1 Uwierzytelnianie i autoryzacja dostępu do portaliMichał Kosiedowski, PCSS Paweł Słowikowski, AGH Cyfronet Poznań,

2 Portal musi być wyposażony w mechanizm identyfikacji użytkownika.Portal umożliwia spersonalizowany dostęp do różnego rodzaju usług i zasobów. Portal musi być wyposażony w mechanizm identyfikacji użytkownika.

3 Techniki uwierzytelnianiaNazwa użytkownika + hasło Certyfikat

4 Baza użytkowników LDAP Relacyjna baza danych System operacyjny

5 Uwierzytelnianie zapewnia poprawną identyfikację użytkownika Uwierzytelnianie nie zapewnia kontroli dostępu do usług i zasobów zgromadzonych w portalu

6 Mechanizm autoryzacjiZapewnia kontrolę dostępu do usług i zasobów poprzez identyfikację akcji wykonywanych przez użytkownika oraz ewaluację jego uprawnień do ich wykonywania zapisanych w bazach danych uprawnień

7 Resource Access Decision Facility Specification RAD Resource Access Decision Facility Specification Object Management Group, Inc. (OMG) Kwiecień 2001, wersja 1.0

8 Rozwiązanie dla aplikacji „świadomych bezpieczeństwa” RAD: kontrola dostępu Rozwiązanie dla aplikacji „świadomych bezpieczeństwa” Decyzja o dostępie do zasobu podejmowana na podstawie: nazwy zasobu żądanych uprawnień do zasobu uwierzytelnień użytkownika (np. nazwa użytkownika)

9 RAD: przebieg kontroli dostępuBaza kontroli dostępu Klient Evaluator RDBS access_allowed Nazwa zasobu, Operacja (Uprawnienie), Lista uwierzytelnień podmiotu Combinator Evaluator LDAP .. .. Combinator Evaluator ACL-s

10 RAD: przebieg kontroli dostępu (2)Baza kontroli dostępu Klient Evaluator RDBS access_allowed Nazwa zasobu, Operacja (Uprawnienie), Lista uwierzytelnień podmiotu Combinator Evaluator LDAP .. .. Combinator Evaluator ACL-s

11 PROGRESS

12 PROGRESS: UwierzytelnianieTechnika nazwa użytkownika + hasło LDAP jako baza użytkowników

13 PROGRESS: Autoryzacja dostępu do usług i zasobówAutoryzacja dostępu do zasobów zgromadzonych w portalu obliczeniowym PROGRESS przebiega dwustopniowo: Autoryzacja dostępu do dostawcy zawartości kanału w portalu Autoryzacja dostępu do zasobów dostawcy usług gridowych i systemu zarządzania danymi

14 PROGRESS: RAD – kontrola dostępu(interfejs RMI) Portal Dostawca usług gridowych 2 1 3 Baza kontroli dostępu (Oracle) 4 Dostęp do zasobów

15 PROGRESS: Zasoby dostawcy usługUsługa podstawowa (wiadomości, katalog odnośników, forum dyskusyjne itp..) SERVICE SERVICE_NAME INSTANCE_NAME Aplikacja obliczeniowa APPLICATION APPLICATION_NAME Zadanie obliczeniowe COMPUTATION COMPUTATION_NAME

16 PROGRESS: Uprawnienia do zasobów dostawcy usługUsługa podstawowa ADMIN EDITOR READER Aplikacja obliczeniowa DEVELOPER USER Zadanie obliczeniowe OWNER

17 PROGRESS: RAD – moduł administracyjnyModuł umożliwiający zarządzanie tj. tworzenie, aktualizowanie i usuwanie uprawnień za pomocą graficznego interfejsu użytkownika. Dostępność do funkcjonalności modułu po uprzednim zalogowaniu się i posiadaniu uprawnień do poszczególnych akcji (wykorzystuje serwer RAD) Architektura klient-serwer oparta na J2EE - JSP, EJB, JMS. Zaimplementowany przy użyciu wzorców projektowych J2EE (Session Fascade, Business Delegate, DTO, Model Viewer Controller)

18 PROGRESS: Mechanizm Single Sign-OnUwierzytelnianie w portalu Utrzymywanie sesji Walidacja tokenów w dostawcy usług gridowych

19 PROGRESS: Uwierzytelnianie, autoryzacja dostępu i SSODostawca usług gridowych Logowanie Wywołanie metody Portal Żądanie Walidacja tokena Uwierzytelnianie Autoryzacja dostępu do zasobu Serwer identyfikacji RAD

20 http://progress.psnc.pl [email protected] [email protected]Dziękuję za uwagę