Schnittstelle eIAM-WSG


Die WS-Federation Schnittstelle unterstützt die Integration von Web Anwendungen basierend auf dem WS-Federation Standard. Für dieses Föderationsprotokoll bietet der eIAM-Web PEP definierte Schnittstellen an. Sie erstellt zu Handen der anfragenden Applikation ein Security Token im SAML Format und übermittelt es an diese. Dazu wird das WS-Federation Protokoll verwendet.
Übersicht der eIAM-WSG Lösung, Kommunikation
Übersicht der eIAM-WSG Lösung, Kommunikation


Das Szenario startet mit einem Service Consumer der einen Web Service aufrufen möchte. Die Anfrage wird zuerst durch den Load Balancer geroutet (1). Dieser authentifiziert den Service Consumer nach seinem Zertifikat. Nach erfolgreicher Authentifizierung leitet der Load Balancer die Anfrage an den Web Service Gateway weiter (2). Der WSG extrahiert aus dem Zertifikat den distinguished name (DN). Für diesen DN lässt sich der WSG vom Trust Broker ein SAML Sicherheitstoken (SAML 2.0) ausstellen. Dies erfolgt mittels einer WS Trust Sicherheitstoken Anfrage (3, 4, 5). Das SAML Sicherheitstoken beschreibt die Zugriffsrollen des Service Consumers.

Der Web Service Gateway prüft die Gültigkeit des Sicherheitstokens (6) und lässt den Zugriff auf den Service Provider, (7, Grobautorisierung) basierend auf den im Sicherheitstoken enthaltenen Rollen, zu. Ist der Zugriff erlaubt, leitet der WSG die Anfrage mit dem Sicherheitstoken (8) (Identity Propagation) an den Service Provider weiter. Dieser führt bei Bedarf anhand der im Token enthaltenen Rollen eine feingranulare Autorisierung des Service Consumers durch (9).

Durch die von eIAM zur Verfügung gestellten Administrationswerkzeuge ist der Kunde in der Lage mit den verschiedenen Zugriffsrichtlinien (feingranularen Rollen) auch für Service Provider mit Web Services zu administrieren. Alle Autorisierungen für seine Applikation können an einem Ort (im IDM) modifiziert werden. Die Flexibilität für den Kunden wird somit erhöht und der Aufwand im Betrieb für das Web Service Gateway wird minimiert.

Benötigte Informationen und Werkzeuge welche im Zuständigkeitsbereich des Kunden sind

Loadbalancer
Vor den WSG muss ein Load Balancer (LB) konfiguriert werden. Die Bestellung dieser LBs,
die DNS Einträge und der Zertifikate für LBs sowie dem WSG sind Aufgaben der Web Service Integration.

Technischer Benutzer
Der Zugriff auf eine Web Service Schnittstelle über eIAM-WSG wird über die Autorisierung von technischen Benutzern geregelt. Entsprechende technische User müssen vorgängig bei ICD – CIS & Directories bestellt werden. Das Team erstellt einen Account im Datenbezugspunkt, welcher zu eIAM provisioniert wird und einem geregelten Lifecycle unterliegt. Sobald der Account bereitsteht kann über nachstehendes Formular bei eIAM Operations die Fertigstellung des Techusers beantragt werden. Dazu braucht es neben der Einwilligung des ISBO des entsprechenden Amtes (Mailform reicht), auch ein Zertifikat der Klasse C der Swiss Government PKI, welches vorgängig durch Antragsteller beschafft werden muss.

Bestellformular für die Einrichtung eines Techusers für . . .


Zertifikate
Die Authentifizierung erfolgt mittels eines X.509 Zertifikats der Klasse C (Klasse D und E sind nicht unterstützt) lautend auf den technischen Benutzer der zum Aufbau der Verbindung verwendet wird. Ein solches Zertifikat muss gemäss den Vorgaben der Admin PKI beschafft werden (siehe dazu Notwendige Informationen für die SAML 2.0 Konfiguration . . . )
Aufgabenverteilung Projekt / Integrationsteam eIAM & WSG
Aufgabenverteilung Projekt / Integrationsteam eIAM & WSG


Detail Informationen entnehmen Sie bitte dem eIAM-WSGW Integrationsguide: