Hva er Weblogin?

Weblogin er UiOs interne løsning for autentisering på nett. Tjenesten er en Identity Provider (IdP) som bruker SAML, og er satt opp for å tilfredsstille spesielle behov enkelte interne tjenester har som Feide ikke kan tilby.

Hvordan virker det?

weblogin.uio.no er UiOs innloggingsportal for tjenester på nett. Tjenesten ligner på Feide, Microsofts http://logon.live.com og innloggingstjenesten til Google.

Autentisering med Weblogin
Bildet illustrerer hvordan autentisering skjer med Weblogin. De røde pilene viser hvor sensitive data blir sendt.
  1. Bruker prøver å nå en lese- eller skrivebeskyttet side hos tjeneste.
  2. Tjenesten sender en melding til brukerens nettleser om at den skal gå til Weblogin for autentisering.
  3. Nettleseren åpner tjenestens innloggingsside på Weblogin, hvor brukeren taster inn brukernavn og passord
  4. Weblogin sender melding til brukerens nettleser om å gå tilbake til tjenesten
  5. Nettleseren åpner siden som man forsøkte å få tilgang til i steg 1.

Etter innlogging vil tjenesten motta en kryptografisk signert melding fra Weblogin. Denne meldingen kan ikke forfalskes, og inneholder informasjon om brukeren som er autentisert hos Weblogin. Weblogin benytter seg av SAML2 (http://en.wikipedia.org/wiki/SAML_2.0) for kommunikasjon med tjenesten.

Tradisjonell autentisering

Tradisjonelt så blir nett-tjenester satt opp til å opptre på brukerens vegne ovenfor et autentiseringssystem, eller inneholder databaser med autentiseringsdata. Brukeren sender sine autentiseringsdata til tjenesten, og tjenesten sender dette videre til sitt autentiseringssystem. Autentiseringssystemet vil avgjøre om autentiseringsdata er korrekte, og sender en melding tilbake om dette.

Dette er ikke en ønskelig løsning verken for brukere eller USIT, som drifter infrastrukturen til UiO. Autentiseringsdata, som brukernavn og passord, er hemmelig og kan betnyttes for å få tilgang til private tjenester og private opplysninger. Men en tradisjonell autentiseringsmodell blir autentiseringsdata eksponert for tjenester, også tjenester utenfor UiOs kontroll.

Tradisjonell autentisering for tjenester på nett.
Bildet illustrerer hvordan eldre autentiseringsløsninger håndterer autentisering. De røde pilene viser hvor sensitive data blir sendt.

Hvorfor utvikle Weblogin?

Ved UiO så stoler man på at leverandører og interne tjenester ikke innhenter brukernavn og passord med onde hensikter. Likevel betyr denne tradisjonelle løsningen at potensialet er større for at noe galt skjer. Når mange tjenester benytter brukernavn og passord fra UiO, så er ikke sikkerheten rundt disse bedre enn hos den dårligst sikrede tjenesten. Dersom et sikkerhetshull i én tjeneste blir utnyttet av en inntrenger, så kan inntrengeren også få tilgang til alle andre system som benytter samme autentiseringsdata. Innbrudd i én tjeneste kan potensielt føre til at også beskyttet informasjon fra andre system blir eksponert.

Den eneste løsningen i slike tilfeller, vil være å pålegge brukere ved UiO å skifte passord. I verste fall må hele brukermassen ved UiO gjøre dette. Dette er irriterende og tidkrevende for brukere ved UiO, og svært ressurskrevende for USIT og IT-ansvarlige ved UiO.

Ved UiO har vi nå to tjenester som adresserer denne svakheten i infrastrukturen: Feide og Weblogin. Feide er en nasjonal tjeneste som har som mål at alle personer i utdanningssektoren skal ha én elektronisk identitet. UNINETT er ansvarlig for tjenesten. Ved UiO har vi flere tjenester som har spesielle behov som Feide ikke kan dekke og derfor har vi en lignende løsning for interne tjenester - Weblogin.

Fordeler med Weblogin

  • Sikkerhet - klartekstpassord eksponeres ikke for tjenester
  • Gjenkjennelse - brukere kjenner igjen og stoler på Weblogin
  • Sentralt kontrollert - tjenester som ønsker å benytte Weblogin må godkjennes av USIT
  • Skreddersøm - tjenester kan selv velge hvilke brukergrupper som skal ha tilgang til tjenesten, og hvilken informasjon tjenesten skal få om brukeren.
    • Det er et sikkerhetsproblem at ved ved bruk av eldre autentiseringssystemer så opptrer tjenester som brukeren. Alle informasjon om brukeren blir tilgjengelig for tjenesten.
    • Tjenesten kan settes opp til å tillate alle typer brukerkonti på UiO, inkludert ikke-tilknyttede brukere. Dette settes opp i Weblogin internt, så tjenesten har bare en kobling mot Weblogin.
  • Single Sign-On for flere webtjenester på UiO - er man logget inn i en tjeneste så vil man automatisk logge inn i andre tjenester man går til.
  • Single Log-Out - ved å trykke på "logg ut" i en tjeneste så blir man logget ut fra alle tjenester som er satt opp mot Weblogin.
Emneord: Weblogin, teknisk
Publisert 15. aug. 2014 10:54 - Sist endret 20. aug. 2014 15:16