Аутентификация и Авторизация в Решениях Cisco Collaboration ·...

Аутентификация и Авторизация в Решениях Cisco CollaborationСветлана Старинчикова

Инженер премиальной поддержки CX EMEAR

CCIE Collaboration # 55855

Cisco

Содержание

• Введение

• Аутентификация SAML SSO

• Конфигурация SAML SSO на CUCM, Expressway, CUC

• Авторизация OAuth

• Авторизация и Аутентификация в Collaboration-решениях

• Конфигурация OAuth with Refresh Login Flow

© 2019 Cisco and/or its affiliates. All rights reserved.

Аутентификация и Авторизация


Аутентификацияпроверяет, что пользователь

действительноявляется тем, кем представляется

Авторизацияпроверяет, что пользователю

разрешено выполнять запрошенное действие

≠

Клиенты СервисыIdP

АутентификацияSAML SSO

Обычная Аутентификация Пользователя


Приложение 1



Приложение N

username

●●●●●●●●

Username:

Password:

Loginusername

●●●●●●●●

Username:

Password:

Loginusername

●●●●●●●●

Username:

Password:

Loginusername

●●●●●●●●

Username:

Password:

Login

Single Sing-On


IdP




Приложение N

username

●●●●●●●●

Username:

Password:

Login

Security Assertion Markup Language (SAML)

• Стандарт, регламентирующий обмен информацией для аутентификации между различными системами (Identity Provider, Service Provider, User Agent), основанный на языке XMLhttps://www.oasis-open.org/committees/security

• Разработан OASIS (Organization for the Advancement of Structured Information Standards) – некоммерческим консорциумом, управляющим разработкой и принятием открытых стандартов для глобального информационного сообщества

• Текущая версия SAML v2.0Без обратной совместимости с предыдущими версиями v1.0/v1.1

• Не регламентирует методы аутентификации и их применение


https://www.oasis-open.org/committees/security

Роль Identity Provider (IdP)


• Обрабатывает запросы на аутентификацию от сторонних доверенных систем

• Верифицирует личность пользователей тем или иным методом аутентификации

• Логин/Пароль

• Сертификат

• Биометрическая информация

• Возвращает SAML Assertion с необходимыми атрибутами

• userid

• email address

IdP

Как Работает SAML v2.0?


IdP

Service ProviderПриложениеCUCM/CUC/Expressway/etc…

IdPIdentity Provider

ОбменМетаданными

0

0

2

1

5

6

3

User AgentВеб БраузерПользователя

4

4

Последующие Запросы Ресурсов


IdP



0

0

1

2Веб БраузерПользователя


Последующие Запросы Ресурсов


IdP


2

1

4

5

3

Веб БраузерПользователя


0

0


КонфигурацияSAML SSO

Поддерживаемые IdP для SAML SSO


• Поддерживается любой IdP, соответствующий стандарту SAML v2.0 OASIS Standard

• Внутреннее тестирование выполняется на

• Microsoft AD FS 2.0

• Open Access Manager (OpenAM) 11.0

• Ping Federate 6.10.0.4

• Okta

Конфигурация SAML SSO на CUCM/IM&P и CUC0. Предварительная конфигурация


• NTP. IdP и SP должны быть синхронизированы по одному NTP-серверу

• DNS. Браузер клиента должен разыменовывать FQDN IdP и SP

• LDAP-синхронизация пользователей

• Как минимум один LDAP-Synchronized End Userдолжен иметь права Администратора

Конфигурация SAML SSO на CUCM/IM&P и CUC1. Выгрузка SP Metadata


• Cluster Wide SSO mode рекомендован

• Требуется SAN сертификатДо 12.0 – только CA-Signed Tomcat12.0+ - может быть Self-Signed SAN-сертификат только для SSO

• SP Metadata содержит в себе:

• Сертификат

• Адрес SSOSP Web-сервиса

• SAML Bindings

System > SAML Single Sing-On

Конфигурация SAML SSO на CUCM/IM&P и CUC2. Конфигурация IdP


• Создание SP Connections

• Импорт SP Metadata

• Настройка методов аутентификации

• Экспорт IdP Metadata


(IdP)

SP Metadata

IdP Metadata

Конфигурация SAML SSO на CUCM/IM&P и CUC3. Включение SSO


• Выбор SSO Mode и Сертификата

• Enable SSO





• Enable SSO

• Импорт IdP Metadata





• Enable SSO


• Экспорт SP Metadata(если не сделано ранее)





• Enable SSO


• Экспорт SP Metadata(если не сделано ранее)

• Выбор пользователя и выполнение SSO Test


Конфигурация SAML SSO на Expressway-C1. Выгрузка SP Metadata


Expressway-C > Configuration > Unified Communications > Identity Providers (IdP)

2. Конфигурация IdPАналогично CUCM

Конфигурация SAML SSO на Expressway-C3. Импорт IdP Metadata


Expressway-C > Configuration > Unified Communications > Identity Providers (IdP)

АвторизацияOAuth

Авторизация Доступа Приложений к Ресурсам


API 1

API 2

API 3

API N

IdP


OAuth Authorization Framework


• Открытый протокол авторизации (RFC 6749), позволяющий сторонним приложениям получать ограниченный доступ к ресурсам или API от имени пользователяhttps://tools.ietf.org/html/rfc6749

• Пользователь авторизует клиентские приложение, разрешая ему доступ к защищенному ресурсу без передачи аутентификационных данных (пароля)

• Стандарт определяет токены авторизации. Токен дает доступ к ограниченному, заранее определенному набору ресурсов сервера.

• OAuth не имеет отношения к аутентификации.Аутентификация выполняется отдельно любым необходимым методом.

https://tools.ietf.org/html/rfc6749

Преимущества OAuth


• Доверие сторонним приложениям

• Уменьшает риск фишинга

• Возможность предоставитьлишь ограниченный доступ

• Синхронизация паролей

• Возможность отзыва доступа

• Возможность использованияболее надежной аутентификации

Общая Последовательность Получения Токена OAuth 2.0


Resource Server(Защищенный ресурс)

AuthorizationServer

IdP

Аутентификация(вне процесса OAuth)

TrustRelationship

ResourceOwner

(Пользователь)

User Agent(Браузер)

Client(Приложение)

1

2

3

54

ЗапрашиваетАвторизацию

Разрешаетдоступ

Типы OAuth Authorization Grants


• Implicit

• Authorization Code

• Resource Owner Password Credentials

• Client Credentials

OAuth Implicit Grant


IdP


AuthorizationServer


TrustRelationship

ResourceOwner




2

3

4

5

6

Браузер выполняет СкриптПередает Токен в Приложение

1

OAuth Authorization Code Grant


IdP


AuthorizationServer


TrustRelationship

ResourceOwner




3

4

5

2

1

Authorization Code Grant FlowТипы Токенов


Access TokenПозволяет его обладателю получить доступ к защищенному ресурсу.

Обычно выдается от имени определенному пользователю,предосталяет доступ к определенным ресурсам (Scope),имеет срок действия, обычно небольшой

Refresh TokenПозволяет приложению (Client) получить новый Access Token по истечению его срока действия. Обладает более длительным сроком валидности, чем Access Token

Обновление Access Token с помощьюRefresh Token



AuthorizationServer

TrustRelationship


Обновление Access Token с помощьюRefresh Token



AuthorizationServer

TrustRelationship


1

2

Implicit Grant и Authorization Code Grant


Authorization Code Grant

• Только Клиент видит и имеет доступ к токену

• Подходит для Клиентов в виде Native-приложений

• По истечении срока действия Токена новый может быть получен при помощи Refresh Token без повторной аутентификации

• По истечении срока действия Refresh Token, повторная аутентификация требуется для получения новых Токенов

Implicit Grant

• Браузер и пользователь видят Токен

• Подходит для Клиентов, выполняемых в браузере (например, Javascript)

• По истечении срока действия Токена необходима повторная аутентификация

Регистрация OAuth приложений


• Требуется предварительная регистрация приложения (Client) на Authorization Server

• После регистрации разработчики приложения получают

• Client ID

• Client Secret

• Приложение предоставляет эти данные в API запросе на получение Токена, а Authorization Server верицицирует их

Типы Токенов OAuth. Формат


Self-Contained Token

• Подписан и зашифрован AuthZ-сервером

• Содержит в себе всю необходимую информацию:

• Userid

• Срок действия

• Scope, etc…

• Валидность Токена может быть проверена Resource-сервером самостоятельно, при наличии необходимых ключей

• РегламентируетсяJSON Web Token(RFC 7519, 7515, 7516)

Opaque Token

• Уникальный, сложноугадываемый идентификатор

• Валидность токенты должна проверяться каждый раз через AuthZ-сервер

• Scope также возвращается AuthZ-сервером Resource-серверу

Формат токена не регламентируется стандартом OAuth

Типы Токенов OAuth. Валидация


Self-Contained TokenOpaque Token

AuthZ serverAuthZ server

Авторизация и Аутентификацияв Collaboration-решениях

SAML SSO в On-Premises Решениях


IdP

Expressway C/E

CUCM + IM&P

Unity Connection

SAML AgreementsMetadata Exchange

Аутентификация

OAuth 2.0 Roles в On-Premises Решениях


IdP


TrustRelationship

ResourceOwner


1

2

3

54

ЗапрашиваетАвторизацию

Разрешаетдоступ

ClientJabber

Authorization ServerCUCM (SSOSP)

Resource ServerCUCM, IM&P, Unity Connection,Expressway

Аутентификация Jabber-клиентов


Expressway C/E

Unity Connection

CUCM + IM&P

Локальная Аутентификация:• Встроенная БД пользователей на

CUCM/IM&P и CUC• Expressway перенаправляет authN

запрос на CUCM/CUC для MRA

1



Expressway C/E

Unity Connection

CUCM + IM&P

LDAP Аутентификация:• CUCM/IM&P и CUC используют

LDAP bind Для аутентификации пользователей

• Expressway перенаправляет authNзапрос на CUCM/CUC для MRA

2



IdP

Expressway C/E

Unity Connection

CUCM + IM&P

SAML SSO:• CUCM/IM&P, Expressway и CUC

обмениваются SAML Metadata с IdP

• Пользователи перенаправляются на IdP для аутентификации

• Jabber использует браузер платформы для аутентификации

3

Авторизация Jabber-клиентов до Версии 12.0


IdP

Expressway C/E

Unity Connection

CUCM + IM&P

• Jabber-клиенты используют OAuth-токен для некоторых сервисов

• Только в режиме SAML SSO• AuthZ сервис (SSOSP) на

каждой ноде• Только Implicit Grant Flow• Opaque-токены

OAuth

OAuth

Авторизация Jabber-клиентов в Версии 12.0+OAuth with Refresh Login Flow


IdP

Expressway C/E

Unity Connection

CUCM + IM&P

• При любом режиме authN(SAML SSO/LDAP/Local)

• AuthZ сервис (SSOSP) на всех CUCM-нодах

• Authorization Code Grant Flow with Refresh Token

• Self-Contained Tokens (JWT)• CUC и Expwy импортируют

ключи для верификации и расшифровки токенов

• Выключен по умолчанию

OAuth

OAuth

SAML IdP(опционально)

LDAP(опционально)

Процесс AuthN/AuthZ в Версии CSR 12.0OAuth with Refresh Login Flow


Ре-аутентификация по окончании срока действия Refresh Token

Jabber(Приложение)

Срок действияRefresh Token

заканчивается

Срок действияRefresh Token

закончился

IdP

SAML SSO

Local/LDAP AuthN

Конфигурация OAuth

Конфигурация OAuthТребования к Версиям


• CSR 12.0, Expressway X8.10Также доступно в CUCM/CUC 11.5(1)SU3+,Jabber 11.9.3

• OAuth with Refresh Login Flow выключен по умолчанию

• Рекомендованный порядок включения

• CUCM/IM&P

• Unity Connection

• Expressway

• Jabber (автоматически)

Expressway C/E

Unity Connection

CUCM + IM&P

Конфигурация OAuthВключение на CUCM/IM&P


CUCM > System > Enterprise Parameters

Срок действия Access TokenВозможные значения: 1 минута -> 24 часа

Срок действия Refresh TokenВозможные значения: 1 день -> 5 лет

Конфигурация OAuthИмпорт Ключей на Unity Connection


Конфигурация OAuthВключение на Unity Connection


CUC > System Settings > Enterprise Parameters

Конфигурация OAuthВключение на Expressway-C


Configuration > Unified Communications > Configuration

Разрешенные методы аутентификации

• Только SSO

• Только Local/LDAP

• Оба метода

OAuth with Refresh Login Flow

CSR 12.0

OAuth Implicit Grant Flow

CSR Pre-12.0

Авторизация по логину/паролю

Проверка доступных методов аутентификации для каждого запроса от Jabber-клиента

OAuth with Refresh Login FlowПолезная информация


• Hash-суммы Refresh Token’ов хранятся в БД

• Выданные Refresh Tokens могут быть отозваны при помощи API вызововhttps://<cucm-pub>/ssosp/token/revoke?user_id=<userid>https://<cucm-pub>/ssosp/token/revoke?user_id=<userid>&client_id=<clientid>

• Изменение Enterprise Parameter «OAuth Refresh Token Expiry Timer (days)»вызывает инвалидацию всех выданных токенов

• CUCM проверяет, активен ли пользователь, прежде чем выдать новый Access Token на основании валидного Refresh Token

• CUCM подписывает Access Tokens сертификатом «authz» и зашифровывает симметричным ключом. Обновить сертификат и ключ можно CLI-командами

set key regen authz signingset key regen authz encryption

Все ранее выданные токены станут недействительными.Потребуется повторная синхронизация ключей на CUC и Expressways

Спасибо за внимание!

www.facebook.com/CiscoRu

www.instagram.com/ciscoru

www.youtube.com/user/CiscoRussiaMedia

www.vk.com/cisco

Оцените данную сессию в мобильном приложении конференции

Контакты:

Тел.: +7 495 9611410www.cisco.com


Аутентификация и Авторизация в Решениях Cisco Collaboration ·...

Documents

Transcript of Аутентификация и Авторизация в Решениях Cisco Collaboration ·...