Cross Layer Identity. indi

Maat: px
Weergave met pagina beginnen:

Download "Cross Layer Identity. indi-2009-07-026"

Transcriptie

1 indi Cross Layer Identity Project: SURFworks Projectjaar : 2009 Projectmanager : Remco Poortinga van Wijnen Auteur(s) : Erik Sneep en Peter Clijsters (Everett) Opleverdatum : Versie : 1.0 Samenvatting Bij het gebruik van digitale diensten wordt geregeld geauthenticeerd voor het gebruik van bronnen in verschillende (OSI) lagen. Vaak vereisen die stappen het (herhaaldelijk) gebruik van credentials, vaak zelfs dezelfde credentials. In een ideaal gebruikersvriendelijk scenario zou authenticatie voor de verschillende lagen slechts eenmaal plaatsvinden en wordt een succesvolle authenticatie hergebruikt voor andere lagen en diensten, het zogenaamde unified Single Sign-On (usso). Dit rapport beschrijft de verschillende vormen van usso en de voor SURFnet meest relevante use case, namelijk usso tussen eduroam en de SURFfederatie. Voor deze use case worden vier verschillende technieken die als oplossing kunnen dienen beschreven (SAML, certificaten, Info Cards en Kerberos), samen met de voor- en nadelen van een oplossing met deze technieken. Na een samenvatting van de verschillende opties wordt uiteindelijk aanbevolen om een Proof of Concept (PoC) met Kerberos uit te voeren en wordt de technische opzet van de PoC beschreven. Voor deze publicatie geldt de Creative Commons Licentie Attribution-Noncommercial- Share Alike 3.0 Netherlands. Meer informatie over deze licentie is te vinden op

2 Colofon Programmalijn : SURFworks Onderdeel : SURFfederatie PoCs Activiteit : Cross Layer Identity Deliverable : Toegangsrechten : Publiek Externe partij : Everett Dit project is tot stand gekomen met steun van SURF, de organisatie die ICT vernieuwingen in het hoger onderwijs en onderzoek initieert, regisseert en stimuleert door onder meer het financieren van projecten. Meer informatie over SURF is te vinden op de website (www.surf.nl). 2

3 Scenario 4 dingen die je moet weten over Cross Layer Identity Met één login gebruik kunnen maken van diensten verspreid over verschillende netwerk lagen, zodat unified Single Sign On (usso) mogelijk wordt. Wat is het? Mechanisme wat de klassieke, web gebaseerde SSO uitbreidt naar andere netwerk lagen. Voor wie is het? Voornamelijk eduroam aangesloten instellingen en SURFfederatie dienstenontwikkelaars en -aanbieders. Hoe werkt het? De login context van je instelling uitbreiden zodat deze geschikt wordt om bij eduroam en de SURFfederatie te gebruiken en mogelijk bij andere diensten. Wat kan je ermee? Geeft een (mobiele) eindgebruiker de mogelijkheid na de eduroam netwerk login naadloos toegang te krijgen tot een reeks diensten zonder opnieuw in te hoeven loggen. Extra (Bijlagen, Thema, Gerelateerde thema s) Geen 3

4 Inhoudsopgave 1 Inleiding Achtergrond Opdracht Werkwijze Scope Leeswijzer Cross Layer Identity in het algemeen OSI Model Unified SSO Huidige situatie SURFnet use case Integratie SURFfederatie en eduroam SAML Bootstrapping SAML met eduroam Voor- en nadelen Certificaten Certificaten voor eduroam en SURFfederatie login Voor- en nadelen Information Cards Information Cards in het algemeen Bootstrapping Information Card met eduroam EAP-Infocard Voor- en nadelen Kerberos Kerberos in het algemeen Bootstrapping Kerberos met eduroam Voor- en nadelen Conclusie en aanbeveling Proof Of Concept

5 1 Inleiding 1.1 Achtergrond Bij het gebruik van digitale diensten wordt geregeld op verschillende lagen van het OSI model (bijvoorbeeld netwerk, sessie, applicatie) geauthenticeerd voor het gebruik van bronnen in de desbetreffende laag. Vaak vereisen die stappen het (herhaaldelijk) gebruik van credentials, vaak zelfs dezelfde credentials. Denk bijvoorbeeld aan het gebruik van eduroam credentials voor wireless netwerk authenticatie en het authenticeren met een federatieve identiteit voor het gebruik van webgebaseerde diensten in bijvoorbeeld de SURFfederatie. In een ideaal gebruikersvriendelijk scenario zou authenticatie voor de verschillende lagen slechts eenmaal plaatsvinden en wordt een succesvolle authenticatie hergebruikt voor andere lagen en diensten. Waar de SURFfederatie in zijn huidige vorm Single Sign-On (SSO) biedt tussen webgebaseerde diensten (als het ware horizontaal ) wordt in dit project voorzien dat de federatieve identiteit over de verschillende netwerk lagen (MAC, IP, http) wordt hergebruikt (als het ware verticaal ), de zogenaamde unified Single Sign-On (usso). Daarnaast is het wenselijk dat dezelfde identiteit hergebruikt wordt voor niet webgebaseerde diensten zoals VOIP, IMAP mail en computing resources in het algemeen 1.2 Opdracht Om de mogelijkheden van unified SSO te verkennen heeft SURFnet aan Everett de opdracht gegeven een technologieverkenning omtrent dit onderwerp uit te voeren. Deze verkenning moet in ieder geval een overzicht geven van het krachtenveld rondom Cross Layer Identity en van de mogelijkheden om usso te implementeren in combinatie met de SURFfederatie. De technologieverkenning bestaat uit twee delen; een rapport en een Proof Of Concept (POC). Dit document bevat het rapport. De technologieverkenning als geheel moet genoeg informatie opleveren zodat SURFnet een beslissing kan nemen over het doorgaan met verdere dienstontwikkeling omtrent Cross Layer Identity. 1.3 Werkwijze Dit technologieverkenning rapport is geschreven vanuit de bij Everett aanwezige kennis over authenticatie methoden en middels onderzoek op internet. Daarnaast is regelmatig overleg geweest met de opdrachtgever en de verantwoordelijken voor de SURFfederatie en eduroam bij SURFnet. Hierbij ging het over de gewenste use cases, de mogelijke invulling ervan en de betekenis voor de SURFfederatie. 1.4 Scope De scope van de verkenning beperkt zich tot SURFnet en de aangesloten instellingen of leveranciers. Onderzoek naar Cross Layer Identity zal zich zoveel mogelijk richten op Open Standaarden. In een van de eerste overleggen met SURFnet over de scope van de opdracht is besloten het onderzoek in eerste instantie te beperken tot SSO tussen de SURFfederatie en eduroam. Binnen SURFnet en aangesloten instellingen is deze use case het meest relevant en het eerste waar mensen aan denken als gesproken wordt over usso. In tweede instantie zal gekeken worden naar de integratie met overige internet gebaseerde diensten zoals IMAP, VOIP, SSH, enz.

6 1.5 Leeswijzer Hoofdstuk 2 geeft een algemeen inzicht in wat met Cross Layer Identity en unified Single Sign-On (usso) wordt bedoeld en geeft de specifieke SURFnet use case die met dit rapport is onderzocht. Hoofdstuk 3 bevat een beschrijving van de vier onderzochte technieken om de use case mee in te vullen. Hier wordt verondersteld dat de lezer redelijk op de hoogte is van de werking van eduroam en de SURFfederatie. Hoofdstuk 4 bevat de conclusies en aanbevelingen naar aanleiding van de onderzochte technieken en hoofdstuk 5 bevat een voorstel voor de PoC opzet.

7 2 Cross Layer Identity in het algemeen Als er gesproken wordt over Cross Layer Identity moet er eerst duidelijk gemaakt worden wat hiermee precies wordt bedoeld en hoe dit mogelijk past binnen het SURFnet landschap. 2.1 OSI Model Als eerste zal duidelijk moeten zijn over welke lagen we het hebben. In dit onderzoek is uitgegaan van de OSI Model 1, welke uit zeven lagen bestaat (zie tabel 1). Dit model is een abstracte weergave voor gelaagde communicatie en computer netwerk ontwerp. Een bepaalde laag levert diensten aan bovenliggende lagen en neemt diensten af van onderliggende lagen. De idee is dat communicatie tussen dezelfde laag van verschillende computer systemen altijd door onderliggende lagen gaat. Zo zullen bijvoorbeeld twee applicaties die met elkaar communiceren in laag 7 (applicatie laag) gebruik maken van de onderliggende lagen zoals de transport, network, data link en fysieke laag. Merk op dat niet iedere laag altijd gebruikt hoeft te worden. Tabel 1 OSI Model Data unit Layer Function Examples 7. Application Network process to NNTP, SIP, DNS, application FTP, HTTP, NTP, SMTP, SNMP, Data Radius Host Layers Media Layers Segment Packet Frame Bit 6. Presentation Data representation and encryption MIME, XDR, SSL, TLS 5. Session Interhost communication Named Pipes, NetBIOS, SAP 4. Transport End-to-end TCP, UDP, PPTP, connections and L2TP, TLS reliability 3. Network Path determination IP, ICMP, IPsec, and logical IGMP addressing 2. Data Link Physical addressing ARP, CSLIP, SLIP, Frame Relay, EAP 1. Physical Media, signal and binary transmission Ethernet, 10BASE-T, 100BASE-TX, POTS, DSL, a/b/g/n Veel eindgebruikers zullen gebruik maken van toepassingen die zich in de applicatie laag bevinden. Deze toepassingen maken op hun beurt vaak weer gebruik van de protocollen uit diezelfde laag die vervolgens weer leunen op protocollen uit onderliggende lagen. Applicaties die in een bepaalde laag zitten (vooral die in laag 7) kunnen authenticatie en/of autorisatie nodig hebben. De mechanismen verschillen, maar over het algemeen is toegang tot een account database nodig met bijbehorende account management faciliteiten zoals aanmaken, verwijderen en muteren van accounts. 1 OSI Model,

8 2.2 Unified SSO Veel applicaties worden gebruikt door dezelfde gebruikers zodat ook vaak dezelfde accounts en mogelijk hetzelfde account management systeem door meerdere toepassingen gebruikt kan worden. Daarnaast zijn specifieke technieken beschikbaar die voor een groep van hetzelfde type applicaties authenticatie en SSO kan leveren. Hierbij hoeven de gebruikers accounts dan niet direct beschikbaar gesteld te worden aan applicaties, maar kan op basis van vertrouwen de authenticatie door een andere partij uitgevoerd worden. Een goed voorbeeld hiervan is federatieve authenticatie zoals met de SURFfederatie is gerealiseerd voor web gebaseerde applicaties. Een ander voorbeeld is eduroam waarbij netwerk toegang verkregen kan worden op basis van accounts die op een andere locatie en door een andere organisatie worden geadministreerd. Meestal beperken deze federatieve technieken zich echter tot een bepaald type applicaties en bijna altijd tot een bepaalde laag in het OSI model. De uitdaging van dit onderzoek is nu om de mogelijkheden te onderzoeken van het hergebruik van een authenticatie voor de ene laag of applicatie type in een andere. Het ideale beeld hierbij is dat een gebruiker maar één keer hoeft in te loggen, waarna deze login wordt hergebruikt door alle applicaties. Zo zou de gebruikers login hergebruikt kunnen worden door de voorziening (IMAP of SMTP), de kalender (ical), VOIP (SIP), het draadloos netwerk zoals eduroam (802.1x), file shares (SMB), de SURFfederatie (HTTP), Grid toegang (X.509) enz. Dit wordt unified Single Sign-On (usso) genoemd en is een uitbreiding van de klassieke SSO. Indien over SSO wordt gesproken wordt vaak SSO tussen websites bedoeld. Unified SSO verbreedt dit tot andere soorten toepassingen die zich soms ook nog in andere OSI lagen bevinden. Door deze eigenschappen van usso wordt dit ook wel een Cross Layer Identity genoemd. 2.3 Huidige situatie In de huidige situatie binnen de aangesloten instellingen van SURFnet, maar ook elders op het internet, moeten gebruikers apart inloggen voor verschillende diensten en federaties (zoals eduroam en SURFfederatie). De gebruikte credentials moeten hierbij opnieuw ingevoerd worden, maar vanwege cache features van de gebruikte client software (bv supplicant of browser) is de overlast daarvan beperkt. Wel speelt er duidelijk een security risico, de credentials staan immers op de harddisk van de gebruikers PC en de gebruiker moet meerdere credentials onthouden waardoor sommigen ervoor kiezen deze ergens te noteren. Door nu usso toe te passen wordt er op twee vlakken verbetering gerealiseerd: het security risico wordt uitgebannen en de gebruikerservaring wordt geoptimaliseerd. 2.4 SURFnet use case SURFnet houdt zich bezig met het ontwikkelen en ondersteunen van diensten die voor meerdere instellingen en tussen instellingen gebruikt kunnen worden. Een dienst die specifiek is voor één instelling en alleen door die instelling wordt gebruikt valt niet onder het doelgebied van SURFnet, tenzij de betreffende technologie breder ingezet kan worden. In het geval van usso zou dit betekenen dat authenticatie voor instellingsoverstijgende toepassingen gecombineerd worden. Mogelijk kan deze authenticatie vervolgens voor een instellingsspecifieke toepassing hergebruikt worden. Na overleg met SURFnet en gezien de beschikbare tijd voor het onderzoek is de use case die primair in dit onderzoek aan bod komt het hergebruiken van een login tussen de SURFfederatie en eduroam. Beide zijn bestaande, instellingsoverstijgende authenticatie diensten (federaties) die zich op verschillende lagen van het OSI model bevinden. Bij deze use case zal een eduroam authenticatie over het algemeen als eerste worden uitgevoerd aangezien netwerk toegang nodig is voordat diensten binnen de

9 SURFfederatie aangesproken kunnen worden. Deze use case wordt in onderstaande figuur weergegeven. Gast instelling 1 eduroam Gebruiker AP Radius Radius user/pwd store 2 WAYF 3 4 Authenticeren IdP SURFfederatie SP Website SP SURFfederatie Figuur 1 SURFnet usso use case Thuis instelling / SURFfederatie IdP user/pwd store 1. Een mobiele gebruiker bij een gast instelling logt in op het lokale draadloze netwerk middels eduroam. De authenticatie wordt uitgevoerd door de thuis instelling van de gebruiker. 2. De gebruiker opent een website die voor authenticatie aangesloten is op de SURFfederatie. Aangezien de gebruiker nog onbekend is voor deze website zal hij doorverwezen worden naar de SURFfederatie. 3. De SURFfederatie zal de gebruiker vragen wat zijn thuis instelling is en zal hem doorsturen naar de gekozen Identity Provider. 4. De Identity Provider zal de gebruiker moeten authenticeren. Hoogstwaarschijnlijk zal op dit punt de eerdere eduroam login hergebruikt kunnen worden zodat de gebruiker direct is ingelogd op de SURFfederatie en zonder login terug gestuurd kan worden naar de geopende website. Mogelijk dat de login van de gebruiker nog voor andere diensten gebruikt kan worden. Denk hierbij aan de of kalender voorziening van zijn thuis instelling. Bij de onderzochte usso methoden wordt dit echter als een nice-to-have gezien.

10 3 Integratie SURFfederatie en eduroam Na een verkenning van de mogelijkheden en gesprekken met betrokkenen is gekomen tot vier mogelijke technieken om de SURFfederatie en eduroam login te integreren. Deze technieken zijn SAML, X.509 certificaten, Information Cards en Kerberos en worden in onderstaande paragrafen beschreven. 3.1 SAML Een SAML assertion kan gebruikt worden als security token welke na een eduroam login wordt gegenereerd en later gebruikt kan worden om te authenticeren voor een SURFfederatie login. In het algemeen wordt voor deze methode vaak de term Bootstrapping 2 gebruikt. In de ICT wereld betekent deze term dat het ene proces een ander proces activeert. In dit scenario betekent wordt het SAML authenticatie proces geactiveerd of mogelijk gemaakt door het eduroam login proces Bootstrapping SAML met eduroam Deze methode komt voor een deel overeen met de unified Single Sign On (usso) zoals gedefinieerd door het DAMe 3 sub-project van Géant2. Hierbij wordt usso tussen edugain en eduroam gecreëerd waarbij ook gekeken is naar de mogelijkheid om de eduroam gast instelling autorisatie van netwerktoegang uit te laten uitvoeren. Daarnaast gebruikt het DAMe project niet een SAML token maar een zelf gedefinieerd edutoken om de authenticatie van eduroam over te brengen op de edugain federatie. Figuur 2 geeft schematisch de werking van het bootstrappen van een SAML assertion met behulp van een eduroam login, waarna deze assertion wordt gebruikt om toegang te krijgen tot de SURFfederatie. Gast instelling EAP Tunnel 1 eduroam 3 Gebruiker AP Radius 4 SAML token Radius 2 Authenticeren Get SAML Token 5 WAYF 6 7 Authenticeren Validate SAML token 8 SURFfederatie SP Website SP SURFfederatie IdP Thuis instelling / SURFfederatie IdP Figuur 2 eduroam SURFfederatie SSO middels SAML user/pwd store 2 3 DAMe Project,

11 1. eduroam communicatie tussen gast en thuis instelling wordt zoals gebruikelijk opgezet met een EAP tunnel tussen de gebruiker en de Radius server van de thuis instelling 2. eduroam authenticatie van de eindgebruiker gaat middels gebruikersnaam / wachtwoord (of ander reguliere eduroam authenticatie) welke door de Radius server van de thuis instelling bij een Identity Provider (IdP) wordt gevalideerd 3. Na authenticatie vraagt de Radius server van de thuis instelling middels een SAML AuthnRequest een SAML assertion bij de IdP uit naam van de gebruiker. Deze SAML assertion zal later (stap 8) voor authenticatie van de gebruiker bij de IdP worden gebruikt. Dit betekent dat deze SAML assertion een <SubjectConfirmation> element moet bevatten die refereert aan de IdP. 4. De SAML assertion wordt in de Radius response van stap 1 meegegeven in het TLV veld en komt zodoende aan bij de supplicant. De assertion wordt door de supplicant opgeslagen voor later gebruik (stap 7). Er zal een actief proces moeten draaien op de eindgebruikers laptop die deze assertion later beschikbaar kan stellen voor gebruik. Dit zou de supplicant zelf kunnen zijn indien deze actief blijft of een separaat achtergrond proces. 5. De gebruiker opent nu op enig moment een website die voor authenticatie aangesloten is bij de SURFfederatie (de website is een Service Provider, SP). De website zal in eerste instantie de gebruiker niet kunnen verifiëren en deze doorsturen naar de SURFfederatie voor authenticatie. 6. De SURFfederatie zal de gebruiker vragen naar zijn thuis instelling voor authenticatie ( Where Are You From?, WAYF). Na het selecteren van zijn thuis instelling wordt de gebruiker geredirect naar de instellings SURFfederatie IdP. Merk op dat aangezien de thuis instelling van de gebruiker in principe bekend is door de eduroam authenticatie het wellicht mogelijk is om deze stap over te slaan en de gebruiker direct van de SP naar de IdP te sturen. 7. Login bij de IdP gaat nu niet middels gebruikersnaam / wachtwoord, maar met het eerder verkregen SAML assertion. De IdP heeft op de loginpagina een gesigneerde Java applet die ervoor zorgt dat de assertion van de gebruikers supplicant gelezen kan worden. 8. De IdP valideert het SAML assertion en zal een geslaagde authenticatie terug geven aan de SURFfederatie. De gebruiker heeft nu toegang tot de website van de SP. Indien de validatie van de SAML token niet lukt, kan de loginpagina als alternatief het reguliere gebruikersnaam/wachtwoord loginscherm tonen. Mogelijke varianten: A) Andere mogelijkheid om transfer naar browser te maken in stap 4: In de Radius response van stap 1 wordt een URL (one-time time limited) naar een gegenereerde pagina meegestuurd (ook in EAP-TLV). Deze URL wordt door de gebruiker (supplicant) geopend en zal verschijnen in een browser. Deze URL zorgt ervoor dat de gebruiker bij de IdP uitkomt met de gegenereerde SAML assertion. De IdP valideert de assertion en zet een browser cookie (implementatie specifiek). Dit cookie zal ervoor zorgen dat als de gebruiker een SP van de SURFfederatie benadert, en uiteindelijk wordt doorverwezen naar de IdP, hij automatisch door de IdP wordt ingelogd. B) Mogelijk kan in stap 6 (WAYF) de Java applet al door de SURFfederatie gebruikt worden om de opgeslagen SAML assertion te lezen en te valideren. Een extra gang naar de IdP is dan niet nodig. Eventuele attributen die normaal door de IdP worden geleverd kunnen dan echter niet meer worden toegevoegd aan de SURFfederatie SAML assertion. Gezien toekomstige ontwikkelingen zou echter SURFnet zelf in deze gebruikers attributen kunnen voorzien.

12 C) In aanvulling op bovenstaande stap zou het wellicht mogelijk zijn de initiële SAML assertion in stap 3 niet door de IdP te laten genereren, maar door de SURFfederatie. D) In plaats van een SAML token te gebruiken, kan een zelf gedefinieerd token worden ingezet met eenvoudigere vormgeving en minder elementen. De werking van het scenario blijft precies hetzelfde, alleen het token is anders. Het DAMe project heeft bijvoorbeeld gekozen voor een zelf vormgegeven edutoken. Opmerkingen: Principe is in DAMe al aangetoond, echter met een paar verschillen; DAMe gebruikt het Bridging Element (BE) van edugain welke niet aanwezig is in de SURFfederatie. Daarnaast gebruikt DAMe een eigen proprietary token (edutoken) voor het usso proces. Wijziging in SURFfederatie IdP is eigenlijk dat er onder water een andere authenticatie module ondersteund moet worden (ipv de gebruikersnaam/wachtwoord variant); een module die het token kan valideren Voor- en nadelen Voordelen van dit scenario: De werking van delen van dit scenario is al door het DAMe project aangetoond. Het gebruik van SAML technologie sluit goed aan bij de gebruikte SURFfederatie technologie. Nadelen van dit scenario: Er is een Java applet (of vergelijkbare client logica in de browser) nodig. Dit kan browser stabiliteit en/of security issues verookzaken. Werkt alleen voor de beschreven SURFnet use case en zal niet voor niet-browser gebaseerde applicaties kunnen worden ingezet. 3.2 Certificaten Certificaten voor eduroam en SURFfederatie login Een mogelijk scenario voor het bereiken van Single Sign On tussen eduroam en de SURFfederatie op basis van Certificaten wordt hieronder beschreven.

13 Figuur 3 eduroam SURFfederatie SSO middels certificaten De thuisinstelling richt een Certificate Server in. Deze fungeert als Certificate Authority en reikt gebruikers certificaten (client certificates) uit en trekt ze weer in (middels een revocation list) en voorziet in Identity Mapping (username-certificate mapping). 1. Met behulp van het certificaat van de gebruiker wordt middels EAP-TLS de eduroam verbinding tot stand gebracht. 2. De Radius Server van de thuisinstelling valideert het client certificaat bij de Certificate Server. 3. De gebruiker opent nu op enig moment een website die voor authenticatie aangesloten is bij de SURFfederatie. De website zal in eerste instantie de gebruiker niet kunnen verifiëren en deze doorsturen naar de SURFfederatie voor authenticatie. 4. De SURFfederatie zal de gebruiker vragen naar zijn thuis instelling voor authenticatie ( Where Are You From?, WAYF). Na het selecteren van zijn thuis instelling wordt de gebruiker geredirect naar de instellings SURFfederatie IdP. Merk op dat aangezien de thuis instelling van de gebruiker in principe bekend is (door de eduroam authenticatie, client certificate informatie) het wellicht mogelijk is om deze stap over te slaan en de gebruiker direct van de SP naar de IdP te sturen. 5. Met behulp van het client certificaat wordt een SURFfederatie sessie verkregen. 6. De IdP valideert het client certificaat bij de Certificate Server. Een uitwerking van dit scenario is al beschikbaar bij SURFnet intern Voor- en nadelen Voordelen van dit scenario: Werking van het scenario is aangetoond binnen SURFnet.

14 Gebruikte technologie heeft zichzelf bewezen in de praktijk. Het gebruik van certificaten biedt ook mogelijkheden voor SSO naar niet-web gerelateerde applicaties. Nadelen van dit scenario: Het scenario introduceert een deployment probleem. De uitgifte en intrekking van certificaten voor eindgebruikers brengt behoorlijk wat administratie met zich mee. Dit scenario legt de authenticatie methode vast, m.a.w. dit werkt alleen als certificaten worden gebruikt om in te loggen, terwijl de andere scenario s - met uitzondering van Information Cards (zie 3.3) - de (eerste) authenticatie methode vrij laten. Een certificaat is betrekkelijk eenvoudig te verplaatsen naar andere systemen (internet cafe). Vergeet men om vervolgens daar het certificaat te verwijderen dan kan een ander persoon zich hiermee toegang verschaffen. Er wordt eigenlijk geen échte SSO gerealiseerd; dezelfde credentials (het certificaat) wordt voor alle diensten gebruikt. Indien het certificaat met een wachtwoord is beveiligd zal dit bij ieder gebruik gegeven moeten worden (mogelijk kan dit wachtwoord wel onthouden worden op de client). 3.3 Information Cards Aangezien Information Cards voor veel lezers nog niet even bekend is als andere technieken wordt eerst een algemene beschrijving van Information Cards gegeven waarna de toepassing op de SURFnet use case wordt besproken Information Cards in het algemeen Introductie Het concept van Information Cards is bedacht door Kim Cameron en zijn team bij Microsoft en is als Cardspace onderdeel van de Microsoft software stack. Information Cards (ook wel Infocard of I-Card genoemd) zijn het digitale equivalent van kaarten die mensen fysiek bij zich kunnen dragen in hun portemonnee of portefeuille. Denk daarbij aan een paspoort, rijbewijs, creditcard, toegangspas voor het werk, lidmaatschapskaart van de sportclub, OV-studentenkaart of OV-chipkaart, Airmiles pas, enz. Al deze kaarten hebben zo hun eigen toepassing, bevatten verschillende identiteit informatie en zijn verschillend in de mate van betrouwbaarheid (vergelijk een paspoort met een AHbonuskaart). De technische standaard voor Information Cards wordt vormgegeven door het OASIS Identity Metasystem Interoperability (IMI) Technical Committee 4 : The purpose of the Identity Metasystem Interoperability (IMI) Technical Committee (TC) is to increase the quality and number of interoperable implementations of Information Cards and associated identity system components to enable the Identity Metasystem. 4 OASIS Identity Metasystem Interoperability (IMI) TC,

15 Hoewel de naam anders suggereert, gaat het bij het OASIS IMI TC om het specificeren van het Information Card Model 5. De IMI 1.0 specificatie is op dit moment een Committee Specification en er wordt verwacht dat deze in juni 2009 een officiele OASIS Standaard wordt 6. Het Information Card model gebruikt elementen uit verschillende andere standaarden zoals WS-Security, WS-Trust, WS-MetadataExchange en WS-SecurityPolicy Werking De essentie van de werking van Information Cards is dat wanneer een gebruiker moet inloggen op een website, hij een Information Card selecteert die aan de eisen van de website voldoet. Figuur 4 geeft de architectuur componenten weer die een rol spelen in het Information Card Model. Identity Provider Gebruiker Relying Party Identity Provider Identity Selector Website Figuur 4 Information Card Model componenten Identity Selector: Om een Information Card te kunnen selecteren moet er op het gebruikers apparaat een Identity Selector aanwezig zijn. Dit is een stuk software die de Cards beheert en een user-interface voor eindgebruikers biedt. Bij een website login laat de Selector ook alleen de Cards zien die voldoen aan de eisen van de website. Relying Party: Meestal een website waar de gebruiker wil inloggen. De website stelt hiertoe eisen aan de Information Card, bijvoorbeeld over welke gebruikersgegevens de Card moet bevatten. Identity Provider: Een partij die instaat voor de juistheid van bepaalde gegevens (claims) van een specifieke Information Card die door deze provider wordt verstrekt. Op basis van deze Cards geeft de Identity Provider een security token uit. Een belangrijke realisatie bij het begrijpen van het Information Card model is dat een Information Card zelf géén security token (zoals een SAML assertion) is. Een Information Card is een beschrijving van de relatie tussen de gebruiker en de Identity Provider. Deze Card wordt gebruikt om bij de Identity Provider een daadwerkelijk security token te krijgen die de nodige claims voor de Relying Party bevat Gedetailleerde flow 7 Een gedetailleerde uitleg van de communicatie tussen de verschillende componenten in het Information Card model wordt weergegeven in onderstaande figuur en vervolgens puntsgewijs uitgelegd. 5 OASIS Identity Metasystem Interoperability (IMI) TC Public documents, Uit: An Implementer s Guide to the Identity Selector Interoperability Profile V1.5, Microsoft, July 2008 (link)

16 Identity Provider Gebruiker Relying Party Self-issued IdP Security Token Service Managed IdP Security Token Service Applicatie client Identity Selector 4 7 Applicatie service Managed IdP 3 5 Security Token Service Figuur 5 Gedetailleerde Information Card flow De gebruiker heeft eerder een Information Card verkregen van een Identity Provider. 1. Nadat de applicatie client aangeeft in te willen loggen mbv een Information Card, zal de Relying Parties applicatie service zijn security policy aan de client verstrekken. Deze security policy communiceert de benodigde claims voor toegang, maar ook het verwachte security token type van een specifieke Identity Provider voor toegang tot de service. Hiertoe wordt WS-SecurityPolicy gebruikt. Als het een webservice applicatie betreft zullen deze WS-SecurityPolicy elementen middels WS-MetadataExchange worden gecommuniceerd, indien het een web applicatie betreft zullen deze elementen in de HTML code (OBJECT of XHTML tags) van de betreffende pagina worden opgenomen. 2. De applicatie client vraagt aan de Identity Selector voor een security token die voldoet aan de eisen van de Relying Party. De Identity Selector laat de Information Cards die voldoen aan deze eisen zien, waarna de gebruiker er een selecteert. 3. De Identity Selector vraagt de security policy van de Identity Provider die overeenkomt met de geselecteerde Information Card. Deze security policy wordt middels metadata (WS-SecurityPolicy over WS-MetadataExchange) uitgewisseld waarna de Identity Selector weet hoe (bijvoorbeeld met welke binding) de Identity Provider kan worden aangesproken. 4. De geselecteerde Information Card bevat authenticatie informatie, zoals de door de Identity Provider gewenste authenticatie methode (een X.509 certificaat, username/password, Kerberos of een self-issued Information Card). De Identity Selector zorgt voor het verkrijgen van de juiste credentials van de gebruiker. 5. De Identity Selector authenticeert de gebruiker nu bij de Security Token Service (STS) van de Identity Provider. Deze STS genereert een security token op basis van de claims uit de Relying Parties security policy en geeft dit security token terug aan de Identity Selector. Deze communicatie gaat middels het WS-Trust protocol. 6. De Identity Selector geeft het security token aan de applicatie client. 7. De applicatie client geeft het security token aan de applicatie service en verkrijgt zo toegang tot de service. In een browser based scenario wordt op dit moment meestal een browser cookie gezet zodat volgende requests niet geauthenticeerd hoeven te worden.

17 Zoals te zien is in bovenstaande flow bestaan er twee 8 soorten Information Cards, afhankelijk van de gebruikte soort Identity Provider. een self-issued of persoonlijke Card waarbij twee partijen betrokken zijn (de gebruiker en de Relying Party) een managed Card waarbij drie partijen betrokken zijn (de gebruiker, de Relying Party en een Identity Provider) Bootstrapping Information Card met eduroam Een mogelijkheid om middels een Information Card SSO mogelijk te maken tussen eduroam en de SURFfederatie wordt hier beschreven. Dit scenario komt erop neer dat na een reguliere eduroam login een Information Card aan de gebruiker wordt gegeven die vervolgens gebruikt kan worden voor een SURFfederatie login (het bootstrappen, zie paragraaf 3.1 voor een uitleg). Onderstaande figuur met bijbehorende uitleg geeft een gedetailleerd beeld van dit scenario. Dit principe komt deels overeen met onderzoek dat gedaan is aan de Universiteit van Alcala (Spanje) en is gepresenteerd op TNC Gast instelling EAP Tunnel 1 eduroam Gebruiker AP Radius 4 Infocard Radius 3 Get Infocard 2 Authenticeren 5 WAYF 6 8 Exchange Infocard 7 9 Authenticeren Infocard STS SURFfederatie SP Website SP SURFfederatie IdP Thuis instelling / SURFfederatie IdP Figuur 6 eduroam SURFfederatie SSO middels Information Cards user/pwd store 1. eduroam communicatie tussen gast en thuis instelling wordt zoals gebruikelijk opgezet met een EAP tunnel tussen de gebruiker en de Radius server van de thuis instelling 2. eduroam authenticatie van de eindgebruiker gaat middels gebruikersnaam / wachtwoord (of ander reguliere eduroam authenticatie) welke door de Radius server van de thuis instelling bij een Identity Provider (IdP) wordt gevalideerd. In dit proces moet de supplicant ook gegevens van een self-issued infocard 8 Soms wordt ook nog een Action Card, een Password Card en een Relationship Card onderscheiden, maar dat is hier niet van belang 9 An Infocard-based proposal for unified single sing on, presentation by Enrique de la Hoz,

18 meesturen die de gebruiker al heeft. Deze self-issued Infocard dient later (stap 8) als authenticatie middel voor de managed Infocard. 3. Na authenticatie vraagt de Radius server van de thuis instelling een managed Infocard bij de Infocard STS op. Hierbij worden de gegevens van de self-issued Infocard meegestuurd zodat de STS dit later als authenticatie van de managed card kan gebruiken. 4. De Infocard wordt aan de gebruiker gegeven. Grofweg zijn hier twee mogelijkheden voor: a. De Infocard wordt in de Radius response van stap 1 meegegeven in het TLV veld. De supplicant op de gebruikers computer moet de verkregen Infocard in de Information Card store importeren b. In de Radius response van stap 1 wordt een URL (one-time, time limited) naar de Infocard meegestuurd (ook in EAP-TLV). De gebruiker (supplicant) zal deze link openen met de browser waarna de Infocard door de browser wordt opgehaald en in de Identity Selector wordt geïmporteerd. 5. De gebruiker opent nu op enig moment een website die voor authenticatie aangesloten is bij de SURFfederatie (de website is een Service Provider, SP). De website zal in eerste instantie de gebruiker niet kunnen verifiëren en deze doorsturen naar de SURFfederatie voor authenticatie. 6. De SURFfederatie zal de gebruiker vragen naar zijn thuis instelling voor authenticatie ( Where Are You From?, WAYF). Na het selecteren van zijn thuis instelling wordt de gebruiker geredirect naar de instellings SURFfederatie IdP. Merk op dat aangezien de thuis instelling van de gebruiker in principe bekend is door de eduroam authenticatie het wellicht mogelijk is om deze stap over te slaan en de gebruiker direct van de SP naar de IdP te sturen. 7. Authenticeren bij de IdP gaat nu niet middels gebruikersnaam / wachtwoord, maar met de eerder verkregen managed Infocard. Hier is de SURFfederatie IdP de Relying Party (RP) in een Infocard scenario. De gebruiker moet op de SURFfederatie IdP login pagina het Infocard logo selecteren waarna de Identity Selector op de gebruikers laptop wordt geactiveerd. De gebruiker selecteert de managed Infocard en staat toe dat deze voor een login bij de SURFfederatie wordt gebruikt. 8. De managed Infocard wordt nu door de Identity Selector bij de Infocard STS gevalideerd en ingewisseld tegen een security token wat in de volgende stap als authenticatie dienst doet bij de SURFfederatie IdP. De authenticatie van de managed Infocard gebeurt door de self-issued Infocard die door de Identity Selector automatisch in de communicatie met de STS wordt toegevoegd. 9. Het security token wordt door de SURFfederatie IdP gevalideerd op basis van het vertrouwen in de Infocard STS. Hierna zal de IdP een SURFfederatie SAML token aan de eindgebruiker verlenen. De rest van de flow om toegang te krijgen tot de website is vergelijkbaar met de reguliere SURFfederatie authenticatie. Mogelijke varianten: A) Wellicht dat in stap 6 de SURFfederatie als onderdeel van de lijst met instellingen eduroam Infocard als optie weergeeft. De SURFfederatie zou dan de door de gebruiker geselecteerde Infocard kunnen valideren bij de Infocard STS van de thuis instelling. De Infocard moet dan wel de URL van deze STS bevatten (of op een andere manier deze STS kunnen vinden). Effectief wordt hierdoor stap 7 overgeslagen wat de impact van dit scenario op de IdP van de thuis instelling beperkt. B) In plaats van de thuis instelling een Information Card te laten genereren, zou de Radius server van de thuis instelling dit aan de SURFfederatie kunnen overlaten. Zodoende zou een gebruiker de beschikking krijgen over een SURFfederatie Information

19 Card. Met deze Card kan de gebruiker zich vervolgens authenticeren bij de SURFfederatie (in stap 6) in plaats van bij de IdP van de thuis instelling (stap 7 en 8 worden hierdoor overbodig). Het voordeel van deze aanpak is dat de thuis instelling geen aanpassingen aan de IdP hoeft door te voeren en ook geen Infocard STS hoeft in te richten. Nadeel is dat een SURFfederatie authenticatie wordt uitgevoerd door de SURFfederatie zelf waardoor mogelijk niet alle gebruikers attributen voor de federatie beschikbaar zijn. Deze attributen zouden mogelijk wel uit de SURFnet offline attribute store gehaald kunnen worden. C) In plaats van het bootstrappen van een Infocard vanuit een EAP challenge, zou het wellicht ook mogelijk kunnen zijn een EAP-Infocard te gebruiken. Een out-of-band verkregen Infocard zou dan gebruikt kunnen worden om zowel bij eduroam als bij de SURFfederatie te authenticeren. Zie voor meer informatie paragraaf waarin dit nader is uitgewerkt. Opmerkingen: Een managed Infocard kan alleen gebruikt worden met een bijbehorend wachtwoord; er is dus geen échte SSO (om de eduroam Infocard te kunnen gebruiken moet toch weer een wachtwoord ingevoerd worden). Om dit te vermijden zou een client X.509 certificaat gebruikt kunnen worden of een self-issued Infocard. Indien self-issued Infocard gebruikt wordt zal bij de eduroam authenticatie alvast de cardid van deze self-issued card meegestuurd moeten worden. De eduroam Infocard kan dan alleen gebruikt worden in combinatie met de self-issued card. Invalidatie van de eduroam Infocard is wenselijk na een bepaalde tijd of nadat de connectie met eduroam is getermineerd EAP-Infocard In discussies binnen het projectteam is geopperd te onderzoeken in hoeverre EAP- Infocard mogelijk is als methode voor een eduroam met SURFfederatie koppeling. Met EAP-Infocard wordt bedoeld het gebruiken van een Information Card voor het authenticeren van een EAP verbinding. Bij een dergelijke opzet zou een Information Card gebruikt kunnen worden voor zowel eduroam als SURFfederatie authenticatie. Vóór gebruik zou deze kaart dan eerst eenmalig verkregen moeten zijn. Deze paragraaf onderzoekt de mogelijkheden en zal kort aangeven wat hiervoor nodig zou zijn. Allereerst is een onderzoek gedaan op internet naar de mogelijkheden en vooruitzichten van EAP-Infocard. Hieruit is gebleken dat hier geen initiatieven voor bestaan. Bij zoekacties kwam meestal het onderzoek van Géant mbt het bootstrappen van een Information Card middels EAP als eerste resultaat naar boven. Dit is echter niet hetzelfde als beoogd wordt met EAP-Infocard. Figuur 7 geeft een overzicht van de componenten uit het Information Card model toegepast in een EAP scenario. De volgende opmerkingen zijn hierbij van belang: De Applicatie Client uit Figuur 5 is nu de supplicant De Applicatie Service uit Figuur 5 is nu de Radius Server en bevindt zich in de thuis organisatie De Identity Provider bevindt zich eveneens in de thuis organisatie en is een Managed IdP De Identity Selector zal nog steeds gebruikt moeten worden om de gebruiker de juiste Information Card te kunnen laten selecteren Alle communicatie buiten de client om, zoals weergegeven in Figuur 5 (nummers 1, 3, 5 en 7) moeten over de EAP tunnel uitgevoerd worden.

20 Relying Party / Identity Provider Gebruiker EAP Tunnel Radius Server Security Token Service Supplicant 2 6 Identity Selector 4 Managed IdP Security Token Service Figuur 7 EAP-Infocard Bij het maken van een EAP-Infocard zullen de volgende zaken moeten worden gerealiseerd en overwogen: In het Information Card model gaat alle communicatie over HTTP. Met EAP-Infocard zal alle informatie in EAP pakketten getransporteerd moeten worden. Dit maakt dat de Supplicant en Radius server aangepast moeten worden. De Radius server, waar het eindpunt van de EAP Tunnel zich bevindt, moet dienen als Relying Party maar ook als Identity Provider. Mogelijk moet de Radius server de communicatie naar de Identity Provider proxy-en. De communicatie vanuit de Identity Selector naar de Identity Server zal via de Supplicant moeten lopen, en niet rechtstreeks zoals gebruikelijk. Dit vereist een aanpassing van de Identity Selector. Aangezien de Identity Selector ook voor normale Information Card scenario s ingezet wordt, zal er een manier gevonden moeten worden om de Identity Selector aan te geven dat zijn communicatie in dit geval via de Supplicant moet laten lopen. Wellicht is het meest eenvoudige om van het Information Card model de webservices interacties en bijbehorende berichten te gebruiken als basis voor EAP- Infocard. Merk op dat het Information Card model het mogelijk maakt dat een Relying Party ook een STS heeft. Dit zou idealiter ook door EAP-Infocard ondersteund moeten worden Voor- en nadelen Scenario Bootstrapping Information Card met eduroam Voordelen van dit scenario: Er is al door medewerkers van de Universiteit van Alcala aangetoond dat dit scenario kan werken. Dit scenario maakt gebruik van bestaande client software (de Identity Selector) waardoor extra client aanpassingen beperkt blijven. Vanwege de architectuur van het Information Card model (voornamelijk door de Identity Selector) kan een Information Card ook voor toepassingen op andere OSI lagen gebruikt gaan worden. Nadelen van dit scenario:

Implementatiekosten en baten van SURFconext. Versie: 0.5 Datum: 06/06/2013 Door: Peter Clijsters

Implementatiekosten en baten van SURFconext. Versie: 0.5 Datum: 06/06/2013 Door: Peter Clijsters Implementatiekosten en baten van SURFconext Versie: 0.5 Datum: 06/06/2013 Door: Peter Clijsters Dit document geeft een antwoord op de vraag hoeveel een aansluiting op SURFconext kost. Introductie... 1

Nadere informatie

SURFconext Cookbook. Het koppelen van Alfresco aan SURFconext. Versie: 1.0. Datum: 8 december 2013. 030-2 305 305 admin@surfnet.nl www.surfnet.

SURFconext Cookbook. Het koppelen van Alfresco aan SURFconext. Versie: 1.0. Datum: 8 december 2013. 030-2 305 305 admin@surfnet.nl www.surfnet. SURFconext Cookbook Het koppelen van Alfresco aan SURFconext Auteur(s): Frank Niesten Versie: 1.0 Datum: 8 december 2013 Radboudkwartier 273 3511 CK Utrecht Postbus 19035 3501 DA Utrecht 030-2 305 305

Nadere informatie

SAML & FEDERATED IDENTITIES. The Single Sign-on provider

SAML & FEDERATED IDENTITIES. The Single Sign-on provider SAML & FEDERATED IDENTITIES The Single Sign-on provider Agenda Onderwerp: SAML Single Sign-on Justitie Uitleg: Waarom Identity en Access Management (IAM) Wat is IAM Wat is Security Assertion Markup Language

Nadere informatie

Handleiding toegang eduroam met Windows 7 voor eindgebruikers Universiteit Leiden

Handleiding toegang eduroam met Windows 7 voor eindgebruikers Universiteit Leiden Handleiding ICT Shared Service Center Universiteit Leiden Postbus 9512 2300 RA Leiden 071 527 6969 Handleiding toegang eduroam met Windows 7 voor eindgebruikers Universiteit Leiden Opdrachtgever: ICT Shared

Nadere informatie

Claims-based authenticatie in SharePoint 2010

Claims-based authenticatie in SharePoint 2010 Claims-based authenticatie in SharePoint 2010 MAAKT HET REALISEREN VAN DIVERSE SCENARIO S MAKKELIJKER Mirjam van Olst SharePoint 2010 maakt gebruik van claims-based authenticatie. Omdat claims-based authenticatie

Nadere informatie

SURFconext Cookbook. Het koppelen van LimeSurvey aan SURFconext. Versie: 1.0. Datum: 4 december 2013. 030-2 305 305 admin@surfnet.nl www.surfnet.

SURFconext Cookbook. Het koppelen van LimeSurvey aan SURFconext. Versie: 1.0. Datum: 4 december 2013. 030-2 305 305 admin@surfnet.nl www.surfnet. SURFconext Cookbook Het koppelen van LimeSurvey aan SURFconext Auteur(s): Frank Niesten Versie: 1.0 Datum: 4 december 2013 Radboudkwartier 273 3511 CK Utrecht Postbus 19035 3501 DA Utrecht 030-2 305 305

Nadere informatie

Security web services

Security web services Security web services Inleiding Tegenwoordig zijn er allerlei applicaties te benaderen via het internet. Voor bedrijven zorgt dit dat zei de klanten snel kunnen benaderen en aanpassingen voor iedereen

Nadere informatie

SURFconext Cookbook. Het koppelen van Wordpress aan SURFconext. Versie: 1.0. Datum: 7 november 2013. 030-2 305 305 admin@surfnet.nl www.surfnet.

SURFconext Cookbook. Het koppelen van Wordpress aan SURFconext. Versie: 1.0. Datum: 7 november 2013. 030-2 305 305 admin@surfnet.nl www.surfnet. SURFconext Cookbook Het koppelen van Wordpress aan SURFconext Auteur(s): Frank Niesten Versie: 1.0 Datum: 7 november 2013 Radboudkwartier 273 3511 CK Utrecht Postbus 19035 3501 DA Utrecht 030-2 305 305

Nadere informatie

MSSL Dienstbeschrijving

MSSL Dienstbeschrijving MSSL Dienstbeschrijving Versie : 1.0 Datum : 28 augustus 2007 Auteur : MH/ME Pagina 2 van 7 Inhoudsopgave Inhoudsopgave... Fout! Bladwijzer niet gedefinieerd. Introductie... 3 Divinet.nl Mssl... 3 Hoe

Nadere informatie

Webservices en SURFfederatie

Webservices en SURFfederatie indi-2009-06-012 Webservices en SURFfederatie Project : SURFworks Projectjaar : 2009 Projectmanager : Remco Poortinga van Wijnen Auteur(s) : Peter Clijsters (Everett) Opleverdatum : 28-05-2009 Versie :

Nadere informatie

Samengevoegde reacties op de openbare consultatie voor SAML v2.0 van de volgende partijen: - Kennisnet - Rijkswaterstaat

Samengevoegde reacties op de openbare consultatie voor SAML v2.0 van de volgende partijen: - Kennisnet - Rijkswaterstaat Samengevoegde reacties op de openbare consultatie voor SAML v2.0 van de volgende partijen: - Kennisnet - Rijkswaterstaat KENNISNET 1. Zijn er volgens u in deze toelichting aanvullingen of anderszins wijzigingen

Nadere informatie

GOOGLE APPS-AUTHENTICATIE VIA DE SURFFEDERATIE

GOOGLE APPS-AUTHENTICATIE VIA DE SURFFEDERATIE GOOGLE APPS-AUTHENTICATIE VIA DE SURFFEDERATIE versie 2.0, 14 april 2010 SURFNET BV, R ADBOUDKWARTIER 273, POSTBUS 19035, 3501 DA U TRECHT T +31 302 305 305, F +31 302 305 329, WWW.SURFNET. NL INHOUD 1.

Nadere informatie

Enterprise SSO Manager (E-SSOM) Security Model

Enterprise SSO Manager (E-SSOM) Security Model Enterprise SSO Manager (E-SSOM) Security Model INHOUD Over Tools4ever...3 Enterprise Single Sign On Manager (E-SSOM)...3 Security Architectuur E-SSOM...4 OVER TOOLS4EVER Tools4ever biedt sinds 2004 een

Nadere informatie

Beknopte dienstbeschrijving beveiligen van Webapplicaties m.b.v. digitale certificaten en PKI

Beknopte dienstbeschrijving beveiligen van Webapplicaties m.b.v. digitale certificaten en PKI Beknopte dienstbeschrijving beveiligen van Webapplicaties m.b.v. digitale certificaten en PKI Document: Beknopte dienstbeschrijving beveiligen van Webapplicaties Versie: maart 2002 mei 2002 Beknopte dienstbeschrijving

Nadere informatie

Internet-authenticatie management (A-select) Erik Flikkenschild e.flikkenschild@lumc.nl

Internet-authenticatie management (A-select) Erik Flikkenschild e.flikkenschild@lumc.nl Internet-authenticatie management (A-select) Erik Flikkenschild e.flikkenschild@lumc.nl Inhoud: Begrippenkader gezondheidszorg A-select scope A-select architectuur LUMC implementatie De uitdaging voor

Nadere informatie

DigiD SSL. Versie 2.1.1. Datum 16 augustus 2010 Status Definitief

DigiD SSL. Versie 2.1.1. Datum 16 augustus 2010 Status Definitief DigiD SSL Versie 2.1.1 Datum 16 augustus 2010 Status Definitief Colofon Projectnaam DigiD Versienummer 2.1.1 Organisatie Logius Postbus 96810 2509 JE Den Haag servicecentrum@logius.nl Pagina 2 van 9 Inhoud

Nadere informatie

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s Beknopte dienstbeschrijving Beveiligen van VPN's m.b.v. digitale certificaten en PKI Document: Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s Inhoudsopgave 1. Inleiding 2 2. Snel te

Nadere informatie

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van e-mail

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van e-mail Beknopte dienstbeschrijving Beveiligen van e-mail m.b.v. digitale certificaten en PKI Document: Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van e-mail Inhoudsopgave 1. Inleiding 2 2. Snel te

Nadere informatie

Dienstbeschrijving MSSL Connect 1 Platform

Dienstbeschrijving MSSL Connect 1 Platform CBG Connect B.V. Tel: +31228 56 60 70 Fax: +31228 56 60 79 Verkoop@cbgconnect.nl Dienstbeschrijving MSSL Connect 1 Platform Versie: 1 Maand: Juli 2015 Versie: 1.0 Maand: april 2010 Inhoudsopgave 1 Inleiding...

Nadere informatie

Dienstbeschrijving SURFconext

Dienstbeschrijving SURFconext Auteur(s): S. Veeke Versie: 1.0 Datum: 1 augustus 2015 Moreelsepark 48 3511 EP Utrecht Postbus 19035 3501 DA Utrecht +31 88 787 3000 admin@surfnet.nl www.surfnet.nl ING Bank NL54INGB0005936709 KvK Utrecht

Nadere informatie

Single Sign On. voor. Residentie.net en Denhaag.nl

Single Sign On. voor. Residentie.net en Denhaag.nl Single Sign On voor Residentie.net en Denhaag.nl Omschrijving : -- Opgesteld door : Leon Kuunders Referentie : -- Datum : 30 augustus 2003 Versie : 0.31 (draft) Versiebeheer Versie Datum Auteur Wijziging

Nadere informatie

Werken op afstand via internet

Werken op afstand via internet HOOFDSTUK 12 Werken op afstand via internet In dit hoofdstuk wordt uitgelegd wat er nodig is om op afstand met de ROS artikel database te kunnen werken. Alle benodigde programma s kunnen worden gedownload

Nadere informatie

Technisch ontwerp. Projectteam 6. Project "Web Essentials" 02 april 2009. Versie 2.1.0

Technisch ontwerp. Projectteam 6. Project Web Essentials 02 april 2009. Versie 2.1.0 Projectteam 6 Faculteit Natuur en Techniek Hogeschool Utrecht Projectleider: Hans Allis, hans.allis@student.hu.nl Technisch ontwerp Project "Web Essentials" 02 april 2009 Versie 2.1.0 Teamleden: Armin

Nadere informatie

Single sign on kan dé oplossing zijn

Single sign on kan dé oplossing zijn Whitepaper Single sign on kan dé oplossing zijn door Martijn Bellaard Martijn Bellaard is lead architect bij TriOpSys en expert op het gebied van security. De doorsnee ICT-omgeving is langzaam gegroeid

Nadere informatie

De FAS (Federal Authentication Service) Peter Strick SmartCities IDM workshop 07/05/2009

De FAS (Federal Authentication Service) Peter Strick SmartCities IDM workshop 07/05/2009 De FAS (Federal Authentication Service) Peter Strick SmartCities IDM workshop 07/05/2009 Fedict 2009. All rights reserved Agenda Beschrijving van de FAS Authenticatie Veiligheidsniveaus voor authenticatie

Nadere informatie

Identity as a Service: procesbeschrijvingen

Identity as a Service: procesbeschrijvingen Identity as a Service: procesbeschrijvingen Project : SURFworks Identity as a Service Projectjaar : 2009 Projectmanager : Remco Poortinga-van Wijnen, Roland van Rijswijk Auteur(s) : Arjo Duineveld (IGI)

Nadere informatie

VPN Remote Dial In User. DrayTek Smart VPN Client

VPN Remote Dial In User. DrayTek Smart VPN Client VPN Remote Dial In User DrayTek Smart VPN Client VPN Remote Dial In Met een Virtual Private Network (VPN) is het mogelijk om door middel van een beveiligde (geautoriseerd en/of versleuteld) verbinding

Nadere informatie

Gebruikershandleiding

Gebruikershandleiding . Gebruikershandleiding Inhoudsopgave 1 Inleiding... 3 1.1 Wat is Citrix?... 3 1.2 Voordelen van Citrix... 3 1.3 Wat heeft u nodig om toegang te krijgen... 3 2 Systeemeisen... 4 2.1 Ondersteunde Web browsers...

Nadere informatie

SURFFEDERATIE HANDLEIDING AD FS 2.0

SURFFEDERATIE HANDLEIDING AD FS 2.0 SURFFEDERATIE HANDLEIDING AD FS 2.0 VOOR AANSLUITING ALS IDENTITY PROVIDER versie 2.0, 15 juli 2010 SURFNET BV, R ADBOUDKWARTIER 273, P OSTBUS 19035, 3501 DA U TRECHT T +31 302 305 305, F +31 302 305 329,

Nadere informatie

SURFconext Cookbook. Het koppelen van BigBlueButton aan SURFconext. Versie: 1.0. Datum: 1 december 2013. 030-2 305 305 admin@surfnet.nl www.surfnet.

SURFconext Cookbook. Het koppelen van BigBlueButton aan SURFconext. Versie: 1.0. Datum: 1 december 2013. 030-2 305 305 admin@surfnet.nl www.surfnet. SURFconext Cookbook Het koppelen van BigBlueButton aan SURFconext Auteur(s): Frank Niesten Versie: 1.0 Datum: 1 december 2013 Radboudkwartier 273 3511 CK Utrecht Postbus 19035 3501 DA Utrecht 030-2 305

Nadere informatie

Externe toegang met ESET Secure Authentication. Daxis helpdesk@daxis.nl Versie 2.0

Externe toegang met ESET Secure Authentication. Daxis helpdesk@daxis.nl Versie 2.0 Externe toegang met ESET Secure Authentication Daxis helpdesk@daxis.nl Versie 2.0 Inhoudsopgave: Inhoudsopgave:... 1 Inleiding:... 2 Stap 1: Download eenmalig Eset Secure Authentication op uw smartphone...

Nadere informatie

Skype voor SURFcontact

Skype voor SURFcontact indi-2010-012-020 Skype voor SURFcontact Project : SURFworks Projectjaar : 2010 Projectmanager : Alexander van den Hil Auteur(s) : Erik Dobbelsteijn Opleverdatum : 09-12-2010 Versie : 1.0 Samenvatting

Nadere informatie

Technologieverkenning

Technologieverkenning Technologieverkenning Videocontent in the cloud door de koppeling van MediaMosa installaties Versie 1.0 14 oktober 2010 Auteur: Herman van Dompseler SURFnet/Kennisnet Innovatieprogramma Het SURFnet/ Kennisnet

Nadere informatie

Oracle Application Server Portal Oracle Gebruikersgroep Holland Oktober 2003

Oracle Application Server Portal Oracle Gebruikersgroep Holland Oktober 2003 Oracle Application Server Portal Oracle Gebruikersgroep Holland Oktober 2003 Page 1 1 Kees Vianen Senior Sales Consultant Technology Solutions Oracle Nederland Agenda Geschiedenis van Oracle Portal Portal

Nadere informatie

RUCKUS GUEST ACCESS. Technote. Alcadis Vleugelboot 8 3991 CL Houten www.alcadis.nl 030 65 85 125. Versie: 1.0 Auteur: Thomas Snijder Datum: 20-01-2013

RUCKUS GUEST ACCESS. Technote. Alcadis Vleugelboot 8 3991 CL Houten www.alcadis.nl 030 65 85 125. Versie: 1.0 Auteur: Thomas Snijder Datum: 20-01-2013 RUCKUS GUEST ACCESS Technote Versie: 1.0 Auteur: Thomas Snijder Datum: 20-01-2013 Alcadis Vleugelboot 8 3991 CL Houten www.alcadis.nl 030 65 85 125 Inhoud 1 Inleiding... 2 2 Configuratie... 3 2.1 GUEST

Nadere informatie

Wi-Fi instellingen voor Windows XP

Wi-Fi instellingen voor Windows XP Wi-Fi instellingen voor Windows XP Op de TU/e zijn een viertal Wlan netwerknamen of SSID s beschikbaar: TUE-WPA2 2 Het SSID TUE-WPA2 is voorzien van WPA2 beveiliging. Dit netwerk kan zowel door studenten

Nadere informatie

RUCKUS DPSK + ZERO-IT. Technote. Alcadis Vleugelboot 8 3991 CL Houten www.alcadis.nl 030 65 85 125

RUCKUS DPSK + ZERO-IT. Technote. Alcadis Vleugelboot 8 3991 CL Houten www.alcadis.nl 030 65 85 125 RUCKUS DPSK + ZERO-IT Technote Versie: 1.0 Auteur: Thomas Snijder Datum: 17-02-2014 Alcadis Vleugelboot 8 3991 CL Houten www.alcadis.nl 030 65 85 125 Inhoud 1 Inleiding... 2 2 Configuratie... 3 2.1 CAPTIVE

Nadere informatie

SSL VPN. In deze handleiding zullen wij onderstaande SSL mogelijkheden aan u uitleggen. - SSL VPN account/groep creëren.

SSL VPN. In deze handleiding zullen wij onderstaande SSL mogelijkheden aan u uitleggen. - SSL VPN account/groep creëren. SSL VPN SSL VPN SSL VPN is een web based versie van VPN waarbij er geen VPN client software nodig is. Het wordt niet beperkt door netwerkomgevingen en is zeer eenvoudig te configureren. SSL staat voor

Nadere informatie

Transport Layer Security. Presentatie Security Tom Rijnbeek

Transport Layer Security. Presentatie Security Tom Rijnbeek Transport Layer Security Presentatie Security Tom Rijnbeek World Wide Web Eerste webpagina: 30 april 1993 Tegenwoordig: E-mail Internetbankieren Overheidszaken (DigiD) World Wide Web Probleem: World Wide

Nadere informatie

User controlled privacy voor de SURFfederatie

User controlled privacy voor de SURFfederatie User controlled privacy voor de SURFfederatie Project : SURFworks SURFfederatie PoCs Projectjaar : 2009 Projectmanager : Remco Poortinga-Van Wijnen, Roland van Rijswijk Auteur(s) : Maarten Wegdam & Bob

Nadere informatie

HDN DARTS WEB AUTHENTICATIE

HDN DARTS WEB AUTHENTICATIE HDN DARTS WEB AUTHENTICATIE HDN Helpdesk T: 0182 750 585 F: 0182 750 589 M: helpdesk@hdn.nl Copyright Communications Security Net B.V. Inhoudsopgave 1. INLEIDING OP HET ONTWERP... 3 1.1 HET DOEL VAN DIT

Nadere informatie

The OSI Reference Model

The OSI Reference Model Telematica Applicatielaag Hoofdstuk 16, 17 Applicatielaag 4Bevat alle toepassingen die van het netwerk gebruik maken n E-mail n Elektronisch nieuws n WWW n EDI (Electronic Data Interchange) n Napster,

Nadere informatie

Introductie iwelcome. Paul Eertink product marketing lustrum e-herkenning 2015

Introductie iwelcome. Paul Eertink product marketing lustrum e-herkenning 2015 Introductie iwelcome Paul Eertink product marketing lustrum e-herkenning 2015 Voorstelrondje o Naam o Functie o Bedrijf o Waar hoop je antwoord op te krijgen in deze sessie 2 iwelcome BV 2015 Confidential

Nadere informatie

ICT en de digitale handtekening. Door Peter Stolk

ICT en de digitale handtekening. Door Peter Stolk ICT en de digitale handtekening Door Peter Stolk Onderwerpen Elektronisch aanleveren van akten Issues bij de start Aanbieders van akten Hoe krijgen we ze zover? Demonstratie Welke technieken hebben we

Nadere informatie

Aandachtspunten PKIoverheid

Aandachtspunten PKIoverheid Aandachtspunten PKIoverheid Tips en aanbevelingen bij PKIoverheid-certificaten en PKI-enabled applicaties Auteur GBO.overheid / PKIoverheid Versie Versie 1.0 Status Definitief Den Haag, 18 oktober 2007

Nadere informatie

HANDLEIDING SMTP DIENST BEDRIJVENWEB NEDERLAND B.V.

HANDLEIDING SMTP DIENST BEDRIJVENWEB NEDERLAND B.V. HANDLEIDING SMTP DIENST BEDRIJVENWEB NEDERLAND B.V. Uitgave : 1.0 KORTE OMSCHRIJVING In dit document wordt beschreven hoe u gebruik kunt maken van de SMTP dienst van Bedrijvenweb Nederland B.V. om e-mail

Nadere informatie

NSS volumes in een bestaande tree aanspreken vanuit Domain Services for Windows

NSS volumes in een bestaande tree aanspreken vanuit Domain Services for Windows NSS volumes in een bestaande tree aanspreken vanuit Domain Services for Windows Elders in dit werk hebt u kunnen lezen hoe DSfW ingezet kan worden als alternatief voor Active Directory. Dit heeft echter

Nadere informatie

DrayTek Sm art VPN Client. PPTP / I PSec / L2TP

DrayTek Sm art VPN Client. PPTP / I PSec / L2TP Rem ote Dial- in User DrayTek Sm art VPN Client PPTP / I PSec / L2TP Inhoudsopgave Inhoudsopgave... 2 Inleiding... 3 Verbinding maken met de router... 4 Remote Dial In User PPTP... 5 VPN verbinding opzetten

Nadere informatie

HANDLEIDING EXTERNE TOEGANG CURAMARE

HANDLEIDING EXTERNE TOEGANG CURAMARE HANDLEIDING EXTERNE TOEGANG CURAMARE Via onze SonicWALL Secure Remote Access Appliance is het mogelijk om vanaf thuis in te loggen op de RDS omgeving van CuraMare. Deze handleiding beschrijft de inlogmethode

Nadere informatie

4Problemen met zakendoen op Internet

4Problemen met zakendoen op Internet Intranet Telematica Toepassingen Hoofdstuk 18 4gebruik Internet toepassingen voor netwerk binnen een organisatie 4In plaats van gespecialiseerde netwerkprogramma's 4Vooral WWW en e-mail 4WWW browser toegang

Nadere informatie

Windows XP & Windows Vista

Windows XP & Windows Vista Rem ote Dial- in User Windows XP & Windows Vista Inhoudsopgave Inhoudsopgave... 2 Inleiding... 3 Verbinding maken met de router... 4 Remote Dial In User PPTP... 5 Nieuwe VPN-verbinding maken in Windows

Nadere informatie

10/5 Integratie met Windows

10/5 Integratie met Windows Integratie 10/5 Integratie met Windows 10/5.1 Novell Domain Services for Windows 10/5.1.1 Inleiding Tot de belangrijkste vernieuwingen in Open Enterprise Server 2 SP 1 dat in december 2008 is uitgekomen,

Nadere informatie

Remote instrumentation

Remote instrumentation indi-2009-12-035 Remote instrumentation Project : SURFworks Projectjaar : 2009 Projectmanager : Walter van Dijk Auteur(s) : Hind Abdulaziz, Alexander ter Haar (Stratix) Opleverdatum : december 2009 Versie

Nadere informatie

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com Veilig de cloud in Whitepaper over het gebruik van Cloud-diensten deel 1 www.traxion.com Introductie Deze whitepaper beschrijft de integratie aspecten van clouddiensten. Wat wij merken is dat veel organisaties

Nadere informatie

Gebruikershandleiding

Gebruikershandleiding Gebruikershandleiding versie: 18 maart 2013 Multrix Desktop Portal Toegang tot uw applicaties via het internet Handleiding Multrix Desktop Portal - NED Pagina 1 van 12 Inleiding Dit document biedt u een

Nadere informatie

Handleiding voor gebruikers

Handleiding voor gebruikers Handleiding voor gebruikers September 2012 Inhoudsopgave Inhoudsopgave... 2 Inleiding... 3 Wat is KennisID... 3 Wat is een profiel... 3 Rollen... 3 Helpdeskprocedure... 5 Profiel valideren... 6 Stap 1

Nadere informatie

Gebruikershandleiding. StUF Testplatform Versie 1.3.0

Gebruikershandleiding. StUF Testplatform Versie 1.3.0 Gebruikershandleiding StUF Testplatform Versie 1.3.0 Documentversie: 0.7 Datum 25 november 2014 Status In gebruik Inhoudsopgave 1 INLEIDING...3 2 GEBRUIK MAKEN VAN HET STUF TESTPLATFORM...4 2.1 INLOGGEN

Nadere informatie

SuperOffice Systeemvereisten

SuperOffice Systeemvereisten Minimale systeemvereisten voor SuperOffice CRM De minimale systeemvereisten voor SuperOffice CRM zijn tevens afhankelijk van het besturingssysteem en de services/applicaties die op het systeem actief zijn.

Nadere informatie

Intramed OnLine instellen en gebruiken. Voor Android tablet of telefoon

Intramed OnLine instellen en gebruiken. Voor Android tablet of telefoon Intramed OnLine instellen en gebruiken Voor Android tablet of telefoon Inhoudsopgave Hoofdstuk 1 Algemeen...1 1.1 Toegang tot inlogportalen...1 Hoofdstuk 2 Basic account...3 2.1 Microsoft Remote Desktop

Nadere informatie

Easyhosting Handleiding SSL Certificaat installeren in DirectAdmin

Easyhosting Handleiding SSL Certificaat installeren in DirectAdmin Easyhosting Handleiding SSL Certificaat installeren in DirectAdmin Deze handleiding beschrijft de stappen die u dient te nemen voor een SSL certificaat installatie in DirectAdmin. Versie 1.0 Inhoud Uniek

Nadere informatie

Datum 15 juni 2006 Versie 1.0.6. Exchange Online. Handleiding voor gebruiker Release 1.0

Datum 15 juni 2006 Versie 1.0.6. Exchange Online. Handleiding voor gebruiker Release 1.0 Datum 1.0.6 Exchange Online Handleiding voor gebruiker Release 1.0 1.0.6 Inhoudsopgave 1 Instellingen e-mail clients 2 1.1 Gebruik via Outlook 2003 2 1.2 Gebruik via ActiveSync 15 1.3 Gebruik via andere

Nadere informatie

Self-Service Portal Registeren, downloaden & activeren van een soft token

Self-Service Portal Registeren, downloaden & activeren van een soft token Self-Service Portal Registeren, downloaden & activeren van een soft token Document versie: 3.2 Uitgavedatum: september 2014 Inhoud Introductie... 3 Over 2 e factor authenticatie... 3 Over egrid authenticatie...

Nadere informatie

Voordat je thuis in Vetware kan moet je dus één keer de toegang voorbereiden op de Universiteit Utrecht!

Voordat je thuis in Vetware kan moet je dus één keer de toegang voorbereiden op de Universiteit Utrecht! Directie ITS Information and Technology Services HANDLEIDING Thuiswerken met Vetware Deze handleiding beschrijft hoe je vanuit huis toegang kunt krijgen tot Vetware. Het is verdeeld in twee delen; de voorbereiding

Nadere informatie

UNIT4 BUSINESS SOFTWARE. Gebruikershandleiding Unit 4 Data Collector

UNIT4 BUSINESS SOFTWARE. Gebruikershandleiding Unit 4 Data Collector UNIT4 BUSINESS SOFTWARE Gebruikershandleiding Unit 4 Data Collector Inhoud 1. Inleiding... 3 2. Systeemeisen... 4 3. Installatie... 5 3.1. Downloaden file... 5 3.2. Uitpakken file... 5 4. Gebruik... 6

Nadere informatie

KraamZorgCompleet OnLine instellen en gebruiken. Voor Android tablet of telefoon

KraamZorgCompleet OnLine instellen en gebruiken. Voor Android tablet of telefoon KraamZorgCompleet OnLine instellen en gebruiken Voor Android tablet of telefoon Inhoudsopgave Hoofdstuk 1 Algemeen...1 1.1 Toegang tot inlogportalen...1 Hoofdstuk 2 Basic account...3 2.1 Microsoft Remote

Nadere informatie

HANDLEIDING REMOTE LEEUWNET

HANDLEIDING REMOTE LEEUWNET HANDLEIDING REMOTE LEEUWNET INLEIDING Deze handleiding beschrijft het gebruik van de thuiswerkplek Remote Leeuwnet. Remote Leeuwnet biedt via een beveiligde internet verbinding toegang tot het netwerk

Nadere informatie

VPN Remote Dial In User. Windows VPN Client

VPN Remote Dial In User. Windows VPN Client VPN Remote Dial In User Windows VPN Client VPN Remote Dial In User Met een Virtual Private Network (VPN) is het mogelijk om door middel van een beveiligde(geautoriseerd en/of versleuteld) verbinding te

Nadere informatie

Resultaten marktscan eduroam

Resultaten marktscan eduroam indi-9-- Resultaten marktscan eduroam Project : SURFworks Projectjaar : 9 Projectmanager : Paulien Rinsema Auteur(s) : Eefje van der Harst, Elise Roders, Karianne Vermaas Opleverdatum : 5 9 Versie :. Samenvatting

Nadere informatie

Veilig e-mailen. Waarom e-mailen via een beveiligde verbinding? U vertrouwt de verbinding met de e-mailserver van InterNLnet niet

Veilig e-mailen. Waarom e-mailen via een beveiligde verbinding? U vertrouwt de verbinding met de e-mailserver van InterNLnet niet Veilig e-mailen E-mail heeft zich inmiddels ruimschoots bewezen als communicatiemiddel. Het is een snelle en goedkope manier om met anderen waar ook ter wereld te communiceren. Als gevolg hiervan vindt

Nadere informatie

Deel 4 Active Directory inleiding

Deel 4 Active Directory inleiding Deel 4 Active Directory inleiding 1 Wat is AD? 2 Structuur van AD? 3 Domain Controllers 4 Verschil met werkgroep 5 Install van een nieuw domain 6 AD Consoles Active Directory (AD) staat beheerders toe

Nadere informatie

eduroam Handleiding webinterface

eduroam Handleiding webinterface eduroam Handleiding webinterface Inhoudstafel Handleiding eduroam webinterface 2 Inleiding 3 Login-pagina 3 Hoofdpagina 4 Beheer van uw radius-servers 6 Beheer van uw domeinen 9 Beheer van de testgebruikers

Nadere informatie

Eindrapport Stimulering beveiliging

Eindrapport Stimulering beveiliging indi-2009-12-024 Eindrapport Stimulering beveiliging Project : SURFworks Projectjaar : 2009 Projectmanager : Maurice van den Akker Auteur(s) : Maurice van den Akker Opleverdatum : december 2009 Versie

Nadere informatie

Configureren van een VPN L2TP/IPSEC verbinding

Configureren van een VPN L2TP/IPSEC verbinding Configureren van een VPN L2TP/IPSEC verbinding Inhoudsopgave 1. Voorbereiding.... 3 2. Domain Controller Installeren... 4 3. VPN Configuren... 7 4. Port forwarding.... 10 5. Externe Clients verbinding

Nadere informatie

Aan de slag met SURFdashboard

Aan de slag met SURFdashboard Handleiding Auteur(s): SURFnet Versie: 3.0 Datum: november 2012 Radboudkwartier 273 3511 CK Utrecht Postbus 19035 3501 DA Utrecht 030-2 305 305 admin@surfnet.nl www.surfnet.nl Deutsche Bank 46 57 33 506

Nadere informatie

Campus Challenge 2013: HBO en MBO

Campus Challenge 2013: HBO en MBO Aankondiging Datum: 26 april 2013 Radboudkwartier 273 3511 CK Utrecht Postbus 19035 3501 DA Utrecht 030-2 305 305 admin@surfnet.nl www.surfnet.nl Deutsche Bank 46 57 33 506 KvK Utrecht 30090777 BTW NL

Nadere informatie

4Passief: n Afluisteren. n Geen gegevens gewijzigd of vernietigd. n Via de routers van WAN. n Via draadloze verbindingen. 4Fysieke afsluiting

4Passief: n Afluisteren. n Geen gegevens gewijzigd of vernietigd. n Via de routers van WAN. n Via draadloze verbindingen. 4Fysieke afsluiting Telematica Hoofdstuk 20 4Passief: n Afluisteren Bedreigingen n Alleen gegevens (inclusief passwords) opgenomen n Geen gegevens gewijzigd of vernietigd n Op LAN kan elk station alle boodschappen ontvangen

Nadere informatie

Terminal Services. Document: Terminal Services T.b.v. relatie: Isaeus Auteur: Martin Waltmans Versie: 2.3 Datum: 20-3-2007 KB nummer: 100010

Terminal Services. Document: Terminal Services T.b.v. relatie: Isaeus Auteur: Martin Waltmans Versie: 2.3 Datum: 20-3-2007 KB nummer: 100010 Terminal Services Dit document beschrijft hoe op afstand kan worden ingelogd op een Terminal Server. Lees dit document zorgvuldig, voordat u voor het eerst hiervan gebruik maakt! Isaeus Solutions Tel:

Nadere informatie

SURFdomeinen. Handleiding. Versie: 2.1. Datum: november 2012. 030-2 305 305 admin@surfnet.nl www.surfnet.nl. Radboudkwartier 273 3511 CK Utrecht

SURFdomeinen. Handleiding. Versie: 2.1. Datum: november 2012. 030-2 305 305 admin@surfnet.nl www.surfnet.nl. Radboudkwartier 273 3511 CK Utrecht Handleiding Auteur(s): SURFnet Versie: 2.1 Datum: november 2012 Radboudkwartier 273 3511 CK Utrecht Postbus 19035 3501 DA Utrecht 030-2 305 305 admin@surfnet.nl www.surfnet.nl Deutsche Bank 46 57 33 506

Nadere informatie

Aansluiten op govroam

Aansluiten op govroam Aansluiten op govroam stichting government roaming nederland versie 1.0 februari 2015 1 Geef uw gebruikers toegang tot govroam U vertegenwoordigt een overheidsorganisatie en u wilt uw medewerkers en organisatie

Nadere informatie

Koppelvlakspecificatie CGI - DigiD

Koppelvlakspecificatie CGI - DigiD Koppelvlakspecificatie CGI - DigiD Versie 2.3 Datum 17 december 2013 Colofon Projectnaam DigiD Versienummer 2.3 Organisatie Logius Postbus 96810 2509 JE Den Haag T 0900 555 4555 (10 ct p/m) servicecentrum@logius.nl

Nadere informatie

Instellingen voor de C100BRS4 met Wanadoo kabel Internet.

Instellingen voor de C100BRS4 met Wanadoo kabel Internet. Instellingen voor de C100BRS4 met Wanadoo kabel Internet. Algemeen: Maak gebruik van de laatste firmware voor de C100BRS4 die beschikbaar is op http://www.conceptronic.net! Use Firmware versie 3.20C or

Nadere informatie

VPN Remote Dial In User. DrayTek Smart VPN Client

VPN Remote Dial In User. DrayTek Smart VPN Client VPN Remote Dial In User DrayTek Smart VPN Client Inleiding Met een Virtual Private Network (VPN) is het mogelijk om door middel van een beveiligde(geautoriseerd en/of versleuteld) verbinding communiceren

Nadere informatie

Gebruik van cryptografie voor veilige jquery/rest webapplicaties. Frans van Buul Inter Access

Gebruik van cryptografie voor veilige jquery/rest webapplicaties. Frans van Buul Inter Access Gebruik van cryptografie voor veilige jquery/rest webapplicaties Frans van Buul Inter Access 1 Frans van Buul frans.van.buul@interaccess.nl 2 De Uitdaging Rijke en veilige webapplicaties Een onveilig en

Nadere informatie

SOA Security. en de rol van de auditor... ISACA Roundtable 2 juni 2008. Arthur Donkers, 1Secure BV arthur@1secure.nl

SOA Security. en de rol van de auditor... ISACA Roundtable 2 juni 2008. Arthur Donkers, 1Secure BV arthur@1secure.nl SOA Security en de rol van de auditor... ISACA Roundtable 2 juni 2008 Arthur Donkers, 1Secure BV arthur@1secure.nl 1 SOA Web 2.0, web services en service oriented architecture (SOA) is tegenwoordig de

Nadere informatie

Gebruikershandleiding E-Zorg Remote Access op Android.

Gebruikershandleiding E-Zorg Remote Access op Android. Inhoud 1) Inleiding Pagina 2 2) Het token Pagina 2 3) Junos Pulse installeren en configureren Pagina 3 4) Een verbinding maken met Junos Pulse Pagina 4 5) Een werkstation op afstand overnemen Pagina 6

Nadere informatie

Installatiehandleiding. Facto minifmis

Installatiehandleiding. Facto minifmis Installatiehandleiding Facto minifmis 1. Installatie Facto MiniFMIS 1.1 Achtergrond Facto MiniFMIS biedt facilitaire organisaties een eenvoudige en gebruikersvriendelijke hulpmiddel bij het uitvoeren van

Nadere informatie

Hoe met Windows 8 te verbinden met NDI Remote Office (NDIRO) How to connect With Windows 8 to NDI Remote Office (NDIRO

Hoe met Windows 8 te verbinden met NDI Remote Office (NDIRO) How to connect With Windows 8 to NDI Remote Office (NDIRO Handleiding/Manual Hoe met Windows 8 te verbinden met NDI Remote Office (NDIRO) How to connect With Windows 8 to NDI Remote Office (NDIRO Inhoudsopgave / Table of Contents 1 Verbinden met het gebruik van

Nadere informatie

HANDLEIDING DOMEINREGISTRATIE EN DNS- BEHEER

HANDLEIDING DOMEINREGISTRATIE EN DNS- BEHEER HANDLEIDING DOMEINREGISTRATIE EN DNS- BEHEER versie 2.0, 11 december 2009 SURFNET BV, RADBOUDKWARTIER 273, POSTBUS 19035, 3501 DA UTRECHT T +31 302 305 305, F +31 302 305 329, WWW.SURFNET. NL INHOUD 1.

Nadere informatie

Handleiding Controlepaneel Parallels

Handleiding Controlepaneel Parallels Handleiding Controlepaneel Parallels Inhoudsopgave 1 Inloggen... 3 2 Domeinbeheer... 4 2.1 Beheer van domeinen die via InterNLnet geregistreerd zijn... 4 2.2 Beheer van domeinen die via een andere provider

Nadere informatie

Resultaten marktscan SURFfederatie

Resultaten marktscan SURFfederatie indi-9-- Resultaten marktscan SURFfederatie Project : SURFworks Projectjaar : 9 Projectmanager : Paulien Rinsema Auteur(s) : Eefje van der Harst, Elise Roders, Karianne Vermaas Opleverdatum : 9 Versie

Nadere informatie

In dit artikel zullen we u uitleggen hoe u uw e-mail in moet stellen in Microsoft Outlook (2013).

In dit artikel zullen we u uitleggen hoe u uw e-mail in moet stellen in Microsoft Outlook (2013). Auteur: Evert Jan Steenvoorden Datum: 23-12-2014 E-mail instellen in Outlook (2013) In dit artikel zullen we u uitleggen hoe u uw e-mail in moet stellen in Microsoft Outlook (2013). Stap 1 Configuratiescherm

Nadere informatie

Gebruikershandleiding Autorisatiemodule

Gebruikershandleiding Autorisatiemodule Gebruikershandleiding Autorisatiemodule Versie 1.1 juli 2014 Inhoudsopgave 1. Uitleg over het gebruik van digicodes... 3 1.1. Wat kan ik met een digicode?... 3 1.2. Hoe ziet een digicode eruit?... 4 1.3.

Nadere informatie

Gebruikershandleiding E-Zorg Remote Access op Android.

Gebruikershandleiding E-Zorg Remote Access op Android. Inhoud 1) Inleiding Pagina 2 2) Het token Pagina 2 3) Junos Pulse installeren en configureren Pagina 3 4) Een verbinding maken met Junos Pulse Pagina 4 5) Een werkstation op afstand overnemen Pagina 6

Nadere informatie

Handleiding voor het inloggen op Terminal Server van GLT-PLUS

Handleiding voor het inloggen op Terminal Server van GLT-PLUS Handleiding voor het inloggen op Terminal Server van GLT-PLUS Voor inloggen vanuit huis, GLT en NAM Geschreven door: Business Information Datum: 4-5-2011 ENOVIA: 01335559-0001 rev D ENOVIA nummer: 01335559-0001

Nadere informatie

UZI-pas in gebruik. Maarten Schmidt Risk en Security manager 22 november 2012. Remco Schaar Consultant UL Transaction Security service

UZI-pas in gebruik. Maarten Schmidt Risk en Security manager 22 november 2012. Remco Schaar Consultant UL Transaction Security service UZI-pas in gebruik Maarten Schmidt Risk en Security manager 22 november 2012 Remco Schaar Consultant UL Transaction Security service Inhoud Agenda Gebruik UZI-pas, wat gaat er wijzigen Alternatief gebruik

Nadere informatie

1. inleiding. Dit werk is gelicenseerd onder een Creative Commons Naamsvermelding NietCommercieel GelijkDelen 3.0 Unported licentie

1. inleiding. Dit werk is gelicenseerd onder een Creative Commons Naamsvermelding NietCommercieel GelijkDelen 3.0 Unported licentie 1. inleiding Misschien zonder het te beseffen, maak je dagelijks gebruik van computernetwerken. Of je nu WhatsApp gebruikt om je vrienden een bericht te sturen of Google Chrome om iets op te zoeken, je

Nadere informatie

Technische Informatie

Technische Informatie Het Beveiligen van een draadloos netwerk Het grootste Risico van een draadloos netwerk is dat het signaal in principe voor iedereen beschikbaar is. Anders dan bij een bekabeld netwerk, waar men een fysieke

Nadere informatie

Inloggen SAP Selfservice FWN

Inloggen SAP Selfservice FWN Inloggen SAP Selfservice FWN Handleiding Nederlands maart 2013 - 2 - Inhoud Besturingssysteem en browser 4 Windows gebruikers 5 Gebruik Terminal server met Windows 6 Gebruik Terminal server met Linux 8

Nadere informatie