Cet ouvrage et des milliers d'autres font partie de la bibliothèque YouScribe
Obtenez un accès à la bibliothèque pour les lire en ligne
En savoir plus

Partagez cette publication

UNIVERSIDAD CARLOS III DE MADRID
ESCUELA POLITECNICA SUPERIOR
INGENIER A DE TELECOMUNICACI ON
PROYECTO FIN DE CARRERA
Estudio y puesta en marcha de una
infraestructura de gesti on de identidad federada
basada en SAML 2.0
aAutora: Rosa M S anchez Guerrero
Tutora: Florina Almen arez Mendoza
4 de diciembre de 2009Agradecimientos
A mis padres y a mi hermana, por creer y con ar siempre en m ; y porque sin
vosotros nunca habra conseguido llegar a este momento. Gracias a mis padres por
la educaci on que me habeis dado y por vuestro apoyo en los buenos y en los malos
momentos. Gracias a mi hermana, por estar ah siempre que te he necesitado.
A mis amigas desde siempre, Alejandra y Bea. Gracias por vuestra amistad,
por los buenos momentos que hemos compartido durante todos estos anos~ y por
animarme y apoyarme cuando lo he necesitado.
A mi amiga Natalia. Gracias por todo lo que me has aportado a lo largo
de estos anos,~ tanto a nivel academico, por haber sido para m una excelente
companera;~ como a nivel personal, porque en ti he encontrado una gran amiga y
persona. Espero que siempre estes muy presente en mi vida.
A mis companeros~ de la Universidad, Belen, Carlos, Dani, Fer, Javi, Javo,
Kiko, Laura, Luis, Manu, Miki, Raul, Patricia, Rober y Santi, porque en vosotros
he encontrado adem as unos grandes amigos y porque cada uno, habeis contribuido
de alguna manera a que llegue hasta aqu . Gracias por los inolvidables momentos
que hemos pasado juntos y por el recuerdo que me llevo de mi estancia en la
Universidad.
En especial, a Rober. Por tu apoyo incondicional, tu amor y tu carino.~ Gracias
por tu in nita paciencia, por darme animos en aquellos momentos en los que
he querido rendirme; y por ilusi on y fuerzas para conseguir lo que me
propongo.
A Nieves, por tratarme como una m as de la familia.
A mi tutora Florina, primero por la con anza que depositaste en m para la
realizaci on de este proyecto. Por por tu inestimable ayuda, consejos y supervisi on
durante todos estos meses. Gracias por estar siempre disponible para cualquier
cosa y por orientarme en la busqueda de un trabajo bien hecho.
A mis companeros~ de grupo de investigaci on: Patri, Davide, Fabio y los pro-
fesores Andres Mar n y Daniel D az. Primero, gracias por haber con ado en m .
Gracias por vuestras aportaciones e ideas, y por la valiosa ayuda que me habeis
prestado durante todos estos meses.
A mis companeros~ del \A01", por los buenos ratos que he pasado con vosotros
a lo largo de estos meses.
iResumen
Actualmente el uso de infraestructuras que permitan realizar tareas de gesti on
de identidad se ha convertido en un requisito indispensable para la mayor a de las
empresas. Un sistema de gesti on de identidad permite cubrir las necesidades clave
de seguridad de una organizaci on, otorg andole a la vez la libertad de crecer tan
apidor como le permita su negocio. Los sistemas de gesti on de identidad separan
las tareas de provisi on de servicios, de aquellas que tienen como prop osito gestio-
nar identidades. De este modo, permite liberar a los proveedores de servicios de la
gesti on de datos relativos al acceso del usuario. Por lo que no tienen que preocu-
parse de llevar a cabo tareas tan tediosas como el almacenamiento de contrasenas~
y certi cados de los usuarios que acceden al sistema. Adem as, desde el punto de
vista del usuario, este tipo de sistemas tiene como objetivo la facilidad de uso,
por lo que permiten realizar procesos de inicio y cierre de sesi on unicos. Para ello,
este olos necesita autenticarse en un proveedor de identidad, que comunicar a al
resto de los proveedores con los que tenga establecida una relaci on de con anza,
que el usuario ha sido autenticado.
En los ultimos anos~ han surgido diversas iniciativas que tienen como objetivo
de nir marcos de trabajo basados en gesti on de identidad. Entre ellas, podemos
destacar el lenguaje de asertos y la infraestructura de nida por OASIS, SAML
(Security Assertion Markup Language), las iniciativas desarolladas por Liberty
Alliance, WS-Federation y OpenID. Otra iniciativa a destacar es la de Shibboleth,
que est a basada en SAML 2.0. De ellas, la unica que se encuentra estandarizada
hasta el momento es SAML. Todos estos marcos de trabajo tienen como objetivo
reducir la complejidad de los proveedores de servicios y permitirles centrarse en
su nucleo, a la vez que proporcionan una experiencia satisfactoria a los usuarios
que acceden a sus servicios.
El objetivo nal de este proyecto, es realizar un estudio pr actico acerca de
la especi caci on SAML 2.0 y de las funcionalidades que proporcionan los dis-
tintos per les y casos de uso para gesti on de identidad federada contemplados
en el est andar. Dicho estudio incluye la puesta en marcha de una infraestruc-
tura de gesti on de identidad basada en desarrollos de odigoc abierto como son
ZXID y Lasso. Adem as se han desarrollado nuevos componentes para explorar
funcionalidades no cubiertas en las implementaciones utilizadas. En concreto, nos
hemos centrado en los per les de Single-Sign-On y Single-Logout, con el n de
hacer pruebas de integraci on e interoperabilidad de los distintos proveedores que
constituyen la plataforma de gesti on de identidad desplegada en este proyecto.
iiAbstract
Using identity management infrastructures is usual nowadays because it has
become a prerequisite for most companies. An identity management system can
meet the key needs of an organization’s security, while giving the freedom to grow
as fast as his business allows. This systems separate identity management tasks
from of service provisioning. Thus, service providers are freed from managing the
data for user access. Therefore, they don t have to worry about carrying out
tedious tasks such as storing passwords and certi cates of the users accessing
the system. Moreover, from the user s perspective, this type of systems is aimed
at ease of use, so it allows single sign on and single logout. Thus, the user only
needs to authenticate to an identity provider, who will communicate to other
providers with which it has established a relationship of trust that the user has
been authenticated.
There are various initiatives currently that aim at de ning frameworks based
on identity management. Among them, we can highlight the language of asser-
tions and infrastructure de ned by OASIS, SAML (Security Assertion Markup
Language), the initiatives Liberty Alliance, WS-Federation and OpenID. Anot-
her initiative worth noting is that of Shibboleth, which is based on SAML 2.0.
Of these, the one that is standardized so far is SAML. All these frameworks aim
to reduce the complexity of service providers and enabling them concentrate on
their core business, while providing a satisfactory experience to users who access
their services.
The main aim of this project is to carry out a study on SAML version 2.0 and
functionalities provided by di erent pro les and use cases for federated identity
management covered by the standard. Such study includes the deployment of the
infrastructure based on open source developments such as ZXID and Lasso. In
addition, new components have been developed in order to cover functionalities
that are not involved in the used implementations. Speci cally, we have focused
on the pro les of Single Sign On (SSO) and Single Logout (SLO) to perform tests
of integration and interoperability between providers that are part of the identity
management platform deployed in this project.
iiiivIndice general
Indice general V
Indice de guras XI
Indice de tablas XIII
1. Introducci on 1
1.1. Motivaci on del proyecto . . . . . . . . . . . . . . . . . . . . . . . 1
1.2. Objetivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
1.3. Contenido de la memoria . . . . . . . . . . . . . . . . . . . . . . . 3
2. Estado del arte 7
2.1. Introducci on . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2.2. Tecnolog as de Seguridad Base . . . . . . . . . . . . . . . . . . . . 8
2.2.1. Nociones b asicas . . . . . . . . . . . . . . . . . . . . . . . 8
2.2.2. Infraestructura de clave publica X.509 . . . . . . . . . . . 9
2.2.2.1. Certi cados X.509 . . . . . . . . . . . . . . . . 10
2.2.2.2. Arquitectura de PKI X.509 . . . . . . . . . . 13
2.2.3. Firma XML . . . . . . . . . . . . . . . . . . . . . . . . . . 14
2.3. Gesti on de Identidad Federada . . . . . . . . . . . . . . . . . . . . 16
2.3.1. Security Assertion Markup Language (SAML) . . . . . . . 17
2.3.1.1. Arquitectura de gesti on de identidad en SAML . 20
2.3.1.2. Seguridad en SAML . . . . . . . . . . . . . . . . 21
v2.3.1.3. Federaci on de identidad en SAML . . . . . . . . 22
2.3.2. Liberty Alliance . . . . . . . . . . . . . . . . . . . . . . . . 24
2.3.2.1. Identity Federation Framework (ID-FF) . . 25
2.3.3. OpenID . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
2.3.4. WS-Federation . . . . . . . . . . . . . . . . . . . . . . . . 28
2.4. Protocolo de Acceso Ligero a Directorios (LDAP) . . . . . . . . . 29
2.4.1. Introducci on . . . . . . . . . . . . . . . . . . . . . . . . . . 29
2.4.2. Funcionamiento y administraci on de LDAP . . . . . . . . 30
2.4.3. Seguridad y control de acceso . . . . . . . . . . . . . . . . 32
2.5. Lenguajes de programaci on utilizados . . . . . . . . . . . . . . . . 33
2.5.1. Python . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
2.5.1.1. Quixote . . . . . . . . . . . . . . . . . . . . . . . 35
2.5.2. CGI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
3. Descripci on general del sistema 37
3.1. Requisitos funcionales . . . . . . . . . . . . . . . . . . . . . . . . 37
3.2. Arquitectura . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
3.3. Selecci on del entorno . . . . . . . . . . . . . . . . . . . . . . . . . 42
3.3.1. Lasso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
3.3.2. OpenSAML . . . . . . . . . . . . . . . . . . . . . . . . . . 43
3.3.3. Zxid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
3.3.4. Authentic . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
3.3.5. Shibboleth . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
3.3.6. Servicios adicionales . . . . . . . . . . . . . . . . . . . . . 47
3.4. Funcionalidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
3.4.1. Funcionalidad del Proveedor de Identidad (IdP) . . . . . . 49
3.4.2. F de los Proveedores de Servicios (SPs) . . . . 50
3.4.3. Otras funcionalidades . . . . . . . . . . . . . . . . . . . . . 51
3.5. Caso de uso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
vi4. Puesta en marcha de la infraestructura de gesti on de identidad 57
4.1. Introducci on . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
4.2. Despliegue del Proveedor de Servicios (SP) . . . . . . . . . . . . . 58
4.2.1. Con guraci on de Apache para el SP . . . . . . . . . . . . . 58
4.2.1.1. Con guraci on de Apache con SSL . . . . . . . . . 58
4.2.1.2.on de Apache con ZXID y LibCurl . . 60
4.3. Despliegue del Proveedor de Identidad (IdP) . . . . . . . . . . . . 64
4.3.1. Con guraci on de Apache para el IdP con SSL y SCGI . . . 65
4.3.2. Con del Proveedor de Identidad . . . . . . . . . . 66
4.4. Establecimiento de una relaci on de con anza entre el SP y el IdP 69
4.4.1. Integraci on del SP con el IdP . . . . . . . . . . . . . . . . 69
4.4.2. Integraci on del IdP con el SP . . . . . . . . . . . . . . . . 70
4.5. Gesti on de usuarios. Con guraci on de LDAP . . . . . . . . . . . . 71
4.6. Per les soportados . . . . . . . . . . . . . . . . . . . . . . . . . . 74
4.6.1. Funcionamiento del per l SSO Web: Redirect-POST Bindings 75
4.6.2. Fto del per l SSO Web: POST-Artifact 77
4.6.3. Funcionamiento del per l Single Logout . . . . . . . . . . . 78
5. Implementaci on de un Proveedor de Servicios 81
5.1. Introducci on . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
5.2. Librera IdM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
5.2.1. Estructura y descripci on del API . . . . . . . . . . . . . . 84
5.2.2. Inicializaci on y con guraci on del Proveedor de Servicios . . 90
5.2.3. Control de acceso . . . . . . . . . . . . . . . . . . . . . . . 93
5.2.4. Gesti on de sesi on . . . . . . . . . . . . . . . . . . . . . . . 100
5.2.5. Cierre de sesi on . . . . . . . . . . . . . . . . . . . . . . . . 101
5.3. Interfaz Gr a ca de Usuario . . . . . . . . . . . . . . . . . . . . . . 102
5.3.1. Estructura . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
5.3.2. Interfaz de servicio de prueba . . . . . . . . . . . . . . . . 104
5.3.3. Interfaz de con guraci on del metadato del SP . . . . . . . 107
vii5.3.3.1. Obtenci on de los datos del formulario de con gu-
raci on . . . . . . . . . . . . . . . . . . . . . . . . 108
5.3.3.2. Generaci on del metadato del SP . . . . . . . . . 109
6. Pruebas 111
6.1. Pruebas de m odulos individuales . . . . . . . . . . . . . . . . . . 112
6.1.1. Pruebas de los servicios de ZXID . . . . . . . . . . . . . . 112
6.1.2. Pruebas del Proveedor de Identidad (IdP) . . . . . . . . . 114
6.1.3. Pruebas del Servidor LDAP . . . . . . . . . . . . . . . . . 115
6.2. Pruebas de integraci on e interoperabilidad . . . . . . . . . . . . . 116
6.2.1. Pruebas de integraci on del SP de ZXID con el IdP . . . . . 117
6.2.2. Pruebas de interoperabilidad entre el SP de ZXID y el IdP 119
6.2.3. Pruebas de integraci on del IdP y el servicio de directorio
LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
6.3. Pruebas del Proveedor de Servicios implementado . . . . . . . . . 124
6.3.1. Pruebas de la librer a IdM . . . . . . . . . . . . . . . . . . 125
6.3.2. Pruebas de integraci on entre el SP y el IdP . . . . . . . . . 126
6.3.3. Pruebas de la interfaz gr a ca de usuario e interoperabilidad 127
6.4. Otras pruebas de interoperabilidad . . . . . . . . . . . . . . . . . 128
7. Historia del proyecto 131
7.1. Fases del proyecto . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
7.1.1. FASE I: De nici on de requisitos. . . . . . . . . . . . . . . 131
7.1.2. FASE II: Instalaci on y con guraconi de ZXID. . . . . . . . 132
7.1.3. FASE III:on y con guraci on del IdP Authentic. . 134
7.1.4. FASE IV: Integraci on del SP y el IdP. . . . . . . . . . . . 134
7.1.5. FASE V: Implementaci on del Proveedor de Servicios. . . . 136
7.1.6. FASE VI: Instalaci on y con guraci on del servidor LDAP.
Integraci on con el IdP. . . . . . . . . . . . . . . . . . . . . 137
7.1.7. FASE VII: Documentaci on. . . . . . . . . . . . . . . . . . 138
7.2. Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
viii

Un pour Un
Permettre à tous d'accéder à la lecture
Pour chaque accès à la bibliothèque, YouScribe donne un accès à une personne dans le besoin