Teser
- Det huvudsakliga motivet för federerade autentiserings- och auktorisationslösningar är kostnadsminskning.
- Det går inte att öka förtroendet för e-legitimationer med federationer, däremot kan det förtroende e-legitimationer som sådana har minskas genom ogenomtänkt federering.
Basics om e-legitimationer
Signering gör innehavaren av e-legitimationen (användaren) genom att ett kondensat av det digitala dokumentet krypteras med användarens e-legitimations hemliga signeringsnyckel (asymmetrisk krypteringsalgoritm). Att just användaren signerat dokumentet och ingen annan kontrollerar den förlitande parten med hjälp av användarens offentliga nyckel som finns i användarens offentliga certifikat. Certifikatet är ett av e-legitimationsutfärdaren signerat dokument som kan kontrolleras med utfärdarens offentliga nyckel, som finns i utfärdarens certifikat. Dessutom bör man regelbundet, beroende på relationen med användaren och med utfärdaren, kontrollera med utfärdaren att den specifika användarens certifikat inte är återkallat av något skäl.
Autentisering görs tekniskt på samma sätt, men man krypterar istället ett slumptal med sin hemliga autentiseringsnyckel. Krypteringen av slumptalet kontrolleras av den förlitande parten på samma sätt som man kontrollerar signaturer.
Förlitande part bör för sin egen säkerhets skull fundera över hur utfärdande av olika typer av e-legitimationen går till, hur och var de kan användas och av vem innan man väljer att ha förtroende för e-legitimationer från en viss utfärdare.
Basics om auktorisation, dvs om kontroll av rättigheter
Dessa register och kataloger kan finnas hos förlitande part och/eller hos annan betrodd registerhållare och/eller hos den organisation som användaren företräder. Finns inte rätt kombination av rättigheter i den eller de kataloger/register som förlitande part använder för sin kontroll får inte den autentiserade användaren tillgång till något hos den förlitande parten.
Kan man outsourca autentisering och auktorisation?
Federationer och andra outsourcingpartners kan också tillhandahålla katalogtjänster som stöd för auktorisation (man bifogar helt enkelt auktorisationsinformation med biljetten), men de är dåliga på signeringstjänster och tjänster som gör det svårt för en användare att förneka att de begärt en viss aktivitet som utförts med stöd av SAML-biljetten.
Det man måste komma ihåg är att man som förlitande part själv har ansvaret för konsekvenserna av att förlita sig på de biljetter som en federation levererar - precis på samma sätt som när man direkt förlitar sig på e-legitimationer och kataloger. Därför är det viktigt att ta reda på vad biljetternas budskap egentligen är - hur autentiseringen går till, hur eventuell auktorisationsinformation skapas, lagras och hämtas, hur biljetterna utfärdas och hur biljetterna hanteras i hela kedjan från utfärdande hos federationen till användning i förlitande parts system - innan man väljer att förlita sig på en viss federations biljetter.
Det kan var en bra idé om många förlitande parter som har samma krav på autentiseringsnivåer och/eller delar kataloginformation går samman om gemensamma lösningar. En pålitlig federation som inte ger oacceptabel riskexponering kan medföra totalkostnadsreduktion för de förlitande parterna jämfört med att var och en gör autentiseringen på egen hand.
Men federationer (och liknande tjänster) har ett dubbelt förtroendeproblem. Dels måste förlitande part ha förtroende för både utfärdaren av e-legitimationen och för federationens ”biljetter” och eventuella kataloger, dels måste användaren ha förtroende för förlitande part och dennes autentiseringsteknik.
Förlitande part måste helt enkelt kunna lita på att rätt användare och ingen annan autentiseras när federationen utnyttjas och att informationen i eventuella kataloger är aktuell, fullständig och korrekt. Autentiseringen ska göras då den efterfrågas, inte långt innan, och ingen annan än användaren ska kunna utnyttja en tidigare gjord autentisering i de fall då viss ålder på ”biljetten” uttryckligen accepteras av förlitande part.
Användaren - som i regel inte är tillfrågad om den accepterar federationen eller ens alltid kan inse att det finns en sådan tjänst i sammanhanget - måste kunna lita på att autentiseringen bara sker för användning hos den tjänst man anropat just nu och inte utnyttjas hos någon annan tjänst eller av någon annan användare - någonsin.
En illa presenterad federativ lösning kan t ex framstå för användaren som en misstänkt MITM-attack (Man In The Middle) och därigenom ge allvarliga konsekvenser för förtroendet för den förlitande parten. Detta faktum förstärks av att det inte finns några etablerade metoder att i realtid, vid autentiseringstillfället, ge användaren en korrekt uppfattning om vem den förlitande parten egentligen är och vad en eventuellt anlitad federation innebär för användaren.
Slutsats: E-legitimationer, federationer och ömsesidigt förtroende
- E-legitimationer ger förlitande parter en viss nivå på säkerheten i antagandet att det är en specifik användare som vill utnyttja deras tjänster.
- Federerade autentiseringslösningar kan minska en förlitande parts totalkostnader för autentisering och i bästa fall bibehålla den grundnivå av förtroende som e-legitimationer som sådana har. I sämre fall urholkas förtroendet för e-legitimationen och/eller den förlitande parten genom hur federeringen realiseras.
Detta vet vi redan, och förhoppningsvis agerar vi = tekniker, processbyggare, e-legitimationsutfärdare och förlitande parter i enlighet med den kunskapen.
