Vantagens e desvantagens de autenticao federada centralizada e distribuda

Servio Utilizador RCTS Janeiro de 2010

21 de Setembro de 2010

Vantagens e desvantagens de autenticao federada centralizada e distribuda

Servio Utilizador RCTS Setembro de 2010

EXT/2010/Servio Utilizador RCTS Nuno Gonalves e Esmeralda Cmara 21 de Setembro de 2010

NDICE

AUTENTICAO FEDERADA ........................................................................ 1 1.1 Enquadramento federao rctsaai ............................................................................. 1 1.2 fornecedor de identidade identity provider ............................................................. 1 AUTENTICAO CENTRALIZADA VS DISTRIBUIDA ..............................3 2.1 Autenticao Centralizada .............................................................................................. 3 2.1.1 Vantagens ......................................................................................................................... 3 2.1.2 Desvantagens ................................................................................................................... 4 2.2 Autenticao Distribuda ................................................................................................ 4 2.2.1 Vantagens ......................................................................................................................... 4 2.2.2 Desvantagens ................................................................................................................... 4 PONTOS DE CONTACTO ................................................................................5 BIBLIOGRAFIA ..................................................................................................6

3 4

RCTSAAI - REQUISITOS PARA FEDERAO DE SERVIO WEB

1
1.1

AUTENTICAO FEDERADA
ENQUADRAMENTO FEDERAO RCTSAAI

Uma federao consiste num grupo de organizaes que partilham um conjunto de polticas e regras, estabelecendo-se desta forma uma confiana com o objectivo de se atingir uma autenticao e autorizao entre os vrios domnios existentes. A federao RCTSaai (1) foi criada pela FCCN no mbito do servio Utilizador RCTS. Este projecto tem como objectivo a concepo de uma federao a nvel nacional para a utilizao de servios federados entre as instituies intervenientes. A FCCN para alm de coordenar as tarefas interinstitucionais fornece tambm servios tcnicos e de suporte para garantir a plena funcionalidade da federao. Um dos requisitos para a utilizao de servios federados a existncia de um componente de fornecimento de identidade numa instituio (Identity Provider). Este componente responsvel pela autenticao dos utilizadores na respectiva instituio de origem e pelo envio de informao associada ao utilizador com o objectivo de permitir o acesso aos servios federados.

1.2 FORNECEDOR PROVIDER

DE

IDENTIDADE

IDENTITY

No seio de uma federao assente numa infra-estrutura de autenticao e autorizao existem trs componentes essenciais: 1) O componente de autenticao (designado como Fornecedor de Identidade ou Identity Provider) consiste num conjunto de software que autentica os utilizadores perante pedidos efectuados a recursos protegidos (Fornecedor de Servio ou "Service Provider"), e fornece atributos com base em polticas para que possa ser efectuada uma autorizao no acesso ao servio inicialmente requisitado. 2) O componente fornecedor de servio consiste numa camada de software que protege e autoriza o acesso a um determinado recurso web. A Autorizao realizada com base nos atributos necessrios enviados pelo fornecedor de

Fundao para a Computao Cientfica Nacional|1

RCTSAAI - REQUISITOS PARA FEDERAO DE SERVIO WEB

identidade.

Caso

utilizador

no

esteja

devidamente

autenticado

automaticamente redireccionado para o servio de descoberta. 3) O componente WAYF (iniciais de "Where Are You From") tem como objectivo canalizar os utilizadores no autenticados para as respectivas instituies de origem que so apresentadas no browser utilizado. Aps a seleco por parte do utilizador da sua instituio este servio redirecciona o utilizador automaticamente para que possa ser efectuado o processo de autenticao.
Figura 1 - Componentes numa federao

Quando um utilizador requer o acesso a um servio Web federado, o fornecedor de servio ou Service Provider avalia o pedido e verifica se o utilizador j efectuou uma autenticao no fornecedor de identidade atravs da existncia de uma sesso vlida. Caso a sesso no exista o fornecedor de servio redirecciona o utilizador para o sistema de descoberta (WAYF), onde so apresentadas as instituies que pertencem federao RCTSaai. O utilizador selecciona a instituio onde pretende realizar a autenticao e automaticamente redireccionado para a sua instituio. Ao realizar a autenticao com as credenciais que habitualmente utiliza na instituio de origem o utilizador finalmente redireccionado para o servio, acompanhado de uma sesso vlida e de atributos que permitem realizar a respectiva autorizao no servio Web. Os atributos necessrios para cada servio so configurados no fornecedor de identidade de cada instituio permitindo que sejam enviados para o servio web (aps uma autenticao bem sucedida) utilizando o protocolo SAML2 (2), de uma forma segura recorrendo a uma infra-estrutura de PKI baseada em certificados SSL.

Fundao para a Computao Cientfica Nacional|2

RCTSAAI - REQUISITOS PARA FEDERAO DE SERVIO WEB

2 AUTENTICAO CENTRALIZADA VS DISTRIBUIDA

2.1 AUTENTICAO CENTRALIZADA

Num cenrio de autenticao centralizada, todos os utilizadores realizam o processo de autenticao num ponto singular bem conhecido independentemente do servio e da localizao do utilizador. Apenas um fornecedor de identidade num nico ponto, com acesso aos repositrios de informao dos utilizadores realiza este processo para todas as unidades orgnicas da instituio de forma centralizada.

Figura 2 - Autenticao centralizada utilizada no Instituto Politcnico de Leiria

2.1.1 VANTAGENS
Simplificao de gesto de infra-estrutura tcnica de autenticao; Rapidez na resoluo de problemas tcnicos; Diminuio da existncia de hardware/software de suporte ao sistema de autenticao; Diminuio na emisso e gesto de certificados SSL; Diminuio de possveis pontos de falha; Diminuio de possveis vulnerabilidades; Simplificao na utilizao para o utilizador final;

Fundao para a Computao Cientfica Nacional|3

RCTSAAI - REQUISITOS PARA FEDERAO DE SERVIO WEB

2.1.2 DESVANTAGENS
Arquitectura rgida na presena de polticas de segurana distintas; Obriga a possveis sincronismos de repositrios de atributos; Em caso de presena de vrios repositrios de atributos requer alteraes das polticas de segurana em vigor;

2.2

AUTENTICAO DISTRIBUDA

A implementao de um servio de autenticao distribudo delega para as vrias unidades orgnicas a responsabilidade de realizar a autenticao dos seus utilizadores. Esta arquitectura requer um sistema de descoberta para suportar a autenticao nos diversos fornecedores de identidade da instituio. Este servio adicional deve residir num ponto central onde devidamente parametrizado para reencaminhar os utilizadores.

Figura 3 - Autenticao distribuda

2.2.1 VANTAGENS
Flexibilidade na delegao de responsabilidade de autenticao; Permite o funcionamento do servio de autenticao em redes completamente heterogneas e fechadas;

2.2.2 DESVANTAGENS
Aumento de complexidade da arquitectura; Aumento de pontos de possveis falhas e vulnerabilidades; Aumento de consumo de recursos fsicos e humanos na gesto de infra-estruturas; Complexidade na usabilidade;

Fundao para a Computao Cientfica Nacional|4

RCTSAAI - REQUISITOS PARA FEDERAO DE SERVIO WEB

PONTOS DE CONTACTO

Para questes relacionadas com a federao RCTSaai ou na utilizao dos conceitos enunciados neste documento, envie uma mensagem de correio electrnico para rctsaai@fccn.pt.

Fundao para a Computao Cientfica Nacional|5

RCTSAAI - REQUISITOS PARA FEDERAO DE SERVIO WEB

BIBLIOGRAFIA

1. FCCN. Federao RCTSaai. [Online] http://rctsaai.fccn.pt. 2. OASIS. SAML2. [Online] http://www.oasisopen.org/committees/tc_home.php?wg_abbrev=security.

Fundao para a Computao Cientfica Nacional|6