Kolik systémů, tolik hesel?
Zejména v akademickém světě (i když samozřejmě nejen tam) člověk často potřebuje pracovat s celou řadou různých systémů, do nichž je potřeba se přihlašovat. Existence mnoha samostatných systémů vede k existenci stejného počtu přihlašovacích informací. Výsledkem je, že si uživatel nastaví stejné heslo na více místech, což není bezpečné.
Stačí, aby bylo prolomeno zabezpečení kteréhokoli ze systémů a už se někdo může neoprávněně dostat k heslům (i v případě, že jsou zahešována – pokud je totiž heslo slabé, například je to běžně používané slovo, lze ho lámat hrubou silou, útočník má dostatek času a neomezený počet pokusů). Pak může stejná hesla zkoušet jinde.
Proto je žádoucí, aby se počet přihlašovacích údajů omezil, optimálně jen na jedinou sadu. Tzv. federované přihlašování přesně tohle umožňuje. O federaci eduID.cz, do níž je zapojeno mnoho akademických institucí i jiných subjektů, na konferenci Internet a Technologie 16 hovořil Jan Oppolzer ze sdružení CESNET.
Jan Oppolzer při přednášce o eduID.cz
Federace eduID.cz
Federace eduID.cz propojuje systémy využívající otevřený standard SAML 2.0. Jsou v ní zapojeny dva druhy subjektů – poskytovatelé identity (IdP) a poskytovatelé služby (SP). Poskytovatel identity spravuje databázi uživatelů (zaměstnanců, studentů, čtenářů knihovny…), kteří se přihlašují do jeho systému. Poskytovatel služby poskytuje nějakou službu vyžadující ověřené uživatele (katalogy, elektronické knihy, výpočetní výkon atd.).
Samozřejmě poskytovatel identity a služby může být totožný. Kupříkladu nějaká univerzita poskytuje identitu svých zaměstnanců a studentů a současně poskytuje třeba služby univerzitní knihovny.
Z pohledu uživatele to funguje tak, že uživatel vstoupí na web služby, kterou chce využít. Ten ho přesměruje na web provozovaný poskytovatelem identity. Tam se uživatel přihlásí a je přesměrován zpět na web služby, kde už pak může pracovat pod svou identitou. Pokud později (do vypršení platnosti přihlášení) přistoupí k dané službě znovu (nebo i k jiné službě zapojené do federace), už se znovu přihlašovat nemusí.
Přihlášení u IdP Univerzity Karlovy
Politiky, technologie
Fungování federace eduID.cz lze rozdělit do dvou oblastí: politiky a technologie. Politiky stanoví, kdo se může do federace zapojit, jak proces administrativně probíhá, jaké údaje musí poskytnout, kdo budou kontaktní osoby apod.
Z technologického hlediska lze využívat dvě hlavní implementace SAML 2.0. První, nejpoužívanější a doporučenou je Shibboleth; lze používat také SimpleSAMLphp, ale tato knihovna je vyvíjena jen malým týmem a mívá zpoždění v implementaci nových funkcí. Technicky možné je i použití Microsoft ADFS, přináší ale komplikace (například při změnách certifikátů).
SAML 2.0 bude „krví“ eIDAS
Potenciál federovaného ověřování identity protokolem SAML 2.0 si uvědomily i orgány Evropské unie, proto se právě tento standard stane mechanismem, na němž bude fungovat ověřování v rámci celé unie (jak uvnitř jednotlivých států, tak i mezi státy). Této oblasti byla na konferenci IT16 věnována další přednáška, tentokrát v podání Jiřího Průši.
Na toho, kdo přišel na konferenci IT16, čekalo bohaté občerstvení
Koncepce realizovaná v rámci nařízení č. 910/2014 počítá jak s poskytovateli identity zajišťovanými státní správou jednotlivých členských zemí EU, tak i s poskytovateli nestátními (kam patří například služba MojeID sdružení CZ.NIC). Z toho bude pramenit možnost ověřovat pro určité případy (v závislosti na požadované úrovni důvěry) identitu více způsoby, podle preferencí uživatele.
Česko je bohužel pozadu s přípravami na účinnost nařízení. Ta začíná k 1.červenci 2016, přitom návrh zákona je teprve projednáván v poslanecké sněmovně. Téměř jistě se tedy proces nestihne a reálně hrozí období nejistoty, kdy účinný český zákon bude nekompatibilní s účinným nařízením EU.
