Аутентификация и Авторизация в Решениях Cisco Collaboration ·...
Transcript of Аутентификация и Авторизация в Решениях Cisco Collaboration ·...
Аутентификация и Авторизация в Решениях Cisco CollaborationСветлана Старинчикова
Инженер премиальной поддержки CX EMEAR
CCIE Collaboration # 55855
Cisco
Содержание
• Введение
• Аутентификация SAML SSO
• Конфигурация SAML SSO на CUCM, Expressway, CUC
• Авторизация OAuth
• Авторизация и Аутентификация в Collaboration-решениях
• Конфигурация OAuth with Refresh Login Flow
© 2019 Cisco and/or its affiliates. All rights reserved.
Аутентификация и Авторизация
© 2019 Cisco and/or its affiliates. All rights reserved.
Аутентификацияпроверяет, что пользователь
действительноявляется тем, кем представляется
Авторизацияпроверяет, что пользователю
разрешено выполнять запрошенное действие
≠
Клиенты СервисыIdP
АутентификацияSAML SSO
Обычная Аутентификация Пользователя
© 2019 Cisco and/or its affiliates. All rights reserved.
Приложение 1
Приложение 2
Приложение 3
Приложение N
username
●●●●●●●●
Username:
Password:
Loginusername
●●●●●●●●
Username:
Password:
Loginusername
●●●●●●●●
Username:
Password:
Loginusername
●●●●●●●●
Username:
Password:
Login
Single Sing-On
© 2019 Cisco and/or its affiliates. All rights reserved.
IdP
Приложение 1
Приложение 2
Приложение 3
Приложение N
username
●●●●●●●●
Username:
Password:
Login
Security Assertion Markup Language (SAML)
• Стандарт, регламентирующий обмен информацией для аутентификации между различными системами (Identity Provider, Service Provider, User Agent), основанный на языке XMLhttps://www.oasis-open.org/committees/security
• Разработан OASIS (Organization for the Advancement of Structured Information Standards) – некоммерческим консорциумом, управляющим разработкой и принятием открытых стандартов для глобального информационного сообщества
• Текущая версия SAML v2.0Без обратной совместимости с предыдущими версиями v1.0/v1.1
• Не регламентирует методы аутентификации и их применение
© 2019 Cisco and/or its affiliates. All rights reserved.
Роль Identity Provider (IdP)
© 2019 Cisco and/or its affiliates. All rights reserved.
• Обрабатывает запросы на аутентификацию от сторонних доверенных систем
• Верифицирует личность пользователей тем или иным методом аутентификации
• Логин/Пароль
• Сертификат
• Биометрическая информация
• Возвращает SAML Assertion с необходимыми атрибутами
• userid
• email address
IdP
Как Работает SAML v2.0?
© 2019 Cisco and/or its affiliates. All rights reserved.
IdP
Service ProviderПриложениеCUCM/CUC/Expressway/etc…
IdPIdentity Provider
ОбменМетаданными
0
0
2
1
5
6
3
User AgentВеб БраузерПользователя
4
4
Последующие Запросы Ресурсов
© 2019 Cisco and/or its affiliates. All rights reserved.
IdP
IdPIdentity Provider
ОбменМетаданными
0
0
1
2Веб БраузерПользователя
Service ProviderПриложениеCUCM/CUC/Expressway/etc…
Последующие Запросы Ресурсов
© 2019 Cisco and/or its affiliates. All rights reserved.
IdP
IdPIdentity Provider
2
1
4
5
3
Веб БраузерПользователя
ОбменМетаданными
0
0
Service ProviderПриложениеCUCM/CUC/Expressway/etc…
КонфигурацияSAML SSO
Поддерживаемые IdP для SAML SSO
© 2019 Cisco and/or its affiliates. All rights reserved.
• Поддерживается любой IdP, соответствующий стандарту SAML v2.0 OASIS Standard
• Внутреннее тестирование выполняется на
• Microsoft AD FS 2.0
• Open Access Manager (OpenAM) 11.0
• Ping Federate 6.10.0.4
• Okta
Конфигурация SAML SSO на CUCM/IM&P и CUC0. Предварительная конфигурация
© 2019 Cisco and/or its affiliates. All rights reserved.
• NTP. IdP и SP должны быть синхронизированы по одному NTP-серверу
• DNS. Браузер клиента должен разыменовывать FQDN IdP и SP
• LDAP-синхронизация пользователей
• Как минимум один LDAP-Synchronized End Userдолжен иметь права Администратора
Конфигурация SAML SSO на CUCM/IM&P и CUC1. Выгрузка SP Metadata
© 2019 Cisco and/or its affiliates. All rights reserved.
• Cluster Wide SSO mode рекомендован
• Требуется SAN сертификатДо 12.0 – только CA-Signed Tomcat12.0+ - может быть Self-Signed SAN-сертификат только для SSO
• SP Metadata содержит в себе:
• Сертификат
• Адрес SSOSP Web-сервиса
• SAML Bindings
System > SAML Single Sing-On
Конфигурация SAML SSO на CUCM/IM&P и CUC2. Конфигурация IdP
© 2019 Cisco and/or its affiliates. All rights reserved.
• Создание SP Connections
• Импорт SP Metadata
• Настройка методов аутентификации
• Экспорт IdP Metadata
IdPIdentity Provider
(IdP)
SP Metadata
IdP Metadata
Конфигурация SAML SSO на CUCM/IM&P и CUC3. Включение SSO
© 2019 Cisco and/or its affiliates. All rights reserved.
• Выбор SSO Mode и Сертификата
• Enable SSO
System > SAML Single Sing-On
Конфигурация SAML SSO на CUCM/IM&P и CUC3. Включение SSO
© 2019 Cisco and/or its affiliates. All rights reserved.
• Выбор SSO Mode и Сертификата
• Enable SSO
• Импорт IdP Metadata
System > SAML Single Sing-On
Конфигурация SAML SSO на CUCM/IM&P и CUC3. Включение SSO
© 2019 Cisco and/or its affiliates. All rights reserved.
• Выбор SSO Mode и Сертификата
• Enable SSO
• Импорт IdP Metadata
• Экспорт SP Metadata(если не сделано ранее)
System > SAML Single Sing-On
Конфигурация SAML SSO на CUCM/IM&P и CUC3. Включение SSO
© 2019 Cisco and/or its affiliates. All rights reserved.
• Выбор SSO Mode и Сертификата
• Enable SSO
• Импорт IdP Metadata
• Экспорт SP Metadata(если не сделано ранее)
• Выбор пользователя и выполнение SSO Test
System > SAML Single Sing-On
Конфигурация SAML SSO на CUCM/IM&P и CUC3. Включение SSO
© 2019 Cisco and/or its affiliates. All rights reserved.
• Выбор SSO Mode и Сертификата
• Enable SSO
• Импорт IdP Metadata
• Экспорт SP Metadata(если не сделано ранее)
• Выбор пользователя и выполнение SSO Test
System > SAML Single Sing-On
Конфигурация SAML SSO на Expressway-C1. Выгрузка SP Metadata
© 2019 Cisco and/or its affiliates. All rights reserved.
Expressway-C > Configuration > Unified Communications > Identity Providers (IdP)
2. Конфигурация IdPАналогично CUCM
Конфигурация SAML SSO на Expressway-C3. Импорт IdP Metadata
© 2019 Cisco and/or its affiliates. All rights reserved.
Expressway-C > Configuration > Unified Communications > Identity Providers (IdP)
Конфигурация SAML SSO на Expressway-C3. Импорт IdP Metadata
© 2019 Cisco and/or its affiliates. All rights reserved.
Expressway-C > Configuration > Unified Communications > Identity Providers (IdP)
Конфигурация SAML SSO на Expressway-C3. Импорт IdP Metadata
© 2019 Cisco and/or its affiliates. All rights reserved.
Expressway-C > Configuration > Unified Communications > Identity Providers (IdP)
Конфигурация SAML SSO на Expressway-C3. Импорт IdP Metadata
© 2019 Cisco and/or its affiliates. All rights reserved.
Expressway-C > Configuration > Unified Communications > Identity Providers (IdP)
АвторизацияOAuth
Авторизация Доступа Приложений к Ресурсам
© 2019 Cisco and/or its affiliates. All rights reserved.
API 1
API 2
API 3
API N
IdP
IdPIdentity Provider
OAuth Authorization Framework
© 2019 Cisco and/or its affiliates. All rights reserved.
• Открытый протокол авторизации (RFC 6749), позволяющий сторонним приложениям получать ограниченный доступ к ресурсам или API от имени пользователяhttps://tools.ietf.org/html/rfc6749
• Пользователь авторизует клиентские приложение, разрешая ему доступ к защищенному ресурсу без передачи аутентификационных данных (пароля)
• Стандарт определяет токены авторизации. Токен дает доступ к ограниченному, заранее определенному набору ресурсов сервера.
• OAuth не имеет отношения к аутентификации.Аутентификация выполняется отдельно любым необходимым методом.
Преимущества OAuth
© 2019 Cisco and/or its affiliates. All rights reserved.
• Доверие сторонним приложениям
• Уменьшает риск фишинга
• Возможность предоставитьлишь ограниченный доступ
• Синхронизация паролей
• Возможность отзыва доступа
• Возможность использованияболее надежной аутентификации
Общая Последовательность Получения Токена OAuth 2.0
© 2019 Cisco and/or its affiliates. All rights reserved.
Resource Server(Защищенный ресурс)
AuthorizationServer
IdP
Аутентификация(вне процесса OAuth)
TrustRelationship
ResourceOwner
(Пользователь)
User Agent(Браузер)
Client(Приложение)
1
2
3
54
ЗапрашиваетАвторизацию
Разрешаетдоступ
Типы OAuth Authorization Grants
© 2019 Cisco and/or its affiliates. All rights reserved.
• Implicit
• Authorization Code
• Resource Owner Password Credentials
• Client Credentials
OAuth Implicit Grant
© 2019 Cisco and/or its affiliates. All rights reserved.
IdP
Resource Server(Защищенный ресурс)
AuthorizationServer
Аутентификация(вне процесса OAuth)
TrustRelationship
ResourceOwner
(Пользователь)
User Agent(Браузер)
Client(Приложение)
2
3
4
5
6
Браузер выполняет СкриптПередает Токен в Приложение
1
OAuth Authorization Code Grant
© 2019 Cisco and/or its affiliates. All rights reserved.
IdP
Resource Server(Защищенный ресурс)
AuthorizationServer
Аутентификация(вне процесса OAuth)
TrustRelationship
ResourceOwner
(Пользователь)
User Agent(Браузер)
Client(Приложение)
3
4
5
2
1
Authorization Code Grant FlowТипы Токенов
© 2019 Cisco and/or its affiliates. All rights reserved.
Access TokenПозволяет его обладателю получить доступ к защищенному ресурсу.
Обычно выдается от имени определенному пользователю,предосталяет доступ к определенным ресурсам (Scope),имеет срок действия, обычно небольшой
Refresh TokenПозволяет приложению (Client) получить новый Access Token по истечению его срока действия. Обладает более длительным сроком валидности, чем Access Token
Обновление Access Token с помощьюRefresh Token
© 2019 Cisco and/or its affiliates. All rights reserved.
Resource Server(Защищенный ресурс)
AuthorizationServer
TrustRelationship
Client(Приложение)
Обновление Access Token с помощьюRefresh Token
© 2019 Cisco and/or its affiliates. All rights reserved.
Resource Server(Защищенный ресурс)
AuthorizationServer
TrustRelationship
Client(Приложение)
Обновление Access Token с помощьюRefresh Token
© 2019 Cisco and/or its affiliates. All rights reserved.
Resource Server(Защищенный ресурс)
AuthorizationServer
TrustRelationship
Client(Приложение)
1
2
Implicit Grant и Authorization Code Grant
© 2019 Cisco and/or its affiliates. All rights reserved.
Authorization Code Grant
• Только Клиент видит и имеет доступ к токену
• Подходит для Клиентов в виде Native-приложений
• По истечении срока действия Токена новый может быть получен при помощи Refresh Token без повторной аутентификации
• По истечении срока действия Refresh Token, повторная аутентификация требуется для получения новых Токенов
Implicit Grant
• Браузер и пользователь видят Токен
• Подходит для Клиентов, выполняемых в браузере (например, Javascript)
• По истечении срока действия Токена необходима повторная аутентификация
Регистрация OAuth приложений
© 2019 Cisco and/or its affiliates. All rights reserved.
• Требуется предварительная регистрация приложения (Client) на Authorization Server
• После регистрации разработчики приложения получают
• Client ID
• Client Secret
• Приложение предоставляет эти данные в API запросе на получение Токена, а Authorization Server верицицирует их
Типы Токенов OAuth. Формат
© 2019 Cisco and/or its affiliates. All rights reserved.
Self-Contained Token
• Подписан и зашифрован AuthZ-сервером
• Содержит в себе всю необходимую информацию:
• Userid
• Срок действия
• Scope, etc…
• Валидность Токена может быть проверена Resource-сервером самостоятельно, при наличии необходимых ключей
• РегламентируетсяJSON Web Token(RFC 7519, 7515, 7516)
Opaque Token
• Уникальный, сложноугадываемый идентификатор
• Валидность токенты должна проверяться каждый раз через AuthZ-сервер
• Scope также возвращается AuthZ-сервером Resource-серверу
Формат токена не регламентируется стандартом OAuth
Типы Токенов OAuth. Валидация
© 2019 Cisco and/or its affiliates. All rights reserved.
Self-Contained TokenOpaque Token
AuthZ serverAuthZ server
Авторизация и Аутентификацияв Collaboration-решениях
SAML SSO в On-Premises Решениях
© 2019 Cisco and/or its affiliates. All rights reserved.
IdP
Expressway C/E
CUCM + IM&P
Unity Connection
SAML AgreementsMetadata Exchange
Аутентификация
OAuth 2.0 Roles в On-Premises Решениях
© 2019 Cisco and/or its affiliates. All rights reserved.
IdP
Аутентификация(вне процесса OAuth)
TrustRelationship
ResourceOwner
(Пользователь)
1
2
3
54
ЗапрашиваетАвторизацию
Разрешаетдоступ
ClientJabber
Authorization ServerCUCM (SSOSP)
Resource ServerCUCM, IM&P, Unity Connection,Expressway
Аутентификация Jabber-клиентов
© 2019 Cisco and/or its affiliates. All rights reserved.
Expressway C/E
Unity Connection
CUCM + IM&P
Локальная Аутентификация:• Встроенная БД пользователей на
CUCM/IM&P и CUC• Expressway перенаправляет authN
запрос на CUCM/CUC для MRA
1
Аутентификация Jabber-клиентов
© 2019 Cisco and/or its affiliates. All rights reserved.
Expressway C/E
Unity Connection
CUCM + IM&P
LDAP Аутентификация:• CUCM/IM&P и CUC используют
LDAP bind Для аутентификации пользователей
• Expressway перенаправляет authNзапрос на CUCM/CUC для MRA
2
Аутентификация Jabber-клиентов
© 2019 Cisco and/or its affiliates. All rights reserved.
IdP
Expressway C/E
Unity Connection
CUCM + IM&P
SAML SSO:• CUCM/IM&P, Expressway и CUC
обмениваются SAML Metadata с IdP
• Пользователи перенаправляются на IdP для аутентификации
• Jabber использует браузер платформы для аутентификации
3
Авторизация Jabber-клиентов до Версии 12.0
© 2019 Cisco and/or its affiliates. All rights reserved.
IdP
Expressway C/E
Unity Connection
CUCM + IM&P
• Jabber-клиенты используют OAuth-токен для некоторых сервисов
• Только в режиме SAML SSO• AuthZ сервис (SSOSP) на
каждой ноде• Только Implicit Grant Flow• Opaque-токены
OAuth
OAuth
Авторизация Jabber-клиентов в Версии 12.0+OAuth with Refresh Login Flow
© 2019 Cisco and/or its affiliates. All rights reserved.
IdP
Expressway C/E
Unity Connection
CUCM + IM&P
• При любом режиме authN(SAML SSO/LDAP/Local)
• AuthZ сервис (SSOSP) на всех CUCM-нодах
• Authorization Code Grant Flow with Refresh Token
• Self-Contained Tokens (JWT)• CUC и Expwy импортируют
ключи для верификации и расшифровки токенов
• Выключен по умолчанию
OAuth
OAuth
SAML IdP(опционально)
LDAP(опционально)
Процесс AuthN/AuthZ в Версии CSR 12.0OAuth with Refresh Login Flow
© 2019 Cisco and/or its affiliates. All rights reserved.
Ре-аутентификация по окончании срока действия Refresh Token
Jabber(Приложение)
Срок действияRefresh Token
заканчивается
Срок действияRefresh Token
закончился
IdP
SAML SSO
Local/LDAP AuthN
Конфигурация OAuth
Конфигурация OAuthТребования к Версиям
© 2019 Cisco and/or its affiliates. All rights reserved.
• CSR 12.0, Expressway X8.10Также доступно в CUCM/CUC 11.5(1)SU3+,Jabber 11.9.3
• OAuth with Refresh Login Flow выключен по умолчанию
• Рекомендованный порядок включения
• CUCM/IM&P
• Unity Connection
• Expressway
• Jabber (автоматически)
Expressway C/E
Unity Connection
CUCM + IM&P
Конфигурация OAuthВключение на CUCM/IM&P
© 2019 Cisco and/or its affiliates. All rights reserved.
CUCM > System > Enterprise Parameters
Срок действия Access TokenВозможные значения: 1 минута -> 24 часа
Срок действия Refresh TokenВозможные значения: 1 день -> 5 лет
Конфигурация OAuthИмпорт Ключей на Unity Connection
© 2019 Cisco and/or its affiliates. All rights reserved.
Конфигурация OAuthИмпорт Ключей на Unity Connection
© 2019 Cisco and/or its affiliates. All rights reserved.
Конфигурация OAuthИмпорт Ключей на Unity Connection
© 2019 Cisco and/or its affiliates. All rights reserved.
Конфигурация OAuthВключение на Unity Connection
© 2019 Cisco and/or its affiliates. All rights reserved.
CUC > System Settings > Enterprise Parameters
Конфигурация OAuthВключение на Expressway-C
© 2019 Cisco and/or its affiliates. All rights reserved.
Configuration > Unified Communications > Configuration
Разрешенные методы аутентификации
• Только SSO
• Только Local/LDAP
• Оба метода
OAuth with Refresh Login Flow
CSR 12.0
OAuth Implicit Grant Flow
CSR Pre-12.0
Авторизация по логину/паролю
Проверка доступных методов аутентификации для каждого запроса от Jabber-клиента
OAuth with Refresh Login FlowПолезная информация
© 2019 Cisco and/or its affiliates. All rights reserved.
• Hash-суммы Refresh Token’ов хранятся в БД
• Выданные Refresh Tokens могут быть отозваны при помощи API вызововhttps://<cucm-pub>/ssosp/token/revoke?user_id=<userid>https://<cucm-pub>/ssosp/token/revoke?user_id=<userid>&client_id=<clientid>
• Изменение Enterprise Parameter «OAuth Refresh Token Expiry Timer (days)»вызывает инвалидацию всех выданных токенов
• CUCM проверяет, активен ли пользователь, прежде чем выдать новый Access Token на основании валидного Refresh Token
• CUCM подписывает Access Tokens сертификатом «authz» и зашифровывает симметричным ключом. Обновить сертификат и ключ можно CLI-командами
set key regen authz signingset key regen authz encryption
Все ранее выданные токены станут недействительными.Потребуется повторная синхронизация ключей на CUC и Expressways
Спасибо за внимание!
www.facebook.com/CiscoRu
www.instagram.com/ciscoru
www.youtube.com/user/CiscoRussiaMedia
www.vk.com/cisco
Оцените данную сессию в мобильном приложении конференции
Контакты:
Тел.: +7 495 9611410www.cisco.com
© 2019 Cisco and/or its affiliates. All rights reserved.