Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze Následující verze Obě strany příští revize | ||
cs:about [2016/12/06 15:00] jop@cesnet.cz [Seznámení s federací identit] |
cs:about [2018/08/15 12:16] jop@cesnet.cz [Praktické vyzkoušení] odebrání Sociálních sítí, které stejně NEFUNGUJÍ |
||
---|---|---|---|
Řádek 14: | Řádek 14: | ||
Bez federativního přihlašování musí každá aplikace řešit oba předchozí kroky. Musí tedy mít databázi uživatelů, kteří jsou oprávněni k přístupu. Zde je kladen velký důraz na správnou a bezpečnou implementaci ukládání uživatelských údajů a zejména hesel. Dále je potřeba řešení problému spojeného se zapomenutím hesla a jeho následným obnovením. | Bez federativního přihlašování musí každá aplikace řešit oba předchozí kroky. Musí tedy mít databázi uživatelů, kteří jsou oprávněni k přístupu. Zde je kladen velký důraz na správnou a bezpečnou implementaci ukládání uživatelských údajů a zejména hesel. Dále je potřeba řešení problému spojeného se zapomenutím hesla a jeho následným obnovením. | ||
- | {{ :cs:internal:drafts:aai-no.png?direct |Klasický způsob přihlašování bez federace.}} | + | {{ :cs:aai-no.png?direct |Klasický způsob přihlašování bez federace.}} |
Uživatelé mají mít pro každou službu z důvodu bezpečnosti jiné heslo, mnohdy mají i jiné uživatelské jméno, což je v dnešní době s velkým množstvím různých služeb velmi náročné na zapamatování. Často proto dochází k použití jednoho hesla pro více služeb, což je bezpečnostní riziko v případě odcizení nebo uhádnutí hesla útočníkem. | Uživatelé mají mít pro každou službu z důvodu bezpečnosti jiné heslo, mnohdy mají i jiné uživatelské jméno, což je v dnešní době s velkým množstvím různých služeb velmi náročné na zapamatování. Často proto dochází k použití jednoho hesla pro více služeb, což je bezpečnostní riziko v případě odcizení nebo uhádnutí hesla útočníkem. | ||
Řádek 22: | Řádek 22: | ||
Federované přihlašování přináší výhody jak koncovým uživatelům, tak provozovatelům služeb. Zároveň tento koncept zvyšuje celkovou bezpečnost pro obě strany. | Federované přihlašování přináší výhody jak koncovým uživatelům, tak provozovatelům služeb. Zároveň tento koncept zvyšuje celkovou bezpečnost pro obě strany. | ||
- | {{ :cs:internal:drafts:aai-yes.png?direct |Moderní způsob přihlašování s federací identit.}} | + | {{ :cs:aai-yes.png?direct |Moderní způsob přihlašování s federací identit.}} |
=== Výhody pro provozovatele služeb === | === Výhody pro provozovatele služeb === | ||
Řádek 53: | Řádek 53: | ||
Chce-li uživatel využít nějakou službu, jde na odpovídající adresu služby (//krok 1//). Tam se mu po zvolení přihlášení zobrazí "rozcestník" WAYF (Where Are You From?) s výpisem organizací (//krok 2//), z něhož vybere svou domovskou organizaci a dojde k přesměrování na přihlašovací stránku dotyčné organizace (//krok 3//). Po zadání správného uživatelského jména a hesla je uživatel přesměrován zpět na službu jako přihlášený uživatel a může službu začít používat (//krok 4//). | Chce-li uživatel využít nějakou službu, jde na odpovídající adresu služby (//krok 1//). Tam se mu po zvolení přihlášení zobrazí "rozcestník" WAYF (Where Are You From?) s výpisem organizací (//krok 2//), z něhož vybere svou domovskou organizaci a dojde k přesměrování na přihlašovací stránku dotyčné organizace (//krok 3//). Po zadání správného uživatelského jména a hesla je uživatel přesměrován zpět na službu jako přihlášený uživatel a může službu začít používat (//krok 4//). | ||
- | {{ :cs:internal:drafts:aai-simple.png?direct |Princip přihlašování pomocí federace identit.}} | + | {{ :cs:aai-simple.png?direct |Princip přihlašování pomocí federace identit.}} |
==== Popis federace identit ==== | ==== Popis federace identit ==== | ||
Řádek 66: | Řádek 66: | ||
IdP je v organizaci napojená na uživatelskou databázi (např. LDAP nebo AD), kde jsou o uživatelích uloženy informace (nazýváme je atributy) jako křestní jméno, příjmení, e-mailová adresa apod. | IdP je v organizaci napojená na uživatelskou databázi (např. LDAP nebo AD), kde jsou o uživatelích uloženy informace (nazýváme je atributy) jako křestní jméno, příjmení, e-mailová adresa apod. | ||
- | {{ :cs:internal:drafts:federation.png?direct |Základní struktura federace identit.}} | + | {{ :cs:federation.png?direct |Základní struktura federace identit.}} |
Každá organizace může mít ve federaci identit: | Každá organizace může mít ve federaci identit: | ||
Řádek 89: | Řádek 89: | ||
- centralizované. | - centralizované. | ||
- | {{ :cs:internal:drafts:topology-full-mesh.png?direct |Architektura federace identit typu Full Mesh.}} | + | {{ :cs:topology-full-mesh.png?direct |Architektura federace identit typu Full Mesh.}} |
- | Česká akademická federace identit eduID.cz používá architekturu mesh. Znamená to, že každá entita musí mít informace (tzv. metadata) o ostatních entitách ve federaci identit. Jelikož nemá smysl, aby mezi komunikovaly entity stejného typu, stačí, aby SP měla informace o IdP a naopak, aby IdP měla informace o SP. | + | Česká akademická federace identit eduID.cz používá architekturu mesh. Znamená to, že každá entita musí mít informace (tzv. metadata) o ostatních entitách ve federaci identit. Jelikož nemá smysl, aby mezi sebou komunikovaly entity stejného typu, stačí, aby SP měla informace o IdP a naopak, aby IdP měla informace o SP. |
===== Praktické vyzkoušení ===== | ===== Praktické vyzkoušení ===== | ||
- | Jak funguje přihlášení pomocí federace identit si můžete vyzkoušet na portálu [[https://attributes.eduid.cz|attributes.eduid.cz]], který po úspěšném přihlášení vypíše seznam atributů a jejich hodnot, které obdržel od poskytovatele identit. Nemáte-li účet v žádné organizaci z české akademické federace identit [[:cs:index|eduID.cz]], můžete vyzkoušet přihlášení pomocí účtu v některé z následujících sociálních sítích, kde si případně můžete účet založit: | + | Jak funguje přihlášení pomocí federace identit si můžete vyzkoušet na portálu [[https://attributes.eduid.cz|attributes.eduid.cz]], který po úspěšném přihlášení vypíše seznam atributů a jejich hodnot, které obdržel od poskytovatele identit. Nemáte-li účet v žádné organizaci z české akademické federace identit [[:cs:index|eduID.cz]], můžete vyzkoušet přihlášení pomocí účtu v tzv. [[http://www.hostel.eduid.cz/|Hostelu]]. To je poskytovatel identity, kde je možné si vytvořit účet. Účet v Hostelu je možné takzvaně ověřit a získat přístup k více službám. //Uživatelům z organizací, které mají vlastní IdP ve federaci, silně __nedoporučujeme__ používat Hostel právě kvůli nutnosti periodického ověřování účtu.// |
- | + | ||
- | * Facebook, | + | |
- | * GitHub, | + | |
- | * Google, | + | |
- | * LinkedIn, | + | |
- | * mojeID, | + | |
- | * ORCID. | + | |
- | + | ||
- | K vyzkoušení je možné použít i poskytovatele identity nazvaného [[http://www.hostel.eduid.cz/|Hostel]], kde je možné si též vytvořit účet. Narozdíl od výše uvedených sociálních sítí je možné účet v Hostelu takzvaně ověřit a získat přístup k více službám. //Uživatelům z organizací, které mají vlastní IdP ve federaci, silně __nedoporučujeme__ používat Hostel právě kvůli nutnosti periodického ověřování účtu.// | + | |