Identity and Access Management

Identity and Access
Management
Praktické cvičení
[email protected]
Cíl cvičení
Identity & Access Management
Identity Management
Část IdM
● Seznámení s OpenIDM
● Načtení HR exportu
● Synchronizace do LDAPu
● Přiřazení role a propagace do LDAPu
● Schvalování přístupu
Access Management
Část AM
● Nakonfigurování domény a SSO brány
● Reverzní proxy a centrální autentizace
● Cross-domain SSO a federace
● Propojení s IdM
OpenIDM
Identity Management
Úlohy IdM
K čemu IdM slouží?
● Centrální řízení účtů a práv v systémech
●
●
●
●
Životní cyklus uživatele a přidělených práv
Provisioning nastavení do cílových systémů
Synchronizace hesel napříč systémy
Validace a synchronizace nastavení
● User-self service
● Podpora auditu
Ideální situace
Kdy potřebujeme IdM nejméně?
● Centrální úložiště uživatelů a práv
● SSO v rámci všech aplikací
PC
Server
Prohlížeč
Aplikace Y
Aplikace X
Active
Directory
Základní pojmy
Objekty a procesy
● managed object
● system object
● resource
● source system, source object
● target system, target object
● synchronization, validation
● mapping
Architektura
Celková architektura
Úloha I
Vytvoření uživatele
● Nastartování OpenIDM
$ ./startup.sh
● Získání seznamu uživatelů
$ curl \
--header "X-OpenIDM-Username: openidm-admin" \
--header "X-OpenIDM-Password: openidm-admin" \
http://localhost:8080/openidm/managed/user/?_queryId=query-all-ids
● Vytvoření uživatele
{
"_id": "frank",
"userName": "frank",
"givenName": "frank",
"familyName": "smith",
"email": "[email protected]",
"password": "idm",
"description": "My first user"
}
● Zobrazení uživatele
http://localhost:8080/openidm/managed/user/joe
Úloha II
Kontrola databáze
● Otevření OrientDB studia
http://localhost:2480/studio/
● Seznam dostupných tříd / tabulek
$ bin/console.sh
> classes
● Zobrazení objektů
> select * from managed_user
> select * from audit_activity
OpenICF
Open Identity Connectors Framework and Toolkit
Úloha III
Načtení dat z CSV
http://openidm.forgerock.org/doc/install-guide/index.html#more-sample4
● Změna konfigurační složky
$ ./startup.sh -p samples/sample4
● Konfigurace
○
○
○
- mapování
provisioner-**.json - konektor
schedule- **.json - spouštěná úloha
sync.json
● Manuální spuštění
http://localhost:8080/openidm/recon?
_action=recon&mapping=systemHrAccounts_managedUser
Konfigurační namespacy
Jak se odkazovat na typy objektů
Úloha IV
Kontrola záznamů
● Aplikační logy
$ less logs/openidm0.log.0
● Aplikační logy
$ less audit/action.log
● Seznam uživatelů
$ curl \
--header "X-OpenIDM-Username: openidm-admin" \
--header "X-OpenIDM-Password: openidm-admin" \
--request GET \
"http://localhost:8080/openidm/managed/user/?_queryId=query-all-ids"
X.500 a LDAP
Adresářové služby
● DIT
● Protokoly
X.500
X.500 a LDAP
Schéma a data
● Objectclasses (structural vs auxilary)
● Attributes (matching rules, syntaxes)
● Distinguished name
● Naming attribute
dn: ou=groups,dc=example,dc=com
changetype: add
objectClass: organizationalUnit
objectClass: top
ou: groups
description: Groups container.
Úloha V
Příprava ApacheDS
● Spuštění serveru
$ /etc/init.d/apacheds-2.0.0-M12-default start
● Vtvoření kontejnerů pro uživatele a skupiny
$ ldapadd -D uid=admin,ou=system -w secret -h localhost -p 10389
dn: ou=people,dc=example,dc=com
objectclass: organizationalUnit
objectclass: top
ou: users
description: People container.
# To samé pro ou=groups
Úloha VI
Kontrola záznamů a LDAP search
● Zobrazení celého podstromu
$ ldapsearch -D uid=admin,ou=system -w secret -h localhost -p 10389 -LLL \
-b dc=example,dc=com -s subtree
● Zobrazen kořenového záznamu
$ ldapsearch -D uid=admin,ou=system -w secret -h localhost -p 10389 -LLL \
-b "" -s base "" +
● Dohledání skupin systémového uživatele
$ ldapsearch -D uid=admin,ou=system -w secret -h localhost -p 10389 -LLL \
-b "ou=system" -s subtree "(uniqueMember=uid=admin,ou=system)" "*"
● Zobrazení schématu
$ ldapsearch -D uid=admin,ou=system -w secret -h localhost -p 10389 -LLL \
-b "cn=schema" -s base "" "+"
X.500 a LDAP
Kde se vzal LDAP
● X.500 protokoly pracují pouze s OID
● OSI networking stack
● RFC pro LDAP
● Navázané standardy
○ LDIF
○ Shadowing, changelog
○ DSML
Úloha VII
Apache Directory Studio
● Připojení k serveru
● Procházení DIT
● Zobrazení schématu
Úloha VIII
Vytvoření uživatelů a skupin
dn: uid=jdoe,ou=people,dc=example,dc=com
objectClass: inetOrgPerson
cn: John Doe
sn: Doe
givenName: John
mail: [email protected]
telephoneNumber: 12345
uid: jdoe
dn: cn=openidm,ou=groups,dc=example,dc=com
objectClass: groupOfUniqueNames
objectClass: top
cn: openidm
uniqueMember: uid=dummy,ou=system
uniqueMember: uid=jdoe,ou=People,dc=example,dc=com
dn: cn=openidm2,ou=groups,dc=example,dc=com
objectClass: groupOfUniqueNames
objectClass: top
cn: openidm
uniqueMember: uid=dummy,ou=system
Úloha IX
Synchronizace s LDAPem
$ bin/startup.sh -p samples/sample2d
● Oprava konfigurace LDAPu
provisioner.openicf-ldap.json:
credential
● Spuštění rekonciliace
$ curl \
--header "X-OpenIDM-Username: openidm-admin" \
--header "X-OpenIDM-Password: openidm-admin" \
--request POST \
"http://localhost:8080/openidm/recon?
_action=recon&mapping=systemLdapGroups_managedGroup"
... systemLdapAccounts_managedUser
... managedUser_systemLdapAccounts
Úloha X
Oprava úlohy IX
● Oprava konfigurace synchronizace
"source" : "",
"transform" : {
"type" : "text/javascript",
"source" : "source.displayName ? source.displayName : source.userName;"
},
"target" : "cn"
Reconciliation
Validace a synchronizace systémů
SOURCE OBJECT
SOURCE OBJECT
LINK
LINK
TARGET OBJECT
TARGET OBJECT
1. Iterate through all objects for the object set
specified as "source".
2. Iterate through all object identifiers for the
object set specified as "target".
3. Iterate through all link objects, carrying out
the following steps.
Úloha XI
Kontrola dat OpenIDM
● Zobrazení záznamů
> classes
> select from managed_user
> select from managed_group
> select from managed_group
> browse class managed_group
> display record 0
> display record 1
> select @this.toJSON() from managed_group
> select from link
... audit_recon, audit_activity ...
Synchronizační situace
Source reconciliation (LEFT JOIN)
Source
Qualifies?
Yes
No
Link
Exists?
Yes
No
Target
Found?
0
1
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
IGNORE
X
SOURCE_MISSING
DELETE
UNQUALIFIED
DELETE
UNQUALIFIED
DELETE
TARGET_IGNORED
IGNORE
UNQUALIFIED
DELETE
ABSENT
CREATE
FOUND
UPDATE
AMBIGUOUS
EXCEPTION
MISSING
EXCEPTION
CONFIRMED
UPDATE
X
X
X
Default Action
TARGET_IGNORED
X
X
Situation
X
X
X
X
>1
X
X
X
X
X
Synchronizační situace
Target reconciliation (RIGHT JOIN)
Target
Qualifies?
Yes
No
Link
Exists?
Yes
No
Source
Exists?
Yes
No
Source
Qualifies?
Yes
No
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Situation
Default Action
TARGET_IGNORED
IGNORE
UNASSIGNED
EXCEPTION
CONFIRMED
UPDATE
UNQUALIFIED
DELETE
SOURCE_MISSING
DELETE
Úloha XII
Synchronizace členství ve skupinách
● Úprava skupin pro uživatele
$ curl \
--header "X-OpenIDM-Username: openidm-admin" \
--header "X-OpenIDM-Password: openidm-admin" \
--request POST \
-d '[{ "replace":"ldapGroups", \
"value": ["cn=openidm2,ou=Groups,dc=example,dc=com"] }]' \
"http://localhost:8080/openidm/managed/user?_action=patch&_queryId=foruserName&uid=jdoe"
● Spuštění rekonciliace
$ curl \
--header "X-OpenIDM-Username: openidm-admin" \
--header "X-OpenIDM-Password: openidm-admin" \
--request POST \
"http://localhost:8080/openidm/recon?
_action=recon&mapping=managedUser_systemLdapAccounts"
Úloha XIII
Workflow
http://openidm.forgerock.org/doc/integrators-guide/index.html#example-provisioning-workflow
http://activiti.org/userguide/index.html#activitiDesigner
IDM v praxi
Ukázky reálných implementací
● Ukázka OSK a TO2 GUI
○ org-tree, práva, účty, žádosti, delegace
● Ukázka DirX Identity
○ cílové systémy, privilege hierarchy, workflow, metadirectory
OpenAM
Access Management
Úlohy AM
K čemu AM slouží?
● Centrální řízení přístupových politik
● Poskytování autentizačních služeb
● Poskytování autorizačních služeb
● Podpora auditu
Identity vs Access Management
Hledání hranice
*.foo.com
*.bar.com
IDENTITIES
IDENTITIES
ACCOUNTS
ACCOUNTS
FEDERATION
Architektura
Komponenty OpenIDM
Integrace s OpenIDM
Policy Agents
PEP
PAP
Komunikace mezi komponentami
Centrální autentizace a autorizace
Úloha I
Instalace
● Nastavení domény
$ sudo vim /etc/hosts
127.0.0.1
jcu-{prijmeni}.example.com
● Stažení Apache Tomcat ₊ OpenAM
● Nastavení Tomcatu
$ sudo vim ${catalina.home}/bin/setenv.sh
JAVA_OPTS="-Xmx1024m -XX:MaxPermSize=256m"
$ sudo vim ${catalina.home}/conf/server.xml
port="9080" protocol="HTTP/1.1"
● Nasazení OpenAM
${catalina.home}/webapps/
openam-server-10.1.0-Xpress.war => openam.war
Úloha II
Konfigurace aplikace
● Nastartování Tomcatu
$ bin/startup.sh
$ tail -f logs/catalina.out
● Konfigurace pomocí webového rozhraní
http://jcu-{prijmeni}.example.com:9080/openam/
Samostatná cvičení
Identity & Access Management
Samostatné úkoly
Úkoly na zápočet
● ApacheDS jako LDAP PAM modul
http://wiki.debian.org/LDAP/PAM
● Nakonfigurování jednoho Policy Agenta
http://docs.forgerock.org/en/openig/2.1.0/gateway-guide/index/chapfederation-tutorial.html
● Identity Federation
http://openam.forgerock.org/openam-documentation/openam-docsource/doc/admin-guide/index/chap-federation.html