Sulinet+ Azonosítási és jogosultságkezelési pilot Sulinet eduID/eduroam oktatás Bajnok Kristóf NIIF Intézet
Bemutatkozás
A tanfolyamról ●
●
Elsődleges cél: a szövetségi (ún. föderatív) azonosítási rendszerek fogalmát bemutatni –
bizalomra épülő rendszer, a résztvevőknek felelősségük van
–
nem elsősorban informatikai kérdés!
Másodlagos cél: a pilot elképzelések bemutatása –
ez már technikai(bb)
Tartalom ●
(Bevezetés)
●
A pilotról nagy vonalakban
●
Föderatív azonosítás
●
Eduroam technikai részletek
●
eduID technikai részletek
Sulinet+ ●
Elsősorban hálózati eszközök cseréje –
●
Sulinet Dashboard –
●
az iskola szolgáltatásait egységes felületen lehessen kezelni
Kollaborációs mintarendszerek –
●
a nagyobb sávszélesség előfeltétele
videokonferencia, Videotorium, streaming
Azonosítási és jogosultságkezelési mintarendszerek
Pilot ●
A Pilot célja, hogy megvizsgáljuk, hogy a szövetségi azonosítás alkalmazható-e a köznevelés intézményei esetében –
kölcsönösen dolgoznunk kell benne
–
AP-támogatás
Tartalom ●
(Bevezetés)
●
A pilotról nagy vonalakban
●
Föderatív azonosítás
●
Eduroam technikai részletek
●
eduID technikai részletek
Ez a probléma:
Jelszavak, jelszavak, ... ●
Alkalmazásonként külön jelszavak –
–
nehezen használható ●
jelszó változtatás
●
sok jelszó
nem menedzselhető ●
●
új felhasználó hozzáadása kilépett felhasználó törlése
Hálózati szűrés? ●
Mobilitás –
●
ha otthonról szeretne dolgozni?
Biztonság –
ha valaki hálózati hozzáférést kap, akkor jogosult lesz a rendszereinket is használni?
–
feltört belső gép = ugródeszka
–
BYOD-mánia (saját tulajdonú eszközök használata)
Központi adatbázis kell, ámde... ●
Biztonság –
ha minden alkalmazás hozzáfér a központi adatbázishoz ● ●
●
access control nehéz egy alkalmazás jogaival az összes felhasználóhoz hozzáférhetünk
Kényelmetlen –
újból és újból megadni a jelszót
… nem elég ●
Külsős hozzáférés biztosítása –
biztonság ●
–
menedzsment ●
–
nem adunk-e több jogosultságot, mint szeretnénk? jelszóváltoztatás
felhasználó ●
még egy jelszó...
Föderatív azonosítás ●
●
Az oktatásban működő intézmények megbíznak egymás felhasználókezelési gyakorlatában Az intézmények fogadják el egymás felhasználóit azonosítottnak –
●
bizalmi szövetség = föderáció
Intézményen belül legyen elegendő egyetlen azonosítási pont –
mind a belső, mind a külső szolgáltatások számára
Föderatív alapelvek ●
●
Vendég felhasználók regisztrálása helyett bízzuk ezt olyan intézményre, aki ezt megteszi helyettünk. Csak olyan felhasználó lehet, akinek tisztázott a viszonya egy intézménnyel –
●
Tapasztalat: sok esetben ez elegendő ahhoz, hogy szolgáltatást adjunk –
●
viszony: dolgozó / tanár / tanuló / szülő …
vö. útlevél kontra vízum
Szabványos, biztonságos kommunikáció –
nincs központi elem
Szerepek ●
●
Identity Provider (IdP) –
azonosítja a felhasználót
–
megadja az azonosítás körülményeit és a felhasználó tulajdonságait (attribútumok)
Service Provider (SP) –
feldolgozza az IdP-től kapott információt
–
jogosultság-ellenőrzést végez az attribútumok alapján
Előnyök SP
IdP –
átláthatóvá teszi az adatkezelést
–
növeli a biztonságot ● ●
–
push modell egységes bejelentkező felület
szolgáltatások könnyen integrálhatók
–
csökkenti a felhasználóadminisztrációval kapcsolatos költségeket
–
nagy számú potenciális felhasználó
Felhasználó –
single sign-on
–
sok szolgáltatás egyszerűen elérhető
Felhasználási területek
- wifi - web
Felhasználási területek (példák) ●
Hálózati hozzáférés (eduroam)
●
Belső alkalmazások
●
E-learning –
●
●
Online könyvtári szolgáltatások –
adatbázis-hozzáférések
–
intézményi előfizetés
Projekt együttműködés –
●
pl. moodle
azonosított hozzáférés több iskola tanárainak
Kereskedelmi és non-profit szolgáltatók
Szövetségi azonosítás összefoglalva ●
Minél több szolgáltatáshoz minél kevesebb (lehetőleg egyetlen) jelszóval
●
Központi Nagy Testvér nélkül
●
Biztonságosan, átláthatóan
●
Bizalmi elv: „anyaintézménynél” történő azonosítás
Tartalom ●
(Bevezetés)
●
A pilotról nagy vonalakban
●
Föderatív azonosítás
●
Eduroam technikai részletek
●
eduID technikai részletek
Eduroam ●
● ●
●
Wifi hozzáférés biztosítása egyéni azonosítás alapján Vendégek = helyiek (!) Az engedélyezett felhasználók más intézmények eduroam hálózatát is használhatják, akár külföldön is „Csak felnyitom a gépem és máris online vagyok”
Saját felhasználók kezelése ●
Központi felület, integrálva a sulinetes központi levelezéssel –
●
●
közös felhasználónév és jelszó!
Engedélyezés: viszony megadásával –
pedagógus
–
tanuló
–
egyéb dolgozó
A viszony mezőt naprakészen kell tartani
Sulinet Wi-Fi ●
●
1-3 Cisco access point –
802.11abgn
–
közvetlenül a routerre kötve
SSID: eduroam –
●
opcionálisan saját is (PSK)
hálózat: külön privát címtartomány –
alapértelmezetten nincs átjárás a jelenlegi belső hálózathoz, de ez módosítható
●
Leírás: https://sulinet.niif.hu/eduroam
●
Kliens letölthető: https://cat.eduroam.org
eduroam – hogyan működik?
● ●
WPA2-Enterprise, EAP Védett, titkosított csatorna a kliens (supplicant) és az otthoni Radius szerver között –
a jelszót nem ismeri a meglátogatott intézmény
eduroam – biztonság? ●
●
●
A Sulinet+ eduroam pilotban a Radius szervereket az NIIFI üzemelteti Biztonsági incidens esetén a NIIFI tudja megmondani (pontos időbélyeg és portszám alapján), hogy –
ha más intézményből jött a támadó (feltört gép tulajdonosa), akkor honnan
–
ha a mi intézményünkből jött a támadó, akkor mi a felhasználói azonosítója
A bejelentett incidenseket az „otthoni intézménynek” kezelnie kell
EduID ●
Webes alkalmazások számára Single Sign-on
●
SAML2 szabványra épül
●
Pontosabb jogosultság-szabályozás –
●
akár viszonyra, akár egyes felhasználókra
Folyamatosan bővülő szolgáltatáslista –
Támogatás intézményi alkalmazások integrációjához
–
Szolgáltatók, kormányzati szervek bevonása