Web server single sign-on
Pro autentizaci přístupu na chráněné Web stránky je na FIT používána
centrální autentizace přes Centrální autentizační server (CAS) FIT. Jako uživatelské jméno a heslo
je použit FIT login a heslo do IS FIT (Unixu).
Přihlášení
Přístup na chráněné Web stránky je možný:
- Přímo z vlastní Web stránky (např. z Web Emailu). Pokud není uživatel
autentizován, je prohlížeč
přesměrován na autentizační stránku CAS. Po úspěšném přihlášení
je prohlížeč přesměrován zpět na cílovou chráněnou Web stránku.
- Z autentizační Web stránky CAS. V tomto případě je po úspěšné
autentizaci nabídnut seznam všech dostupných chráněných Webů a
lze pokračovat na kterýkoli z nich.
V obou případech je uživatel automaticky autentizován pro všechny
chráněné Web stránky. Například, pokud uživatel nejprve použije Web Email,
pak může bez dalšího přihlašování přejít na video servery.
Odhlášení
Centrální autentizace umožňuje přístup k většímu počtu chráněných zdrojů.
Pro zamezení neautorizovaného přístupu je třeba dát pozor na
správné odhlášení při ukončení práce.
Všechny autentizované Web servery umožňují odhlášení z CAS, které
opět platí pro všechny aplikace. Stejného výsledku jako odhlášením
lze také dosáhnout ukončením prohlížeče, ale zde je třeba dát pozor
na to, zda se podařilo uzavřít skutečně všechna okna prohlížeče a
nezůstalo nějaké skryto. Úspěšnost odhlášení lze ověřit otevřením
autentizační stránky CAS.
Pokud bylo odhlášení úspěšné, objeví se formulář pro autentizaci,
jinak stránka s možností odhlášení.
Bezpečnost autentizace
Heslo je při použití CAS daleko bezpečnější než při normálním
způsobu autentizace Web stránek. Posílá se totiž pouze jednou,
na autentizační Web stránce CAS. Web server CAS je chráněný, nemají
na něj přístup uživatelé a přístup na něj je šifrován. Vlastní
heslo se po ověření identity okamžitě maže a dále se už nepoužívá.
Vlastní chráněné Web stránky obdrží pouze login autentizovaného uživatele.
Nehrozí zde tedy nebezpečí přečtení hesla nějakou podvrženou nebo
špatně napsanou Web aplikací na serverech, kde mají přístup běžní uživatelé.
Jak to funguje?
Po ověření identity uživatele vygeneruje CAS náhodné session cookie,
které odešle zpět prohlížeči v požadavku přesměrování zpět na
původní chráněnou Web stránku. Prohlížeč toto session cookie
zašle chráněnému Web serveru, který si ověří jeho platnost a
povolí přístup na chráněnou stránku. Vlastní session cookie neobsahuje
žádné citlivé informace a má platnost do konce běhu prohlížeče,
maximálně ale 24 hodin. Pokud vyprší jeho platnost a autentizace na CAS
zůstává platná, je transparentně vygenerováno nové session cookie.
Při uzavření prohlížeče se session cookie zruší, čímž je ukončena autentizace
na CAS. Platnost session cookie si každý Web server ověřuje u CAS co minutu.
Při odhlášení centrálně na stránce CAS tedy přestanou platit všechny
session cookie nejpozději do minuty.
Podrobněji o použitém
protokolu a software viz http://cosign.sourceforge.net/.
Zpět na návody CVT
|