SAML Federation administreras alla användare i ett system, och användaren behöver endast en inloggning för att få åtkomst till relevanta system. Detta frigör tid för Servicedesk då de avlastas från kontohanteringsfrågor såsom glömda lösenord och systemägare kan fokusera på underhåll av applikationen istället för användaradministration. Slutligen så erhåller användaren single sign-on mot relevanta system och slipper memorera olika inloggningsuppgifter.

Slutsats

Federation av identiteter är grundstenen för att en organisation skall kunna ta nästa steg och maximera fördelarna med molntjänster. En federationslösning innehåller de funktioner som krävs för att:
- Slippa onödig användaradministration
- Eliminera kravet på att användarna ska behöva hantera många inloggningsuppgifter genom Single Sign-On
- Kunna tillföra säkrare inloggning och minska därmed risken från obehörig åtkomst

Läs mer om Nordic Edge produkter för Federation och Moln-tjänster på Nordic Edge Opacus sida www.nordicedge.se/opacus

 

 

  •