中科院高能物理所马兰馨2015.8.20.ppt

中科院高能物理所 马兰馨 2015.8.20 Indico 统一认证的实现 目 录 Indico 简介 为什么加入统一认证 高能所基于Shibboleth统一认证介绍 Indico 连接统一认证 Indico 简介 Indico (Integrated Digital Conferencing) 会议管理系统 西欧核子中心(Conseil Européen pour la Recherche Nucléaire ，The European Organization for Nuclear Research，CERN) 开发 开源，基于Python,ZODB数据库，Apache, WSGI,… 组织不同复杂程度的会议：lecture,meeting,workshop,conference 功能： 注册 提交、审核摘要 提交、审核文章 存储会议资料 安排会议日程 Web界面，操作方便 高能所的Indico管理的会议：4000+ 为什么 Indico 要加入统一认证 背景 每个应用都有自己的认证系统 Indico 也一样，具有自己的认证系统 用户不便于记忆 管理员不便于管理 加入统一认证的优点 用户使用单一的用户名和口令 简单、方便 便于管理 目标：逐一的把应用加入到统一认证 高能所基于 Shibboleth 统一认证系统 Shibboleth (A Web-based Single Sign On, SSO) 美国 Internet2 高级网络联盟/MACE（Moddleware Architecture Committee for Education）小组的一个项目 其目的是开发一个基于标准(主要是SAML和 XML Schema)的体系结构和策略框架及一套开放源代码软件，以用于支持机构间的、需要存取控制的Web资源共享的单点登录系统。 安全断言标记语言 SAML(Security Assertion Markup Language ) XML即可扩展标记语言(eXtensible Markup Language) 为什么选择 Shibboleth 用户只需记住一个username/password 用户管理简单、集中 安全地访问第三方服务 跨组织、联盟 使机构选择自己的身份验证技术 使服务提供者可以控制其被访问的资源 整合不同的第三方服务 系统组件 IdP (Identify Provider) 主要负责提供各种凭证和属性，对用户身份进行认证和用户属性进行管理。当用户请求访问受限资源时，IdP 会发送验证声明或属性声明给SP。 SP (Service Provider) 主要负责访问资源安全方面的管理，对资源进行保护、用户访问资源进行授权和执行访问控制，通过 IdP 发送来的声明决定用户是否获得资源访问权限。 DS (Discovery Service) 以互动方式为用户提供 IdP 选择的标准接口，具有高度可定制性，可将用户提交的选择直接将用户重定向给对应的 SP。 DS 可由资源控制，也可作为中心共享服务运行。 构成 SSO 主要角色 构成基于Web的SSO系统的主要角色 Web Browser: 用户 Resource: 被保护资源 IdP (Identity Provider): 认证用户 SP (Service Provider): 执行认证，转到被保护资源 DS (Discovery Service Provider)：允许用户选择IdP 工作流程 用户访问被保护资源 2. SP 使得页面跳转到 IdP并发出认证请求 3. IdP认证用户 4. IdP 返回认证信息给 SP 5. SP检查返回值 6. 返回到被保护资源 架构: IDP + SPs + LDAP + username+ password 一个SP保护一个应用 支持认证方式 Web 非Web （配置 IDP 支持 ECP 扩展接口） 用户信息组织 (LDAP) 基本信息、属性值、所属组信息 用户组信息的集中管控 授权方式：根据用户属性值及所属组进行授权 加入联盟认证 Shibboleth IDP ? SP Indico ? ? SP App ? ? SP DocDB ? 用户信息数据库 LDAP 用户基本信息 用户属性、组信息 ECP 非Web服务 基于Web服务 联盟认证 DS ? ? ? MDUI 高能所统一认证系统架构图 Indico 接入统一认证 (1/2) Indico 基于Web的应用 SP 保护 Indico 安装在同一台机器上，实现对资源的保护 登录跳转到统