Single sign-on na FCUL

(1)

U

NIVERSIDADE DE

L

ISBOA

Faculdade de Ciˆencias

Departamento de Inform´atica

SINGLE SIGN-ON NA FCUL

Francisco Wallenstein Teixeira Estanqueiro

MESTRADO EM ENGENHARIA INFORM ´

ATICA

Especialização em Sistemas de Informação

(2)

(3)

U

NIVERSIDADE DE

L

ISBOA

Faculdade de Ciˆencias

Departamento de Inform´atica

SINGLE SIGN-ON NA FCUL

Francisco Wallenstein Teixeira Estanqueiro

PROJECTO

Projecto orientado pelo Prof. Doutor M´ario Jo˜ao Barata Calha e co-orientado pelo Lic. Pedro Miguel Gomes Silva Rosa

MESTRADO EM ENGENHARIA INFORM ´

ATICA

Especialização em Sistemas de Informação

(4)

(5)

Resumo

Este projecto insere-se no âmbito da cadeira de Projecto em Engenharia Informática (PEI) do Mestrado de Engenharia Informática da Faculdade de Ciências da Universidade de Lisboa (FCUL).

Este trabalho teve como principal objectivo a criação de um sistema de Single Sign-On (SSO) para as aplicações web disponibilizadas pelo Centro de Informática (CI) da FCUL.

Single Sign-On (SSO) é um processo de autenticação em sessão, que permite a um utilizador introduzir as suas credenciais de acesso apenas uma vez para aceder a múltiplas aplicações protegidas. O processo autentica o utilizador para todas as aplicações a que este tem direito de acesso e elimina a necessidade de se autenticar novamente ao mudar de aplicação durante a sessão. Deste modo, toda a autenticação passará a ser feita de um modo centralizado, ficando o serviço de SSO com a responsabilidade de fornecer informação confiável de identidade dos utilizadores às aplicações.

De forma a atingir os objectivos propostos, foi necessário estudar com detalhe o estado da arte, assim como as poss´ıveis soluções para a implementação de um sistema deste género, tendo já em conta os requisitos das aplicações web na FCUL. Esta análise levou à escolha do software Central Authentication Service (CAS) que, após os devidos testes, entrou em produção no CI, tendo mais de mil acessos diários por funcionários e alunos da FCUL.

Adicionalmente, foi criado um novo modo de introdução de credenciais através do Cartão de Cidadão Português, um sistema de autenticação para serviços federados e uma aplicação web para uma gestão eficaz de todo o sistema de SSO.

Palavras-chave: single sign-on, aplicações web, central authentication service, cartão de cidadão português, autenticação federada

(6)

(7)

Abstract

This document describes in detail the project set up for the module of Computer En-gineering Project (PEI) integrating the postgraduate programme for Master of Computer Engineering in the Faculty of Science of the Lisbon University (FCUL).

This project was primarily aimed at the analysis and development of a Single Sign-On (SSO) system for web applications made available by the IT Centre (CI) at FCUL.

Single Sign-On (SSO) is a session authentication process, which allows a user to enter their credentials only once to access multiple protected applications. The process authenticates the user for all applications which he’s entitled to access to, eliminating the need to authenticate again when changing applications during the same session. With an SSO solution, all authentication is done in a centralized manner, thus making it the responsibility of the SSO system to provide reliable information about the user’s identity to the web applications.

In order to achieve these objectives, it was necessary to examine in detail the state of the art and study the potential solutions to implementing this kind of service.

After detailed analysis, Central Authentication Service (CAS) was selected as the SSO system. Following an appropriate testing stage, the CAS was effectively made available at FCUL campus, counting over a thousand daily logins among FCUL staff and students. To expand the SSO system it was also created an alternative way to authenticate users using the Portuguese Citizen Card, a federated authentication system and a web applica-tion to manage the entire system.

Keywords: single sign-on, web applications, central authentication service, portuguese citizen card, federated authentication

(8)

(9)

Conte ´udo

Lista de Figuras xi

Lista de Tabelas xiii

1 Introdução 1 1.1 Motivação . . . 1 1.2 Objectivos . . . 2 1.3 Instituição de Acolhimento . . . 2 1.4 Contribuições . . . 3 1.5 Estrutura do documento . . . 3

2 Estado da Arte e Conceitos 5 2.1 Single Sign-On . . . 5

2.1.1 Vantagens . . . 7

2.1.2 Desvantagens . . . 7

2.2 Arquitecturas de Single Sign-On . . . 8

2.2.1 Pseudo SSO . . . 8 2.2.2 SSO Centralizado . . . 9 2.2.3 SSO Federado . . . 9 2.3 Tecnologias Relacionadas . . . 11 2.3.1 LDAP . . . 11 2.3.2 Active Directory . . . 12 2.3.3 Certificados X.509 . . . 12 2.3.4 Cart˜ao de Cidad˜ao . . . 13

2.3.5 Security Assertions Markup Language - SAML . . . 13

2.3.6 Cookies HTTP . . . 14

2.3.7 Kerberos . . . 14

2.3.8 Secure Socket Layer - SSL . . . 15

3 Soluc¸˜oes Single Sign-On 17 3.1 Central Authentication Service - CAS . . . 17

3.2 Shibboleth . . . 19

(10)

3.5 CoSign . . . 22

3.6 WebAuth . . . 24

3.7 Resumo das funcionalidades das soluc¸˜oes SSO . . . 25

4 Single Sign-On na FCUL 27 4.1 Arquitectura de Autenticac¸˜ao na FCUL . . . 27

4.2 Aplicac¸˜oes com necessidade de Single Sign-On . . . 28

4.3 Escolha da soluc¸˜ao Single Sign-On a implementar na FCUL . . . 29

4.4 Arquitectura da soluc¸˜ao escolhida - CAS . . . 31

4.4.1 Autenticac¸˜ao . . . 31

4.4.2 Autorizac¸˜ao . . . 33

4.4.3 Federac¸˜ao . . . 33

4.4.4 Alta Disponbilidade . . . 34

5 Implementação e testes 37 5.1 Implementação Servidor CAS . . . 37

5.1.1 Instalação . . . 37 5.1.2 Configuração . . . 37 5.1.3 Autenticação . . . 38 5.1.4 Autorização . . . 41 5.1.5 Federação . . . 41 5.1.6 Alta Disponibilidade . . . 41

5.2 Integração do CAS com as aplicações FCUL . . . 43

5.2.1 Aplicac¸˜oes escritas em PHP . . . 43

5.2.2 Moodle . . . 44

5.2.3 Outlook Web Access . . . 44

5.3 P´agina de Gest˜ao . . . 45

5.4 Testes . . . 47

5.4.1 Funcionais . . . 47

5.4.2 Teste de sobrecarga . . . 49

6 Conclus˜ao e trabalho futuro 53 6.1 Trabalho Futuro . . . 54

A Protocolo CAS 55 A.1 Tickets . . . 55

A.2 URIs . . . 56

A.2.1 Login (/login) . . . 56

(11)

A.2.2 Logout (/logout) . . . 58

A.2.3 Validação de Serviços (/serviceValidate) . . . 58

A.2.4 Validac¸˜ao de Proxys (/proxyValidate) . . . 59

A.2.5 Proxy (/proxy) . . . 60

Abreviaturas 64

Bibliografia 70

(12)

(13)

Lista de Figuras

2.1 Sistema sem SSO . . . 5

2.2 Sistema com SSO . . . 6

2.3 Single Sign-On Federado . . . 10

2.4 Exemplo de um direct´orio LDAP . . . 11

3.1 Arquitectura CAS . . . 18

3.2 Arquitectura Shibboleth . . . 20

3.3 Arquitectura Pubcookie . . . 21

3.4 Arquitectura CoSign . . . 23

3.5 Arquitectura WebAuth . . . 25

4.1 Autenticac¸˜ao na FCUL sem Single Sign-On . . . 28

4.2 Autenticac¸˜ao na FCUL com CAS . . . 32

4.3 Arquitectura CAS na FCUL . . . 34

5.1 Certificado de Autenticação do Cartão de Cidadão . . . 39

5.2 Caminho de certificação do certificado de Autenticação do Cartão de Cidadão . . . 39

5.3 P´agina de pesquisa dos registos de auditoria do CAS . . . 46

5.4 Página de estat´ısticas do CAS na aplicação de gestão de SSO . . . 47

5.5 Latência de respostas dos servidores CAS a pedidos de autenticação . . . 50

5.6 Latˆencia de respostas dos servidores CAS a pedidos de STs . . . 51

(14)

(15)

Lista de Tabelas

3.1 Comparação entre as diferentes soluções de SSO . . . 26

4.1 Compatibilidade das diferentes soluções de SSO em relação aos serviços da FCUL . . . 30

(16)

(17)

Cap´ıtulo 1

Introduc¸˜ao

`

A medida que os serviços fornecidos pelo Centro de Informática da Faculdade de Ciências vão aumentando, utilizadores e administradores de sistema deparam-se com sistemas cada vez mais complexos. Os utilizadores, habitualmente, têm de fazer login em múltiplos sis-temas, necessitando assim de um número igual de diálogos de login, que podem envolver diferentes nomes de utilizador e informação de autenticação. Administradores de sistemas têm de gerir essas mesmas contas, dentro dos vários sistemas, de uma maneira coorde-nada, de modo a manter a integridade das pol´ıticas de segurança. Uma solução para este fardo administrativo é a implementação de um serviço de Single Sign-On.

Neste cap´ıtulo pretende-se fazer uma breve introdução ao projecto, o seu contexto e os objectivos a alcançar.

1.1 Motivac¸˜ao

Single Sign-On, SSO, é um processo de autenticação em sessão, que permite a um uti-lizador introduzir as suas credenciais de acesso apenas uma vez para aceder a múltiplas aplicações protegidas. O processo autentica o utilizador para todas as aplicações a que este tem direito de acesso e elimina a necessidade de se autenticar novamente ao mudar de aplicação durante a sessão.

A maior vantagem no uso de um sistema de SSO é deixar de incomodar o utilizador com múltiplos pedidos de login, retirando também a necessidade de decorar múltiplos nomes de utilizador e palavras-chave. Do ponto de vista do programador, visto o sis-tema de SSO ser independente, a maior vantagem é deixar de se preocupar com toda a autenticação e assumir que, se o pedido para aceder a uma aplicação vem com um nome de utilizador associado, então a autenticação já foi feita. Quando as aplicações participam num protocolo de SSO, o fardo da administração de gerir contas é bastante simplificado.

Não havendo uma infra-estrutura de autenticação centralizada na FCUL, a maneira dos utilizadores se autenticarem depende das pol´ıticas definidas localmente em cada serviço. Um sistema SSO irá permitir aos serviços da FCUL fazer outsourcing a toda a autenticação,

(18)

obrigando a que estes sigam as pol´ıticas de autenticação deste sistema garantindo uma maior segurança e consistência.

1.2 Objectivos

O principal objectivo deste projecto é a concretização de um sistema de SSO para a autenticação centralizada de utilizadores por parte dos serviços web existentes na FCUL. Para que este projecto seja realizado com sucesso é necessário identificar todas as fases que o envolvem.

A primeira fase será um estudo acerca do tema de SSO, incluindo o estado da arte, as suas poss´ıveis arquitecturas e as soluções que existem para a sua implementação. Dentro deste estudo são identificadas também todas as vantagens e desvantagens no uso de um sistema central de autenticação.

Após este estudo, é preciso identificar todos os requisitos para a integração de um sistema de SSO com os serviços web disponibilizados pelo CI. Esta análise é feita de acordo com as aplicações e linguagens de programação utilizadas na FCUL e respectivos servidores aplicacionais onde estas estão a correr.

Identificados os requisitos, é feita a escolha do sistema de SSO a implementar na FCUL, focando os pontos fortes desta solução em relação às outras analisadas, tendo em conta todos os prós e contras.

Após a realização das fases anteriores, análise e especificação, é feita a representação abstracta do sistema, descrevendo detalhadamente o seu funcionamento e a sua estrutura. Só após a conclusão do desenho/arquitectura deste novo sistema é poss´ıvel passar para a fase final de implementação, testes e manutenção.

1.3 Instituic¸˜ao de Acolhimento

A Faculdade de Ciências da Universidade de Lisboa, FCUL, é uma das unidades orgânicas que integram a Universidade de Lisboa. Actualmente, a FCUL ocupa onze edif´ıcios com uma área total de 77 492m2, no campus do Campo Grande, e em 2008/2009, tinha 5061 alunos distribu´ıdos pelos vários ciclos de ensino e 634 funcionários, entre os quais 419 docentes.

O Centro de Informática, CI, é a Unidade Orgânica da FCUL responsável pela gestão da rede Internet, bem como dos diversos serviços a ela associados, nomeadamente correio electrónico e páginas Web. A manutenção de alguns sistemas de informação, tais como as bases de dados relativas à gestão de utilizadores (docentes, funcionários e alunos), está também a cargo do CI.

O CI tem ainda a seu cargo o apoio técnico a todos os funcionários da FCUL, através de um serviço de Help Desk. Contudo, a prestação de apoio especializado é realizada no

(19)

Cap´ıtulo 1. Introduc¸˜ao 3

âmbito de acordos de colaboração com as várias unidades orgânicas da FCUL [20].

1.4 Contribuic¸˜oes

A principal contribuição deste projecto é a concretização de um sistema de SSO num meio académico, para integração com várias aplicações Web utilizadas diariamente, com neces-sidade de estarem altamente dispon´ıveis para os seus utilizadores. O sistema apresentado neste relatório inclui todas as fases da sua concretização, desde a análise de poss´ıveis soluções de software de SSO a utilizar até à gestão e manutenção do sistema escolhido.

Outras importantes contribuições relativas à autenticação de utilizadores na FCUL são também descritas neste relatório, incluindo a introdução de uma nova maneira de autenticar utilizadores nos serviços Web da FCUL, através do uso do Cartão de Cidadão Português e um Identity Provider (IdP) para sistemas de SSO federados.

1.5 Estrutura do documento

Este documento est´a organizado da seguinte forma:

Cap´ıtulo 2. Estado da Arte e Conceitos - Neste cap´ıtulo, é feita a análise do estado da arte e os conceitos associados à mesma.

Cap´ıtulo 3. Soluções Single Sign-On – Neste cap´ıtulo, são analisadas algumas das soluções open source de SSO para a FCUL.

Cap´ıtulo 4. Single Sign-On na FCUL - Todos os sistemas com necessidade de SSO na FCUL, a escolha da solução SSO e a respectiva arquitectura, encontram-se neste cap´ıtulo. Cap´ıtulo 5. Implementação e Testes - Todo o trabalho realizado na implementação, testes e integração do sistema de SSO nos serviços da FCUL está descrito neste cap´ıtulo. Cap´ıtulo 6. Conclusões - Neste cap´ıtulo, apresentam-se as conclusões finais do pro-jecto, as dificuldades encontradas e o trabalho futuro.

(20)

(21)

Cap´ıtulo 2

Estado da Arte e Conceitos

2.1 Single Sign-On

Infra-estruturas de autenticação são bastante populares em sistemas de computadores de grande escala. Em ambientes deste género, não é muito eficiente, do ponto de vista de implementação e administração, criar um sistema de autenticação separado para cada sistema de computadores, recursos e servidores aplicacionais. É bastante melhor delegar esta funcionalidade a uma infra-estrutura de autenticação centralizada. A criação de uma infra-estrutura deste género permite a utilização de um sistema SSO.

SSO é um conceito bastante utilizado em grandes organizações e Intranets, que per-mite aos utilizadores inserirem as suas credenciais apenas uma vez, e verem a sua auten-ticação propagada para todos os serviços a que estão autorizados a aceder. Um utilizador, normalmente, utiliza vários sites da mesma instituição e cada um deles utiliza mecanismos para autenticação independentes, obrigando, por vezes, o utilizador a decorar nomes de utilizador e/ou palavras-chave diferentes para cada serviço (figura 2.1) . Com um serviço de SSO, toda a autenticação passará a ser feita de um modo centralizado, ficando este com a responsabilidade de fornecer informação confiável de identidade dos utilizadores aos serviços (figura 2.2).

Figura 2.1: Sistema sem Single Sign-On

Autenticação e autorização são dois aspectos cruciais para efectuar controlo de aces-sos num sistema. Quando um utilizador tenta aceder a uma aplicação, o processo de autenticação é iniciado e, se este for efectuado com sucesso, é seguido do processo de

(22)

Figura 2.2: Sistema com Single Sign-On

autorizac¸˜ao.

Autenticação é o processo através do qual as credenciais do utilizador são verificadas para comprovar a sua identidade. Habitualmente, envolve um nome de utilizador e uma palavra-chave, mas pode ser utilizado outro método que comprove a identidade do uti-lizador como impressões digitais, reconhecimento de voz ou smart cards.

Para a realização das tarefas de autenticação são normalmente utilizados sistemas de gestão de informação de utilizadores, como os serviços de directório LDAP (ver secção 2.3.1), autoridades de certificação X.509 (ver secção 2.3.3) ou bases de dados simples como JBDC ou MySQL (entre outros). Estes sistemas mantêm informação confiável e actualizada dos utilizadores para que as aplicações consigam provar a autenticidade das credenciais inseridas pelos utilizadores.

Autorização, por sua vez, é o processo que consiste na verificação das permissões de um utilizador autenticado para aceder a um recurso espec´ıfico. Normalmente, é determi-nada verificando se um utilizador faz parte de um grupo ou se possui determinado n´ıvel de segurança. Mais formalmente, autorizar é definir uma pol´ıtica de controlo de acesso [15].

Para definir controlo de acesso dos utilizadores às aplicações são usados sistemas de gestão de informação de autorização como Lista de controlo de acesso (ACLs) ou Lista de Capacidades (C-List) [12].

Uma ACL é uma lista de permissões associadas a um objecto. Uma ACL espec´ıfica que utilizadores ou processos têm acesso aos objectos, e que operações são permitidas em certos objectos. Cada entrada numa t´ıpica ACL espec´ıfica contém o par <sujeito, direitos>. Por exemplo, se uma aplicação contém <fwestanqueiro, add> na sua ACL, isto irá dar permissão ao utilizador ”fwestanqueiro”para adicionar dados à aplicação. Estas ACLs são, obviamente, protegidas contra modificações não autorizadas.

Numa C-List, ao contrário das ACL, cada sujeito tem uma lista de objectos a que este pode aceder. Ou seja, cada entrada nesta lista contém o par <objecto, direitos>. Por exemplo, se um utilizador contém na sua C-List o par <aplicação, view>, significa que este pode apenas visualizar uma dada aplicação. Tal como as ACLs, as C-Lists são protegidas contra modificações não autorizadas.

(23)

Cap´ıtulo 2. Estado da Arte e Conceitos 7

de gestão de utilizadores (p.e. LDAP), e enviados para as aplicações pelo sistema de SSO. Ao receber os atributos de um utilizador, a aplicação irá verificar se este tem permissão para a aceder. Por exemplo, o sistema de SSO envia os atributos de um utilizador para a aplicação juntamente com o username após ter sido realizada a autenticação. Ao receber estes atributos, a aplicação pode verificar se o utilizador contém os atributos necessários para a aceder, definidos nas listas de controlo de acesso (p.e. se o utilizador está no grupo ”Admin”).

Usando as funções oferecidas pelos mecanismos de um sistema de SSO, as tarefas de autenticação e autorização passam a ser geridas num ponto central, garantindo pol´ıticas consistentes e coordenadas para todas as aplicações web que o utilizem.

2.1.1 Vantagens

A implementação e uso de um sistema de SSO num sistema já existente, com diversos serviços já implementados que requerem autenticação dos utilizadores, trazem vantagens para ambos utilizadores e administradores [2].

Do ponto de vista do utilizador irá haver notória redução do tempo despendido durante as operações de autenticação, aumentando a sua produtividade. Havendo apenas um inter-face de login, irá também haver uma melhoria da usabilidade dos serviços. A segurança dos utilizadores é também reforçada, já que o número de usernames e palavras-chave que cada um tem de gerir é mais reduzida.

Do ponto de vista do administrador toda a gestão das contas dos utilizadores fica mais segura e simplificada porque, com um ponto central de administração, existe uma redução do tempo despendido a adicionar e eliminar utilizadores e modificar os seus privilégios e atributos. Passa também a haver um cumprimento consistente da pol´ıtica de autenticação do sistema em todas as aplicações, fornecendo aos administradores uma maneira muito fácil de garantir a segurança aos utilizadores.

2.1.2 Desvantagens

O maior problema proveniente do uso de um sistema de SSO é o aumento de riscos de segurança inerentes ao processo de autenticação centralizado. Por exemplo, o caso em que um computador é deixado sem vigia, com uma sessão aberta, poderá oferecer um acesso global indevido a todas as aplicações associadas ao utilizador do computador.

Ao centralizar a autenticação, é criado também um ponto de ataque único, tornando-o um alvo atractivo para hackers que queiram fazer ataques de negação de serviço - Denial Of Service (DoS). Um ataque DoS é uma tentativa de impedir utilizadores leg´ıtimos de aceder a informação ou serviços. Geralmente um ataque DoS é feito através da inundação de informação numa rede. Ao encher a rede com pedidos, e visto que o servidor apenas consegue processar um certo de número de pedidos, o pedido de um utilizador leg´ıtimo

(24)

pode não ser processado. É um ataque de negação de serviço porque o serviço pretendido não pode ser acedido. Um ataque deste tipo tem o custo elevado de nenhum utilizador conseguir aceder aos recursos associados ao sistema de SSO [5].

A falha de um dos componentes cruciais para o funcionamento correcto do servidor de SSO, software ou hardware, pode ter sérios custos para o sistema onde está integrado. Por exemplo, se por acaso a máquina onde está a correr o servidor SSO falhar e esta for única a desempenhar este serviço, todas as próximas autenticações irão falhar, bloqueando todos os serviços a novos acessos. Como tal, é necessário preparar o servidor para funcionar com alta disponibilidade tornando-o tolerante a faltas, sem pontos únicos de falha.

Também a adaptação do sistema de SSO às aplicações já existente pode ser dis-pendiosa e consumidora de tempo, sendo que deve ser adoptada a solução que melhor se integre com as mesmas.

Todos estes aspectos deverão ser analisados cuidadosamente para a implementação, com sucesso, de um sistema de SSO na FCUL.

2.2 Arquitecturas de Single Sign-On

2.2.1 Pseudo SSO

Uma aproximação óbvia para suporte do utilizador é fornecer-lhe a gestão das suas cre-denciais. O utilizador pode guardar todas as suas palavras-chave e informação de auten-ticação num ficheiro encriptado ou uma base de dados segura com uma palavra-chave mestre. Obviamente que esta palavra-chave necessita de um grau de complexidade mais elevado pois será a única palavra-chave que o utilizar necessita de utilizar. Mas múltiplos e diferentes mecanismos de autenticação ainda são utilizados, mesmo que não tenha intervenção de utilizadores, e estes sistemas não podem ser chamados verdadeiros sis-temas de SSO.

Esta arquitectura tem como maior problema a corrupção ou a perda da base de dados das credenciais, impedindo assim o acesso do utilizador ao sistema, se este não se lem-brar das palavras-chave (estas podem não ser utilizadas regularmente). Por outro lado o utilizador tem de escrever várias vezes a palavra-chave mestre, o que irá fazer com que este a decore.

Esta solução também afecta a mobilidade do utilizador porque a base de dados de credenciais tem de estar dispon´ıvel em todos os computadores que este usa. Para resolver este problema as credenciais podem estar guardadas online, mas o utilizador tem de ter acesso online cont´ınuo.

(25)

2.2.2 SSO Centralizado

As caracter´ısticas chave de sistemas de SSO centralizados é, tal como o nome indica, a centralização da autenticação e da base de dados de utilizadores. Tal sistema, tem de ter uma relação de confiança com cada um dos servidores aplicacionais, Service Providers (SP), num certo dom´ınio e é normalmente chamado de Trusted Third Party (TTP). O utilizador só necessita de fornecer as suas credenciais a este TTP, no qual confia.

Estes sistemas diferem na maneira como o utilizador ´e autenticado e podem ser cate-gorizados da seguinte maneira [2] [10]:

Baseados em Tokens: depois de um utilizador se autenticar no TTP, este recebe um tokende software que é guardado na sua máquina utilizado para pedidos subsequentes ao TTP. Este token irá remover a necessidade do utilizador introduzir novamente as suas cre-denciais. Este token pode também ser reutilizado para identificar o utilizador para outros dom´ınios de autenticação TTP. Os SP’s podem validar este token através de métodos crip-tográficos baseados em chaves secretas (criptografia simétrica). Estas chaves estabelecem uma relação de confiança entre o TTP e os SP’s. O software de SSO baseado em tokens vem já presente em alguns dos populares sistemas operativos como o Windows 2008 ou Netware. O melhor exemplo de um sistema de SSO baseado em tokens é o Kerberos (ver secção 2.3.7 deste cap´ıtulo).

Baseados em PKI: Em sistemas baseados em PKI, o utilizador tem primeiro de se registar numa TTP, neste caso chamado de Certification Authority (CA). Durante este processo de registo são geradas um par de chaves assimétricas. A chave pública deste par é enviada para o CA e depois de o utilizador se autenticar com sucesso, o CA gera um certificado de chave pública para este utilizador e envia-o de volta ao utilizador. O SP é capaz agora de verificar os certificados de utilizador ao usar a chave pública do CA. Como exemplos de uma estrutura PKI, temos o Cartão do Cidadão que possui um certificado de autenticação emitido para o cidadão assinado pelo estado português (CA). (ver secção 2.3.4 deste cap´ıtulo).

2.2.3 SSO Federado

Sistemas de SSO, normalmente, estão limitados a uma organização ou um dom´ınio. Para estabelecer confiança entre diferentes dom´ınios, são necessárias Federações. O objectivo é, portanto, um sistema em que as credenciais de um utilizador provindas do seu dom´ınio, serão aceites num outro dom´ınio sem que o utilizador tenha que reintroduzir as suas cre-denciais. Isto remove a necessidade de sincronização e cópia de credenciais entre difer-entes dom´ınios. Para sistemas SSO baseados em PKI isto pode ser conseguido através de

(26)

hierarquias de CA’s ou certificação cruzada. Os sistemas federados têm a seguinte estru-tura:

Circulo de confiança – A base de um sistema federado é o c´ırculo de confiança, entre os fornecedores de serviços, Service Providers (SP). Este c´ırculo, para além de ter de ser implementado tecnicamente (p.e. hierarquias CA), tem de ser feito através de contratos de negócio entre as companhias participantes. Estes contratos incluem também acordos de operação que cada SP tem de cumprir.

Identity Provider (IdP) – Dentro de um dom´ınio é poss´ıvel centralizar a administração e a gestão da identidade de um utilizador usando um IdP ou formando um dom´ınio de segurança contendo vários IdP, cada um confiando nos restantes. Este último tem uma estrutura similar ao c´ırculo de confiança mas apenas dentro da organização.

Identity Federation – À parte do c´ırculo de confiança, os SPs têm também de nego-ciar acordos de operação com outros SP’s de outros dom´ınios de segurança. Um poss´ıvel, e importante, acordo deverá ser sobre a privacidade dos utilizadores. A identidade de um utilizador (gerida pelo IdP) consiste num conjunto de atributos e deve-se portanto mar-car os atributos com dados mais sens´ıveis ou informação confidencial. Atributos com esta marca não são transferidos aos outros SPs. Normalmente tal informação nem é necessária para a autorização. Os atributos que são permitidos serem transferidos con-stroem a chamada identidade federada de um utilizador.

Figura 2.3: Single Sign-On Federado

Por exemplo, na figura 2.3, um utilizador autenticado no IdP da Universidade A, onde as suas credenciais são mantidas, tem acesso aos recursos académicos da Universidade B através do acordo de federação que ambas fizeram. Um bom exemplo da utilização desta

(27)

arquitectura de SSO é o projecto Internet2 Shibboleth, explicado em detalhe na secção 3.2.

2.3 Tecnologias Relacionadas

2.3.1 LDAP

LDAP, Lightweight Directory Access Protocol, é um protocolo de aplicações com o ob-jectivo de guardar, modificar e pesquisar dados, usando serviços de directório a correr TCP/IP.

Um directório é um conjunto de objectos com atributos organizados de uma maneira lógica e hierárquica. Um exemplo simples é um directório de telefones, que consiste numa lista de nomes (de pessoas ou organizações) organizados alfabeticamente, cada um tendo um endereço e um número de telefone associado.

Um directório LDAP, organizado em árvore, reflecte normalmente barreiras, pol´ıticas ou situações geográficas, dependendo do modelo escolhido. Cada entrada neste directório contém um conjunto de atributos. Cada atributo destes, possui um ou mais valores, sendo que todos os elementos estão definidos num schema. Cada entrada tem um Distinguished Name (DN) único, constru´ıdo a partir dos seus atributos, seguido do DN do directório pai, como se pode ver na figura 2.4. Os atributos mais comuns num DN são OU, Organiza-tional Unit, CN, Common Name, e DC, Domain Controller.

Figura 2.4: Exemplo de um direct´orio em ´arvore LDAP

(28)

hier´arquicos, usualmente indicados no atributo DC [3]. Neste momento o LDAP vai na sua vers˜ao 3, especificado pelo IETF, Internet Engineering Task Force no RFC 4510 [7].

2.3.2 Active Directory

Um Active Directory, AD, é uma estrutura de directório usada em computadores e servi-dores baseados no sistema operativo Microsoft Windows, utilizada para guardar informação e dados sobre redes e dom´ınios. Tal como o LDAP, é definido por uma estrutura hierárquica em árvore com conjuntos de objectos. Um AD ainda fornece os seguintes serviços:

• Compatibilidade com aplicac¸˜oes que suportam LDAP;

• Autenticac¸˜ao baseada em Kerberos;

• Nomes baseados em DNS e outra informac¸˜ao de rede;

• Localização centralizada para administração de rede e delegação de autoridade;

• Informações de segurança e SSO para o utilizador aceder a recursos de rede;

• Escalabilidade;

• Armazenamento central para dados de aplicação e sincronização de actualizações de directório entre vários servidores;

Um Active Directory permite também aos administradores definir pol´ıticas, instalar softwaree aplicar updates cr´ıticos à organização em ambientes Windows. Redes de Ac-tive Directory podem variar desde uma pequena instalação com poucos computadores, utilizadores e impressoras, até milhares de utilizadores, diferentes dom´ınios e vários servi-dores em diferentes zonas geográficas [9].

2.3.3 Certificados X.509

Os algoritmos de codificação assimétrica baseiam-se na partilha, entre os diferentes uti-lizadores, de uma chave pública. Um certificado X.509 permite associar uma chave pública a uma entidade (uma pessoa, uma máquina, . . . ) a fim de assegurar a sua valida-de. Ou seja, este certificado é o como um bilhete de identidade para um chave pública, emitido por uma autoridade de certificação (Certification Authority, CA).

O CA está encarregue de emitir certificados e atribuir-lhes uma data de validade. No caso de comprometimento da chave (ou do proprietário desta) ou data de validade expi-rada, o CA têm a obrigação de revogar este certificado.

Uma autenticação baseada em certificados X.509 faz tecnicamente parte do método de autenticação por chaves públicas. Ou seja, a assinatura criada com uma chave privada

(29)

e a verificação dessa mesma assinatura usando uma chave pública (contida no certificado X.509). A diferença está em determinar se um dado utilizador está autorizado a fazer logincom uma chave pública ou certificado. Com chaves públicas convencionais, cada servidor tem de ter todas as chaves públicas dos utilizadores. Com certificados, as chaves públicas dos utilizadores não têm de ser distribu´ıdas pelos servidores. Distribuir a chave pública da Autoridade de Certificadora é o suficiente para verificar a assinatura.

2.3.4 Cart˜ao de Cidad˜ao

O Cartão de Cidadão, CC, é o novo documento único de identificação de cidadania Por-tuguesa. Este novo documento de identificação não é mais que um smart card onde se encontra um par de chaves, pública/privada, e certificados associados ao seu deten-tor, sendo o estado português o CA. Esta chave privada encontra-se protegida por uma palavra-chave numérica. Este smart card possui dois certificados com finalidades distin-tas. Um destina-se à de assinatura de documentos, o outro permite efectuar autenticações. Visto que ambos os certificados foram emitidos pelo CA do Estado Português, este doc-umento possui a mesma validade legal que um Bilhete de Identidade ou um Passaporte, e é da responsabilidade do seu detentor todas as operações electrónicas efectuadas com o mesmo.

A autenticação forte utilizando o Cartão de Cidadão tem uma vantagem crucial em relação a outros mecanismos normalmente utilizados, pois é baseada em 2 factores (algo que se tem e algo que se sabe). Isto é, garante que o utilizador de um serviço electrónico possui o Cartão de Cidadão e também conhece o seu PIN. Em comparação, a autenticação baseada em nome de utilizador/palavra-chave (utilizada na maioria dos sistemas actu-ais), esta última é muito mais vulnerável ao ”roubo”e ”empréstimo”da senha pessoal do cidadão [16].

2.3.5 Security Assertions Markup Language - SAML

Security Assertions Markup Language, SAML, é uma framework baseada em XML para comunicação de informação de identidade, direitos e atributos dos utilizadores, e foi de-senvolvido pelo OASIS (Security Services Technical Committee of the Organization for the Advancement of Structured Information Standards).

Como o seu nome sugere, o SAML permite às entidades organizacionais fazer asserções sobre a identidade, atributos e direitos de um sujeito para outras entidades, que podem ser uma organização parceira, uma aplicação de outra empresa, etc. O SAML é um pro-tocolo extens´ıvel desenhado para ser usado por outros propro-tocolos com outros standards. Por exemplo, a “Liberty Alliance”, o projecto “Internet2 Shibboleth”, e o “OASIS Web Services Security (WS-Security)” adoptaram o SAML, utilizando-o tecnologicamente a vários n´ıveis.

(30)

Ao n´ıvel do SSO, o uso da tecnologia SAML traz o benef´ıcio de tornar os serviços Web seguros, visto as suas asserções poderem ser utilizadas como tokens de segurança dentro de headers SOAP de maneira a transportar seguramente e com privacidade informações de identidade. O uso destas asserções pode também ser utilizado para ser criada uma autorização baseada em atributos do utilizador [8].

2.3.6 Cookies HTTP

Um HTTP cookie, também conhecido apenas por cookie, é uma cadeia de caracteres guardada num browser Web de um utilizador. Um cookie consiste num ou mais pares de nome-valor contendo pedaços de informação, que podem estar encriptados para privaci-dade de informação ou segurança de dados. Um cookie é enviado do servidor Web para o browserno cabeçalho de um pacote HTTP, e posteriormente enviado pelo browser Web cada vez que aquele servidor Web é acedido.

No caso de ser usado num sistema de SSO, o agente que autentica utilizadores deixa um cookie no browser do cliente. Quando o utilizador tenta aceder a um recurso, o sistema pede o cookie e se este está presente e é verificado como estando válido então o utilizador tem o acesso autorizado. Se não está presente ou está algo incorrecto com o cookie, por exemplo, se já passou o per´ıodo de validade em que o sistema de SSO opera, então é pedido ao utilizador para se reautenticar. Os cookies vêm em texto vis´ıvel, o que não é seguro. Toda a informação que está no cookie pode sofrer ataques de sniffing e como tal, a informação sens´ıvel não deve ser passada desta maneira. Uma boa maneira de garantir que os cookies não são retornados sem qualquer tipo de segurança é utilizar o parâmetro “secure”, que garante que o browser não retorna o cookie a não ser que seja usado um URL seguro, com o protocolo https [23].

2.3.7 Kerberos

Kerberos é um famoso sistema de SSO centralizado baseado em tokens, desenvolvido nos anos 80 no MIT. Para usar Kerberos, tem de haver um servidor com serviços, um cliente e o Key Distribution Center, KDC. O KDC está dividido em duas partes (o Servidor de Autenticação, AS, e o Ticket Granting Server, TGS). O cliente tem primeiro de se au-tenticar no KDC antes de usar um serviço no servidor. Só depois da autenticação ser efectuada com sucesso, é gerado um Ticket Granting Ticket, TGT. Se o cliente quer usar outro serviço, já não é necessário autenticar-se no AS novamente. Pode contactar direc-tamente o TGS com o seu TGT para obter um ticket para outro serviço. O servidor do novo serviço deve verificar se o ticket do cliente é valido ou não. Resumindo, o cliente só necessita de se autenticar uma vez, e da´ı em diante contacta o TGS enquanto o seu ticket for válido [6]. Um exemplo do uso do Kerberos é o Microsoft Windows 2000.

(31)

2.3.8 Secure Socket Layer - SSL

O protocolo SSL, Secure Socket Layer, foi criado originalmente pela Netscape para as-segurar transacções seguras entre servidores Web e browsers. Este protocolo usa uma terceira parte, uma Autoridade de Certificação (CA), para identificar um dos lados, ou ambos da transacção. Funciona da seguinte maneira:

1. Um browser pede uma p´agina segura (usualmente https://); 2. O servidor Web envia a sua chave p´ublica com o seu certificado;

3. O browser verifica que o certificado foi atribu´ıdo por uma entidade confiável (nor-malmente uma CA root confiável), que ainda está válido e que o certificado está rela-cionado com o site visitado;

4. O browser usa então a chave pública para cifrar uma chave de encriptação simétrica aleatória e envia-a para o servidor juntamente com o URL encriptado, requerido, assim como outros dados http cifrados;

5. O servidor Web decifra a chave de encriptação simétrica usando a sua chave privada e usa a chave simétrica para decifrar o URL e os dados http;

6. O servidor envia ent˜ao o documento HTML pedido e dados HTTP encriptados com a chave sim´etrica;

7. O browser decifra os dados HTTP e o documento HTML, usando a chave simétrica, e mostra a informação. [40]

(32)

(33)

Cap´ıtulo 3

Soluc¸˜oes Single Sign-On

Existem várias soluções, open source, de sistemas SSO para aplicações Web. Neste cap´ıtulo serão analisadas as várias opções dispon´ıveis para implementação de um sis-tema SSO na FCUL. Estas soluções foram escolhidas já tendo em conta o suporte de autenticação num directório Microsoft Active Directory ou LDAPv3, sendo que esta será a maneira de autenticação primária dos utilizadores na FCUL (ver Cap´ıtulo 4).

3.1 Central Authentication Service - CAS

O projecto CAS [19], Central Authentication Service, foi inicialmente desenvolvido em 2001 pela Universidade de Yale para autenticação de utilizadores de uma maneira confiável e centralizada. Em Dezembro de 2004, passou a ser um projecto da empresa Jasig.

O CAS fornece um serviço de SSO com o seu próprio protocolo, aberto, e com o servidor de autenticação totalmente escrito na linguagem Java. A integração do CAS com as aplicações pode ser ao n´ıvel de módulos/filtros no servidor aplicacional ou do lado da aplicação através de bibliotecas/clientes para várias linguagens de programação, como PHP ou ASP.NET. O servidor CAS apenas requer um servidor Web que seja capaz de correr servlets Java, como o Apache Tomcat ou JBoss e o Java JDK.

O CAS foi desenhado para ser um produto sem autorização, focando-se apenas na autenticação do utilizador. No entanto, o CAS permite a gestão de autorização de serviços associados ao SSO e escolher que atributos do utilizador a aplicação tem direito a receber. Assim, a aplicação pode criar o seu mecanismo de controlo de acesso próprio com base nestes atributos.

Como se pode observar na figura 3.1, o processo de autenticação, geralmente, começa com um pedido de um utilizador a um recurso protegido, que o redirecciona para a página de login. Este redireccionamento é feito juntamente com o URL para o qual o CAS vai enviar o utilizador após a autenticação ser efectuada (passo 1-3). Esta autenticação irá gerar um Ticket Granting Cookie (TGC) - uma longa cadeia de caracteres aleatórios que mapeia este cookie ao utilizador. É através deste cookie que o utilizador é indexado na

(34)

Figura 3.1: Arquitectura de autenticac¸˜ao inicial com CAS

memória cache de credenciais no servidor CAS. Se o browser suportar cookies, então o TGC é enviado para o browser como um cookie não persistente identificando um lo-ginbem sucedido, evitando assim a necessidade de autenticação no servidor CAS para pedidos subsequentes (passos 4-5).

Depois de conclu´ıdo o processo de autenticação, o CAS redirecciona o browser para o serviço pedido, juntamente com um Service Ticket (ST) - outra cadeia de caracteres aleatórios que mapeia o utilizador e o serviço pedido (passo 6). A aplicação pode agora extrair o ticket e valida-lo usando o URL de validação do CAS, passando o ticket e o serviço como parâmetros deste URL (passos 7). Uma validação feita com sucesso resulta na destruição no ticket de serviço e é retornado o nome de utilizador ao serviço (passos 8). Finalmente, o utilizador tem acesso ao recurso pretendido inicialmente (passo 9). Futuros pedidos a servidores/aplicações protegidas pelo CAS não irão necessitar que o utilizador se autentique novamente, visto este já possuir todos os tokens necessários para uma experiência SSO [18].

O CAS também tem suporte para Proxy. Proxy é basicamente um serviço que deseja comunicar com outro serviço em nome de um utilizador. Isto é conseguido através de um

(35)

Cap´ıtulo 3. Soluc¸˜oes Single Sign-On 19

Proxy-Granting Ticket (PGT) do CAS que permite produzir um Proxy Ticket (PT) que dá acesso ao serviço simulando um utilizador. Esta habilidade de proxy é particularmente importante para serviços, como portais, que desejam comunicar com outros serviços em nome do utilizador sem perguntar novamente pelas credenciais [17].

O CAS oferece um protocolo de Single Sign-Out, efectuado quando um utilizador acede à página de logout. Para isto, o CAS envia uma mensagem POST HTTP a todas as aplicações que estejam associadas à sessão do utilizador. Este Single Sign-Out apenas funciona para clientes / linguagens cuja gestão de sessão é mantida do lado do servi-dor. Isto significa que em aplicações cuja sessão é mantida em cookies no browser do utilizador, a que o CAS não tem acesso, não participam no protocolo de Single Sign-Out.

3.2 Shibboleth

Shibboleth [35] é um sistema de SSO, baseado em formatos abertos, principalmente SAML. É um sistema federado, suportando um acesso seguro a recursos em vários dom´ınios. As chamadas federações podem servir para vários servidores de recursos confiarem entre si duma forma escalável. Entres estes servidores, numa federação, podem ser trocadas informações de identidade, direitos e atributos de utilizadores. O projecto Internet2 Shib-boleth começou em 2000, sendo que a versão 1.0 foi apenas lançada em 2003 e a versão 2.0 foi lançada em Março de 2008.

O Shibboleth tem dois componentes essenciais para o seu funcionamento: um Identity Provider (IdP) e um Service Provider (SP). O IdP tem como função principal responder a pedidos de informação sobre utilizadores. O SP utiliza esta informação para proteger os recursos. A componente IdP apenas necessita um servidor Web que seja capaz de correr servlets Java, como o Apache Tomcat ou JBoss e o Java JDK. Para o componente SP, existem módulos para os servidores aplicacionais Apache Web Server e IIS.

Como se pode ver na figura 3.2, um utilizador não autenticado ao tentar aceder a um recurso protegido é redireccionado para a página de WAYF (“Where Are You From?”), cujo objectivo é canalizar os utilizadores não autenticados para as respectivas instituições de origem, ou seja, escolher o IdP onde as suas credenciais são mantidas (passos 1-3).

Após a selecção, por parte do utilizador, da sua instituição, este serviço redirecciona o utilizador automaticamente para a página de login do IdP da sua instituição (passos 4-6) . Se a autenticação for feita com sucesso, este IdP vai preparar a informação protegida para ser enviada para o recurso presente no SP, e é feito um redireccionamento para o SP juntamente com uma “handle” de autenticação (passos 7-9).

O SP vai receber esta handle e reenvia-a para o IdP, pedindo os atributos do utilizador (passo 10). A handle enviada pelo SP é assim verificada pelo IdP e, caso esteja tudo correcto, os atributos do utilizador são enviados ao recurso (passo 11). Ao receber os atributos, o SP pode tomar uma decisão informada sobre o acesso do utilizador a recursos

(36)

protegido (passo 12) [36] [37].

O Shibboleth n˜ao oferece suporte para Single Sign-Out, recomendando que o browser Web seja fechado pelo utilizador quando este desejar terminar a sess˜ao.

Figura 3.2: Arquitectura de autenticac¸˜ao inicial e envio de atributos do Shibboleth

3.3 simpleSAMLphp

simpleSAMLphp [38] é uma aplicação escrita totalmente em PHP que agrega mecanismos de autenticação e protocolos de federação, podendo ser utilizado como Identity Provider e/ou Service Provider.

Esta aplicação suporta protocolos SAML 2.0 e Shibboleth 1.3 para ambos Identity Provider, IdP, e Service Provider, SP. A arquitectura de autenticação e autorização desta aplicação, é, portanto, igual à do Shibboleth. O simpleSAMLphp permite ainda a utilização de mecanismos de autenticação SSO alternativos para o IdP, como é o caso do Jasig CAS, Twitter ou OpenId.

(37)

Server com o m´odulo PHP instalado e configurado com as extens˜oes zlib, OpenSSL, CURL e LDAP.

3.4 Pubcookie

Pubcookie [30] é um sistema de autenticação proveniente da Universidade de Washing-ton, que consiste apenas num servidor de login e filtros para servidores aplicacionais. O servidor de login requer apenas que haja um suporte para scripts CGI (Common Gateway Interface). CGI é um standard Web [4] que define como um software de um servidor Web delega a criação de páginas Web a uma aplicação. Estas aplicações têm o nome de scripts CGI, e podem ser escritas em qualquer linguagem de programação. Noutras palavras, é uma interface entre servidores Web e clientes. Por outro lado, os módulos do Pubcookie existem apenas para Apache Web Server ou Microsoft IIS, estando assim os serviços limitados ao uso destes servidores aplicacionais.

Figura 3.3: Arquitectura de autenticac¸˜ao inicial com Pubcookie

Como se pode observar na figura 3.3, o processo de autenticação começa, habitual-mente, com um pedido de um utilizador a um recurso protegido pelo filtro Pubcookie (passo 1). Este filtro ao verificar que o utilizador ainda não efectuou a autenticação no servidor de login, irá criar dois cookies, um cookie de pré-sessão associado ao recurso

(38)

pretendido e um Granting Request Cookie associado ao servidor de login e redirecciona o utilizador para a p´agina de login (passos 2-4).

Depois de se autenticar com sucesso, é gerado um Granting Cookie, contendo o nome de utilizador e um número aleatório recebido do servidor aplicacional via Grant-ing Request Cookie, e um Login Cookie para ser utilizado em pedidos subsequentes de autenticação (passos 5-6). Este Granting Cookie está protegido contra modificações ao ser assinado pela chave privada do servidor de login, e protegido contra revelação ao ser cifrado com uma chave simétrica secreta partilhada entre o servidor aplicacional e o servidor de login. O utilizador é agora redireccionado para o recurso original, mas agora fazendo um pedido com o Granting Cookie e o Cookie de pré-sessão (passo 7).

O filtro do servidor aplicacional intercepta novamente o pedido, verificando agora o Granting Cookiee o cookie de pré-sessão. O filtro verifica a assinatura usando a chave pública do servidor de login e compara o número aleatório contido no Granting Cookie com número aleatório contido no cookie de pré-sessão. Se ambos os cookies são válidos, o filtro envia o nome de utilizador para a aplicação juntamente com o resto do pedido orig-inal. O filtro gera também uma cookie de sessão para pedido subsequentes do utilizador à aplicação. Tendo autenticado com sucesso o utilizador, a aplicação pode finalmente enviar o recurso originalmente pedido (passo 8).

Se o Granting Request Cookie for acompanhado por um já estabelecido, e válido, Login Cookie, o utilizador já não necessita de se autenticar novamente, começando assim a experiência de SSO [31].

O Pubcookie não fornece qualquer tipo de mecanismo para autorização ou Single Sign-Out.

3.5 CoSign

CoSign [24] foi lançado em versão beta em 2002 para providenciar à Universidade de Michigan um sistema de SSO na Web, constitu´ıdo por três componentes.

O CGI central é responsável por autenticar utilizadores no servidor central CoSign. É também responsável para registar cada serviço que o utilizador acede – esta acção associa o cookie de login do utilizador à sua sessão nas aplicações. Este CGI foi constru´ıdo para utilizar Kerberos V e GSSAPI para autenticar os utilizadores.

O segundo componente, é o daemon central responsável por manter o estado de todas as sessões do CoSign, incluindo utilizadores que fizeram login, logout ou idle time out. Isto significa que o daemon mantém o estado de todos os cookies de serviço que represen-tam as aplicações Web que o utilizador acedeu. O daemon tem a habilidade de replicar a sua base de dados de cookies para múltiplos servidores, para que a falha de um servidor não constitua a falha de um sistema. O daemon responde a interrogações de identidade de utilizadores do CGI e do filtro e comunica com os outros daemons através do protocolo

(39)

de replicac¸˜ao. O daemon foi escrito inteiramente em C e tem conhecimento dos tickets Kerberus V.

Por último existe o filtro que é instalado nos servidores aplicacionais, responsável por determinar que áreas do Web site estão protegidas pelo CoSign e as que não estão. Se um utilizador tenta aceder a uma área protegida, o filtro assegura que o utilizador está autenti-cado, e obtém o seu username, o realm de autenticação, endereço ip e opcionalmente um ticket Kerberos. Esta informação pode ser utilizada por mecanismos externos para pos-teriores decisões de autorização. CoSign permite a integração deste filtro nos servidores aplicacionais Apache Web Server, IIS 6 e 7 e também para servidores que suportam Java, como o Tomcat ou o JBoss.

Figura 3.4: Arquitectura de autenticac¸˜ao inicial com CoSign

Como se pode observar pela figura 3.4, o processo de autenticação é bastante semel-hante ao processo de autenticação do CAS. Este processo inicia-se, tipicamente, pelo acesso de um utilizador a um recurso protegido sendo redireccionado para a página de logincaso não apresente um Service Token válido (passos 1-3). A autenticação do uti-lizador nesta página irá gerar um Login Cookie, para indexar o utiuti-lizador é indexado na memória cache de credenciais do CoSign, e o Service Token para acesso ao serviço

(40)

(pas-sos 4-6) . Após a recepção do Service Token, a aplicação irá verificar se este é válido comunicando com o servidor de login (passo 7). Se o servidor de login responder com o ID de utilizador, significa que o token está válido e a aplicação envia o utilizador para o recurso pretendido (passos 8-9).

O CoSign suporta o Single Sign-Out de todos os servic¸os associados ao CoSign atrav´es de um URL [25].

3.6 WebAuth

WebAuth [41] é sistema de SSO constru´ıdo a pensar em servidores aplicacionais com o Apache Web Server como front end de pedidos HTTP. Entrou em produção em Stanford, em Julho de 1997 e teve a sua maior reformulação em Fevereiro de 2003. O WebAuth consiste no WAS (servidor aplicacional com WebAuth activado) e o WebKDC (WebAuth Key Distribution Centre), ambos escritos em C. Tanto para o WAS como para o WebKDC é necessário instalado Apache, OpenSSL, MIT Kerberus ou Heimdal Kerberus e cURL.

Como se pode verificar na figura 3.5, o WAS é responsável por verificar se um uti-lizador já está identificado no WebKDC, ou seja, se este já possui um ID Token (passo 3). Se o utilizador não tiver este token, o pedido é redireccionado para o WebKDC com um Request Token (passo 4) . A componente WebLogin do WebKDC apresenta uma página de login no browser do utilizador e se a autenticação for feita com sucesso, o WebKDC vai gerar dois tokens (passos 5-7). O primeiro token, WebKDC cookie, é usado para prov-idenciar futuros pedidos de SSO, e o segundo, ID Token, é enviado para o WAS, que o vai verificar após a sua recepção (passo 8). Se este estiver correcto, é criado um cookie de sessão, e o utilizador ficará então com acesso ao recurso inicialmente pretendido (passo 9).

A maior desvantagem neste sistema é não ter suporte para mais nenhum servidor apli-cacional, como o IIS. Não possui um sistema de Single Sign-Out e para integração com autenticação em directórios LDAP/Microsoft Active Directory é necessário a instalação de um segundo módulo Apache e as aplicações Cyrus SASL e OpenLDAP. Para o envio dos atributos de um utilizador, populado num directório deste tipo, é ainda necessário um módulo adicional instalado no WebKDC [44].

(41)

Figura 3.5: Arquitectura da autenticac¸˜ao inicial com WebAuth

3.7 Resumo das funcionalidades das soluc¸˜oes SSO

Para uma melhor comparação entre as diversas soluções SSO previamente analisadas, foram definidas as seguintes funcionalidades chave:

• Autenticação - A solução permite autenticação tendo como base de credenciais um directório LDAP;

• Autorização - A solução possui a capacidade de serem disponibilizados à aplicação os atributos populados num directório LDAP;

• Federação - A solução permite, de raiz, a possibilidade de federar a identidade de utilizadores de um directório LDAP;

• Filtros - A solução fornece filtros e/ou módulos para os servidores aplicacionais referidos;

• Single Sign-Out - A solução permite Single Sign-Out, ou seja, logout simultâneo em todas as aplicações.

(42)

Software Autenticação Autorização Federação Filtros Single Sign-Out CAS √ √ χ IIS, Apache √

Shibboleth √ √ √ IIS, Apache χ simpleSAMLphp √ √ √ IIS, Apache √ PubCookie √ χ χ IIS, Apache χ CoSign √ χ χ IIS, Apache √ WebAuth √ √ χ Apache χ

Tabela 3.1: Comparação entre as diferentes soluções de SSO

Ao analisar a tabela 3.1 é poss´ıvel fazer uma rápida comparação entres as funcional-idades das diversas soluções encontradas. No cap´ıtulo seguinte irá ser feita a análise destas mesmas soluções para integração das aplicações Web especificas da FCUL com necessidade de SSO.

(43)

Cap´ıtulo 4

Single Sign-On na FCUL

4.1 Arquitectura de Autenticac¸˜ao na FCUL

O Centro de Informática (CI) disponibiliza cada vez mais sistemas de informação na Internet aos utilizadores da FCUL. Estes utilizadores estão representados através de ob-jectos num directório, Microsoft Active Directory, em dois dom´ınios diferentes, fc.ul.pt e alunos.fc.ul.pt. O dom´ınio fc.ul.pt, contém as contas dos funcionários, docentes e não docentes, enquanto o dom´ınio alunos.fc.ul.pt contém todas contas de alunos da Faculdade. Este directório permite aos serviços do CI ligarem-se todos à mesma central de cre-denciais de utilizadores para realizar operações de autenticação, sem redundância de informação. Ou seja, para um serviço autenticar um utilizador basta criar uma ligação ao directório e verificar se as credenciais inseridas estão correctas. Mas não havendo uma infra-estrutura de autenticação, esta tarefa têm de ser codificada individualmente para cada serviço, não havendo pol´ıticas de autenticação obrigatoriamente consistentes. O facto de não existir um sistema de SSO na FCUL tem as seguintes desvantagens:

• Para efectuarem a ligação ao directório, os serviços precisam de fornecer as creden-ciais de um utilizador com as devidas permissões para este efeito. Isto originou a criação excessiva de contas com esta permissão à medida que foram criados novos serviços disponibilizados pelo CI.

• Apesar de ser usada a mesma base de dados de credenciais, a maneira como os serviços autenticam os utilizadores não é necessariamente a mesma. Não havendo uma centralização de pol´ıticas de autenticação, certos serviços da FCUL exigiam apenas o username, outros o endereço de correio electrónico completo para realizar a autenticação ([email protected] ou [email protected]). Como se pode observar na figura 4.1, esta falta de coordenação pode dar origem a confusão por parte dos utilizadores na maneira de como se devem autenticar em certos serviços.

• O aspecto da página de login varia entre os diferentes serviços. O facto de os utilizadores não reconhecerem a página na qual estão a introduzir as credenciais

(44)

Figura 4.1: Autenticac¸˜ao na FCUL sem Single Sign-On

traz sérios riscos de segurança. É bastante mais seguro os utilizadores inserirem sempre as suas credencias numa página que conhecem e confiam.

• Os registos de acesso nas aplicações não estão centralizados, aumentado os custos de auditoria de processos de autenticação.

Com um sistema de SSO, os serviços deixarão de ter poder de decisão na autenticação de utilizadores, cumprindo as pol´ıticas definidas externamente. Ou seja, quando os serviços recebem um nome de utilizador, podem assumir que todo o processo de autenticação já foi efectuado.

4.2 Aplicac¸˜oes com necessidade de Single Sign-On

Existem várias aplicações com necessidade de integração com o sistema de SSO, cada uma com um mecanismo de autenticação e autorização próprio:

• Correio Electrónico (webmail.fc.ul.pt) – Aplicação onde os utilizadores da FCUL podem verificar a sua conta de correio electrónico num browser Web. Todos os uti-lizadores de ambos dom´ınios, fc.ul.pt e alunos.fc.ul.pt, têm acesso a esta aplicação. Para autenticação nesta aplicação, os utilizadores do dom´ınio alunos.fc.ul.pt, têm de inserir o endereço de correio electrónico completo, enquanto que para contas do dom´ınio fc.ul.pt pode apenas ser inserido o username. Esta aplicação utiliza o sistema Microsoft Outlook Web Access do Microsoft Exchange.

• Gestão de Utilizadores / Tomadas (gestao.fc.ul.pt) – Aplicação responsável pelo registo de novos utilizadores e pedidos de activação/desactivação de tomadas por parte dos utilizadores da rede da Faculdade e usado para a gestão de utilizadores e tomadas pelos administradores de rede. A aplicação foi escrita totalmente em PHP, a correr em Apache Web Server, e só utilizadores do dom´ınio fc.ul.pt têm acesso a esta aplicação. A autenticação é efectuada inserindo o username.

• Gestão de Contas de Alunos (gestao.alunos.fc.ul.pt) – Aplicação onde os alunos da Faculdade podem verificar e gerir a sua conta de utilizador. Inclui também a

(45)

Cap´ıtulo 4. Single Sign-On na FCUL 29

informação do sistema de impressões e controlo de acesso da Faculdade. Esta aplicação foi escrita totalmente em PHP, a correr em Apache Web Server, e ape-nas têm acesso alunos com uma conta do dom´ınio alunos.fc.ul.pt. A autenticação é efectuada inserindo o username.

• Moodle (moodle.fc.ul.pt) – Plataforma de e-learning, onde professores e alunos acedem para dar um suporte mais interactivo às aulas, ou até mesmo realizar provas de avaliação. O moodle tem suporte de base para alguns sistemas de SSO e está escrito em PHP, a correr em Apache Web Server. Esta plataforma está acess´ıvel, para além de todos os utilizadores dos dominios fc.ul.pt e alunos.fc.ul.pt, também a utilizadores com o dom´ınio campus.ul.pt. Utilizadores com este dom´ınio são alunos externos ao directório de utilizadores da FCUL, mas que fazem parte da Universidade de Lisboa e necessitam do acesso a esta plataforma para algumas disciplinas do seu curso leccionadas no campus da FCUL. A autenticação é feita através da inserção do endereço de correio electrónico completo.

• Site de downloads do CI (ci.fc.ul.pt/software) – Aplicação onde todos os uti-lizadores da FCUL, fc.ul.pt ou alunos.fc.ul.pt, têm acesso a software dispon´ıvel para download. Aplicação escrita totalmente em PHP, a correr em Apache Web Server. A autenticação é feita através do endereço de correio electrónico completo.

• Candidaturas FCUL (candidaturas.fc.ul.pt) – Aplicação pública para candidatu-ras a Mestrados de 2oCiclo de Bolonha na FCUL. Esta aplicação apenas necessita de autenticação caso o candidato ao mestrado seja já aluno da FCUL, com uma conta do dom´ınio alunos.fc.ul.pt. Neste caso, o aluno autentica-se com o seu username e alguns dos campos do formulário de candidatura já se encontram preenchidos. Aplicação escrita totalmente em PHP, a correr em Apache Web Server.

4.3 Escolha da soluc¸˜ao Single Sign-On a implementar na

FCUL

Para a escolha da melhor solução SSO a implementar na FCUL é preciso verificar a compatibilidade das soluções encontradas com os serviços Web com necessidade de SSO.

(46)

Software Aplicac¸˜oes em PHP Moodle OWA

CAS CasOwa

Shibboleth M´odulo para Apache ou biblioteca PHP adi-cional

Integrac¸˜ao de origem

simpleSAMLphp

PubCookie Requer instalação de Não dispon´ıvel CoSign Módulo para Apache um módulo adicional

no Moodle WebAuth N˜ao dispon´ıvel

Tabela 4.1: Compatibilidade das diferentes soluções de SSO em relação aos serviços da FCUL

Observando a tabela 4.1 verifica-se que a solução CAS é a única que apresenta a total-idade de requisitos necessários à integração de um sistema de SSO com todos os serviços da FCUL. A razão mais forte para ser escolhido o CAS em vez dos outros sistemas é a possibilidade de ser utilizado como sistema de autenticação do OWA. É o único sis-tema, de todos os analisados, que oferece uma versão funcional para a integração com este software proprietário. A integração out-of-the-box do Moodle com um sistema CAS, ou seja, sem qualquer alteração de código ou instalação de módulos adicionais, é também um grande ponto a favor.

Apesar de não oferecer um sistema federado de raiz, ou seja, oferecer todas as ca-pacidades de um IdP federado, a possibilidade de ser utilizado como mecanismo de autenticação com outro sistema que o faça, como o simpleSAMLphp ou Shibboleth, pos-sibilita uma poss´ıvel integração numa federação.

De todos os sistemas analisados foi a solução que apresentou melhor documentação tendo em conta a instalação de um servidor de autenticação CAS, a alta disponibilidade, a expansibilidade para novos tipos de autenticação e a integração com diversos servidores aplicacionais, linguagens de programação e aplicações.

Por fim, foi considerado este sistema a pensar no futuro dos sistemas Web ofereci-dos pelo CI, e na poss´ıvel integração com serviços do Departamento de Informática, DI, da FCUL. O DI é uma excepção aos outros departamentos da FCUL, onde os alunos, bolseiros, investigadores, docentes e não docentes, para além de terem uma conta no CI, também possuem uma segunda conta para os serviços do seu departamento. Isto significa que existem duas contas electrónicas, em directórios diferentes, para representar a mesma pessoa informaticamente na FCUL. Esta integração seria feita com o fim de unificar os directórios, fc.ul.pt e di.fc.ul.pt (incluindo ambos os subdirectórios alunos.fc.ul.pt e alunos.di.fc.ul.pt). Esta unificação permitiria eliminar a redundância de dados entre as duas contas electrónicas para o mesmo aluno e permitiria as aplicações do DI

(47)

partici-Cap´ıtulo 4. Single Sign-On na FCUL 31

parem no protocolo de SSO do CI. Tendo esta possibilidade em mente, o CAS seria a melhor solução de SSO a implementar visto o DI já utilizar este sistema de autenticação para o serviço de Administração de Sistemas Informáticos do DI (admin.di.fc.ul.pt) e o serviço de arquivo de conteúdo académico na plataforma moodle (coruja.di.fc.ul.pt), e possivelmente o vir a adaptar a outras aplicações e serviços.

4.4 Arquitectura da soluc¸˜ao escolhida - CAS

Para que seja poss´ıvel desenhar uma arquitectura para utilização do CAS como sistema de SSO na FCUL, é necessaário compreender todos os componentes envolvidos na autenticação de utilizadores. Apesar dos seus aspectos principais já estarem descritos na secção 3.1, pode ser encontrado no Apêndice A toda informação sobre os tokens e URIs do CAS.

4.4.1 Autenticac¸˜ao

Como já foi anteriormente referido, todos os serviços com necessidade de SSO autenticam os utilizadores no mesmo directório. Ao centralizar a autenticação, os serviços da FCUL deixarão de efectuar ligações directamente ao directório para autenticar utilizadores. Ou seja, a autenticação de utilizadores nos serviços da FCUL irá passar a ser feita através da instalação/configuração de filtros:

• phpCAS - Biblioteca para integrar aplicações escritas em PHP com o protocolo CAS. A integração das aplicações escritas em PHP da FCUL com esta biblioteca é explicada em pormenor na sub-secção 5.2.1;

• auth cas - Filtro presente no Moodle para uso do CAS como modo de autenticação de utilizadores. A activação deste filtro no Moodle da FCUL é explicado em por-menor na sub-secção 5.2.2;

• casOwa - Filtro para alteração do modo de autenticação de utilizadores do Out-look Web Access para CAS. A integração do webmail da FCUL com este filtro é explicado em pormenor na sub-secção 5.2.3;

Tal como se pode observar na figura 4.2, os serviços passam a comunicar, através destes filtros, directamente com o servidor CAS para autenticar utilizadores. Por outras palavras, o sistema de autenticação das aplicações, feito pela ligação directa ao directório, é substitu´ıdo pelos filtros CAS. O servidor CAS apenas garante que o utilizador está autenticado sendo que é da obrigação dos serviços criar o mecanismo de controlo de acesso aos mesmos. Por exemplo, o serviço ”gestao.fc.ul.pt”tem de permitir o acesso a utilizadores autenticados apenas do dom´ınio fc.ul.pt. Ou seja, utilizadores autenticados, mas do dom´ınio alunos.fc.ul.pt, não estão autorizados a aceder a este serviço.

(48)

Figura 4.2: Autenticac¸˜ao na FCUL com CAS

No novo sistema de SSO, os utilizadores irão ter duas maneiras de se autenticarem. A primeira, e mais comum, irá ser através do seu endereço de correio electrónico e respectiva palavra-chave.

A segunda será através da autenticação através do Cartão de Cidadão (CC). Os cer-tificados de autenticação do CC, como referido na subsecção 2.3.4, contêm informações confiáveis do seu detentor, incluindo o número do Cartão de Cidadão. Visto que no di-rectório da FCUL existe um atributo para cada utilizador com o seu número do CC, é poss´ıvel fazer autenticação de utilizadores desta forma:

1) Ao escolher o método de autenticação por CC (na página de login), o uti-lizador envia o seu certificado de autenticação do CC e outros dados aleatórios, através do browser, assinados com a chave privada, pin, para o servidor CAS;

2) O CAS utiliza o certificado do CA (e recursos externos) para verificar se o certificado do utilizador ´e v´alido;

3) O CAS verifica que o utilizador tˆem uma chave privada v´alida ao analisar a assinatura do pacote inicial;

4) Após esta verificação, o gestor de autenticação do CAS extrai o número do BI do certificado e procura um utilizador no directório com este número;

5) Se encontrar um utilizador com este número de BI no directório, autentica o utilizador no CAS e envia o email deste utilizador para a aplicação;

Deste modo, é indiferente para as aplicações o modo como o utilizador foi autenticado. Qualquer que seja o método escolhido pelo utilizador, o resultado final do processo de autenticação é igual, sendo enviado o email do utilizador à aplicação.