Analýza testovacího prostředí Shibboleth IdP pro potřeby CI VŠE – Václav Pleskač

Anotace:

Shibboleth je aplikace pro webový Single sign-on, která se zakládá na standardu SAML. Ten umožňuje přenášet bezpečnostní informace vyměňované při autentizaci a autorizaci. Single sign-on (SSO) je typ autentizace, kdy po prvním přihlášení je uživateli umožněn přístup k vícero službám bez potřeby vkládat znovu přihlašovací údaje. Ve webové aplikaci umožňuje SSO takzvaný Poskytovatel služby (SP), jehož protistranou je Poskytovatel identity (IdP), který provádí autentizaci uživatele a zásobuje službu daty, která jsou k autorizaci nutná.Technologie Shibboleth je hojně využívána jak v korporátním prostředí, tak na univerzitách. Vysoká škole ekonomická využívá Shibboleth k přihlašování na mnoho serverů. Tato bakalářská práce řeší problémy nedostatečné dokumentace Shibboleth IdP a chybějícího testovacího IdP prostředí v rámci VŠE, vůči kterému by mohly být ověřovány testované aplikace.Cílem práce je vysvětlit fungování technologie Shibboleth a standardu SAML, shromáždit požadavky Centra informatiky Vysoké školy ekonomické na testovací IdP prostředí a podle těchto požadavků navrhnout a implementovat testovací IdP server a ověřit jeho funkčnost. V práci provedená rešerše řeší problémy nedostatečné dokumentace -- jejím výsledkem je nový, komplexní zdroj informací o technologii Shibboleth. Požadavky na testovací IdP byly shromážděny metodou rozhovorů se čtyřmi správci SP a brainstormingem v rámci Oddělení systémové podpory VŠE. Byly získány následující požadavky: Server musí konfigurací IdP odpovídat již fungujícím IdP serverům, na serveru má být použit Shibboleth IdP verze 3.4, vůči serveru se lze ověřovat různými testovacími identitami, kterým je možné měnit role a atributy, poskytovatelé služeb mají možnost vytvářet identity dle svých přání, testovací IdP server bude mít vlastní web s popisem svých funkcí a s návody, databáze serveru se bude každý den obnovovat podle produkčního serveru, server bude využívat BTRFS Snapshots, bude založena testovací federace pro správu metadat, správci SP na požádání získají přístup do relevantních logů serveru a server má mít volnou politiku uvolňování atributů. Testovací IdP musí dále podle vytvořeného diagramu případů užití dokázat komunikovat s testovacím SP. Testovací uživatel musí získat přístup k chráněným zdrojům umístěným v aplikaci Poskytovatele služby přihlášením k Poskytovateli identity. K implementaci byly zvoleny požadavky na konfiguraci co nejpodobnější provozním IdP serverům, na použití poslední verze Shibboleth IdP, na vytvoření upravitelných testovacích identit a na využití technologie BTRFS Snapshots kvůli snadným obnovám systému. Zbytek požadavků bude implementován v následujících měsících během zkušebního provozu. Server byl se všemi potřebnými komponentami nainstalován a nakonfigurován -- byl nainstalován linuxový server distribuce Debian Stretch se souborovým systémem BTRFS, připraven webový server, Apache Tomcat servlet, LDAP server, Shibboleth IdP verze 3.4 a bylo zařízeno zálohování, monitorování a logování serveru. Byli vytvořeni tři testovací uživatelé -- po vzoru typického učitele, studenta a zaměstnance. Testování podle diagramu případů užití prokázalo, že testovací uživatel je ověřován Poskytovatelem identity a je mu umožněn přístup k aplikaci u Poskytovatele služby. Také bylo ověřeno vydání a úspěšné předání všech uživatelských atributů. Výsledkem je testovací IdP server, který byl po otestování zařazen do zkušebního provozu v rámci infrastruktury CI VŠE. …víceméně

Abstract:

Shibboleth is an application for web-based Single Sign-on based on SAML Standard. SAML allows for security information to be transferred during authentication and authorization. Singe Sign-on (SSO) is a type of authentication where, after first log in, user is allowed to access multiple services without the need of entering credentials again. In web applications SSO is enabled by so called Service Provider (SP), whose counterpart is Identity Provider (IdP), which authenticates users and supplies data used for authorization to SP. Shibboleth is widely used in corporate environment but also on universities. University of Economics uses Shibboleth for authentication on many of its servers. This bachelor thesis solves problems of unsatisfying documentation of Shibboleth IdP and also of missing IdP environment for testing on VŠE, against which could be tested applications evaluated.This thesis aims for explaining how Shibboleth and SAML works, gather requirements of Center of Informatics VŠE for test IdP environment and design, implement and test the new test IdP server.Research conducted in this thesis solved the problem of unsatisfying documentation -- its result is a new, complex source of information about Shibboleth technology. Requirements for test IdP were gathered by the Interview method with four SPs and by brainstorming in System Support Department of VŠE. Following requirements were gathered: Configuration of the test server must be as similar as possible with the production IdP servers, Shibboleth IdP of version 3.4.3 has to be used, testing identities has to be created for authentication against test IdP and those have to be modifiable, SPs have the option of creating identities at will, test IdP will have its own web page with description of its functions and with manuals, server database will be overwritten by a production database every day, server will use BTRFS Snapshots, identity federation id-test will be created for metadata management, SPs will gain access to relevant server logs (if they ask) and the test IdP will have a loose attribute policy. Test IdP will also, according to created Use Case diagram, be able to communicate with testing SP. Test user has to be able to gain access to a protected source placed in an application of SP by logging in to IdP. The requirements for configuration similar to the production IdP servers, for the use of the last version of Shibboleth IdP, for creation of modifiable test identities and for the use of BTRFS Snapshots technology were chosen to be implemented primarily. The remaining requirements will be implemented in the upcoming months during trial run of test IdP. …víceméně