Shibboleth(소프트웨어

Shibboleth (software)
쉬볼레스
Shibboleth logo.png
유형싱글 사인온 시스템
웹 사이트www.shibboleth.net

Shibboleth는 컴퓨터 네트워크와 인터넷을 위한 싱글 사인온 로그인 시스템입니다.다른 조직 또는 기관의 연합에 의해 운영되는 다양한 시스템에 하나의 ID만 사용하여 서명할 수 있습니다.연맹은 종종 대학이나 공공 서비스 기관이다.

Shibboleth Internet2 미들웨어 이니셔티브는 Security Assertion Markup Language(SAML; 보안 어설션 마크업 언어)에 기반한 ID 관리연합 ID 기반 인증인가(또는 액세스 제어) 인프라스트럭처를 위한 아키텍처오픈 소스 구현을 구축했습니다.페더레이션 ID 를 사용하면, 1 개의 시큐러티 도메인으로부터 페더레이션내의 다른 조직으로 유저에 관한 정보를 공유할 수 있습니다.이를 통해 교차 도메인 Single Sign-On을 허용하고 컨텐츠 공급자가 사용자 이름과 암호를 유지할 필요가 없습니다.Identity Provider(IdP; 아이덴티티 프로바이더)는 사용자 정보를 제공하고 Service Provider(SP; 서비스 프로바이더)는 이 정보를 소비하여 안전한 콘텐츠에 대한 액세스를 제공합니다.

역사

Shibboleth 프로젝트는 Internet2에서 발전했다.현재 이 프로젝트는 Shibboleth Consortium에 의해 관리되고 있습니다.Shibboleth Consortium에 의해 관리되는 가장 인기 있는 소프트웨어 컴포넌트 중 2개는 Shibboleth Identity Provider와 Shibboleth Service Provider이며, 둘 다 SAML의 구현입니다.

프로젝트는 에브라임 사람들이 "sh"를 발음할 수 없었기 때문에 성경에서 사용된 식별용 암호 구절(요약 12:4~6)에서 이름을 따왔다.

Shibboleth 프로젝트는 인증 및 인가 인프라스트럭처가 호환되지 않는 조직 간의 자원 공유를 촉진하기 위해 2000년에 시작되었습니다.아키텍처 작업은 소프트웨어 개발 전에 1년 이상 수행되었습니다.개발과 테스트를 거쳐 2003년 [1]7월에 Shibboleth IdP 1.0이 출시되었습니다.그 후 2005년 8월에 Shibboleth IdP 1.3이 출시되었습니다.

Shibboleth 소프트웨어 버전 2.0은 2008년 [2]3월에 출시된 주요 업그레이드입니다.IdP 컴포넌트와 SP 컴포넌트가 모두 포함되어 있었지만, 더 중요한 것은 Shibboleth 2.0이 SAML 2.0을 지원했다는 점입니다.

Shibboleth 프로토콜과 SAML 프로토콜은 동일한 기간 동안 개발되었습니다.처음부터 Shibboleth는 SAML을 기반으로 했지만, SAML에 부족한 점이 발견되자 Shibboleth는 즉석에서 작업을 수행하였고 Shibboleth 개발자는 SAML 1.1의 누락된 기능을 보완하는 기능을 구현하였다.이러한 기능들 중 일부는 나중에 SAML 2.0에 통합되었고, 그런 의미에서 Shibboleth는 SAML 프로토콜의 발전에 기여하였다.

아마도 가장 중요한 기여 기능은 기존의 Shibboleth AuthnRequest 프로토콜일 것입니다.SAML 1.1 프로토콜은 본질적으로 IdP-first 프로토콜이었기 때문에 Shibboleth는 SAML 1.1을 SP-first 프로토콜로 바꾸는 단순한 HTTP 기반 인증 요청 프로토콜을 발명했습니다.이 프로토콜은 Shibboleth IdP 1.0에서 처음 구현되었고 나중에 Shibboleth IdP 1.3에서 개선되었습니다.

초기 작업을 바탕으로 자유연대는 AuthnRequest 프로토콜을 Liberty Identity Federation Framework에 도입했습니다.결국 Liberty ID-FF 1.2는 OASIS SAML 2.0 [importance?]Standard의 기반이 된 OASIS에 기부되었습니다.

아키텍처

Shibboleth는 Identity Provider(IdP; 아이덴티티 프로바이더)와 Service Provider(SP; 서비스 프로바이더) 컴포넌트를 모두 포함한 SAML의 HTTP/POST 아티팩트 및 속성 푸시 프로파일을 구현하는 웹 기반 기술입니다.Shibboleth 1.3에는 SAML 1.1 사양을 기반으로 하는 자체 기술 개요,[3] 아키텍처 [4]문서 및 컴플라이언스[5] 문서가 있습니다.

쉬볼레스 1.3

표준 사용 사례:

  1. 사용자는 먼저 Shibboleth 콘텐츠 보호가 활성화된 웹 서버(서비스 공급자)가 호스팅하는 리소스에 액세스합니다.
  2. SP는 요청자의 SAML 엔티티를 제공하기 위해 URL 쿼리 파라미터를 사용하여 브라우저를 통해 전달되는 자체 인증 요청을 작성한다.ID, 어설션 사용 장소 및 옵션으로 사용자를 반환하는 종료 페이지.
  3. 사용자는 홈 IDP 또는 WAYF(Where Are You From) 서비스로 리다이렉트되며, 여기서 홈 IDP를 선택하여 리다이렉트합니다.
  4. 사용자는 Shibboleth 외부 접근컨트롤 메커니즘에 대해 인증합니다.
  5. Shibboleth는 SAML 1.1 인증 어설션을 생성합니다.이 어설션에는 일시적인 "핸들"이 포함되어 있습니다.이 핸들을 사용하면 IdP는 특정 브라우저 사용자에 대한 요구를 이전에 인증한 주체에 대응하는 것으로 인식할 수 있습니다.
  6. 사용자는 SP의 Assertion Consumer Service에 POST됩니다.SP가 Assertion을 소비하고 Atribute를 발행합니다.사용자의 ID를 포함할 수도 있고 포함하지 않을 수도 있는 해당 사용자에 대한 속성을 IdP의 속성 서비스에 쿼리합니다.
  7. IdP는 사용자에 대한 신뢰할 수 있는 정보를 포함하는 Atribute Assertion을 SP로 전송합니다.
  8. SP는 속성에 따라 접근컨트롤 결정을 내리거나 어플리케이션에 정보를 제공하여 스스로 결정을 내립니다.

Shibboleth는 이 베이스 케이스에서 IdP가 SP에 대한 첫 번째 액세스에서 전달되는 불필요한 어설션을 발행하는 포털 형식의 흐름, 응용 프로그램이 필요에 따라 선택한 메서드를 통해 콘텐츠 보호를 트리거할 수 있는 느린 세션 시작 등 많은 변형을 지원합니다.

Shibboleth 1.3 이전 버전에서는 인증 메커니즘이 내장되어 있지 않지만 웹 기반 인증 메커니즘을 사용하여 Shibboleth에서 사용할 사용자 데이터를 제공할 수 있습니다.이 목적을 위한 일반적인 시스템에는 CAS 또는 Pubcookie있습니다.IdP가 실행되는 Java 컨테이너(Tomcat 등)의 인증 및 싱글사인온 기능도 사용할 수 있습니다.

쉬볼레스 2.0

Shibboleth 2.0은 SAML 2.0 표준을 기반으로 구축됩니다.Shibboleth 2.0의 IdP는 SAML 2.0의 패시브 및 강제 인증 요구를 지원하기 위해 추가 처리를 수행해야 합니다.SP는 IdP에 특정 인증 방식을 요구할 수 있습니다.Shibboleth 2.0은 추가 암호화 용량을 지원합니다.

특성

Shibboleth의 접근컨트롤은 IdPs에 의해 제공된 속성을 SP에 의해 정의된 규칙과 대조함으로써 실행됩니다.속성은 "이 커뮤니티의 구성원", "Alice Smith" 또는 "계약 A에 따라 라이센스가 부여됨"과 같은 사용자에 대한 정보입니다.사용자 ID는 속성으로 간주되며 명시적으로 필요한 경우에만 전달되므로 사용자의 프라이버시가 유지됩니다.속성은 Java로 작성하거나 디렉토리 및 데이터베이스에서 가져올 수 있습니다.표준 X.520 속성이 가장 일반적으로 사용되지만 트랜잭션에서 IdP 및 SP에 의해 동일하게 이해되고 해석되는 한 새로운 속성을 임의로 정의할 수 있습니다.

신뢰

도메인 간의 신뢰는 공개 키 암호화(대개 단순 TLS 서버 인증서) 및 공급자를 설명하는 메타데이터를 사용하여 구현됩니다.전달된 정보의 사용은 계약을 통해 통제됩니다.연합은 공통 규칙 및 계약 사용에 동의하는 다수의 공급자를 취합함으로써 이러한 관계를 단순화하기 위해 자주 사용됩니다.

발전

Shibboleth는 오픈 소스이며 Apache 2 라이센스로 제공됩니다.많은 확장기능이 다른 그룹에 의해 제공되었습니다.

도입

SAML 및 Shibboleth 소프트웨어를 사용하여 정보 교환을 위한 신뢰 구조를 구축하기 위해 세계 여러 국가에서 연합이 결성되었습니다.많은 주요 콘텐츠 공급자가 Shibboleth 기반 액세스를 지원합니다.

2006년 2월, 영국, 스코틀랜드, 웨일스 및 북아일랜드 고등교육기금위원회의 합동정보시스템위원회(JISC)는 아테네 인증시스템에서 시볼레스 [6]기술을 기반으로 한 접근관리시스템으로 이행한다고 발표했다.그 후, 동사는 그 위치를 갱신해, Shibboleth가 [citation needed]아닌 Federated Access Management 솔루션을 서포트하고 있습니다.

「 」를 참조해 주세요.

레퍼런스

  1. ^ Pollack, Michelle (2003-07-01). "I2-News: Internet2 Releases Privacy-Preserving Web Authorizing Software" (Mailing list). Retrieved 2007-11-28.
  2. ^ "Shibboleth 2.0 Available".
  3. ^ Scavo, Tom; Cantor, Scott (2005-06-08). "Shibboleth Architecture: Technical Overview (Document ID: draft-mace-shibboleth-tech-overview-02)" (PDF). Archived from the original on 2012-03-14. Retrieved 2017-10-02.{{cite web}}: CS1 maint: bot: 원래 URL 상태를 알 수 없습니다(링크).
  4. ^ "Shibboleth Architecture: Protocols and Profiles" (PDF). 2005-09-10. Retrieved 2017-08-24.
  5. ^ Cantor, Scott; Morgan, RL "Bob"; Scavo, Tom (2005-09-10). "Shibboleth Architecture: Conformance Requirements" (PDF). Retrieved 2017-08-24.
  6. ^ "JISC announces the development of a new access-management system for the UK". Joint Information Systems Committee. Retrieved 2006-07-19.

외부 링크