iden ty management issues status and plans osg and esnet
play

Iden%ty Management Issues - status and plans OSG - PowerPoint PPT Presentation

Jan 30, 2024 •227 likes •475 views

Iden%ty Management Issues - status and plans OSG and ESnet Mine Altunay - FNAL Mike Helm, Doug Olson, Dhiva Muruganantham -

  1. Iden%ty ¡Management ¡Issues ¡ ¡ -­‑ ¡status ¡and ¡plans ¡ ¡ OSG ¡and ¡ESnet ¡ Mine ¡Altunay ¡-­‑ ¡FNAL ¡ ¡Mike ¡Helm, ¡Doug ¡Olson, ¡ ¡Dhiva ¡Muruganantham ¡-­‑ ¡LBNL ¡ Interna%onal ¡Symposium ¡on ¡Grid ¡Compu%ng ¡ March ¡2010, ¡Taipei ¡

  2. The ¡Context ¡ Scien%fic ¡collabora%on ¡typically ¡involves ¡using ¡a ¡collec%on ¡of ¡creden%als ¡of ¡ • different ¡types ¡with ¡grid ¡(X.509) ¡creden%als ¡being ¡just ¡one ¡of ¡many. ¡ Open ¡Science ¡Grid ¡(OSG) ¡depends ¡on ¡the ¡DOEGrids ¡CA ¡at ¡ESnet ¡for ¡issuing ¡ • many ¡of ¡the ¡grid ¡cer%ficates ¡used ¡by ¡OSG ¡users. ¡ ¡ Many ¡Users ¡are ¡not ¡happy! ¡ ¡The ¡LHC ¡users ¡Are ¡OK ¡– ¡but ¡are ¡they ¡used ¡to ¡ • the ¡pain? ¡ ¡ We ¡conducted ¡a ¡survey ¡and ¡held ¡a ¡workshop ¡to ¡get ¡a ¡common ¡ • understanding ¡of ¡ – What ¡Iden%ty ¡Management ¡(IdM) ¡is ¡ – How ¡is ¡IdM ¡evolving, ¡generally ¡on ¡the ¡Internet ¡ – Get ¡VO ¡feedback: ¡what ¡is ¡working, ¡what ¡is ¡not ¡working ¡ ¡ ¡ – Iden%fy ¡short& ¡long ¡term ¡ac%on ¡items ¡for ¡our ¡teams ¡ 9 ¡Mar ¡2010 ¡ IdM ¡-­‑ ¡OSG ¡& ¡ESnet ¡@ ¡ISGC'10 ¡ 2 ¡

  3. Outline ¡ • How ¡we ¡see ¡the ¡ID ¡Management ¡landscape ¡ • Community ¡requirements ¡ • Survey ¡results ¡ • Conclusions ¡and ¡Ac%on ¡Items ¡ 9 ¡Mar ¡2010 ¡ IdM ¡-­‑ ¡OSG ¡& ¡ESnet ¡@ ¡ISGC'10 ¡ 3 ¡

  4. The ¡IdM ¡landscape ¡ • The ¡group: ¡ – Security ¡Experts: ¡Von ¡Welch ¡(NCSA), ¡Jim ¡Basney ¡(NCSA, ¡myproxy), ¡John ¡ Volmer ¡(ANL, ¡DOE ¡PKI), ¡Rachana ¡Ananthakrishnan ¡(ANL, ¡ESG-­‑OpenID), ¡ Dave ¡Kelsey ¡(WLCG), ¡Scog ¡Koranda ¡(LIGO)� ¡ – Community ¡representa%ves: ¡LIGO, ¡SBGRID, ¡Engagement, ¡WLCG ¡ – OSG ¡& ¡ESNet: ¡security ¡teams ¡and ¡directors ¡ • Considered ¡the ¡issues ¡as ¡ID ¡creden%als ¡are ¡used ¡throughout ¡a ¡ distributed ¡system ¡from ¡User ¡to ¡ID ¡Provider ¡to ¡Services ¡and ¡ Resources. ¡ • Analyzed ¡and ¡compared ¡various ¡system ¡implementa%ons ¡for ¡ the ¡characteris%cs/capabili%es ¡that ¡are ¡important ¡for ¡our ¡grid ¡ domain. ¡ 9 ¡Mar ¡2010 ¡ IdM ¡-­‑ ¡OSG ¡& ¡ESnet ¡@ ¡ISGC'10 ¡ 4 ¡

  5. Comparison ¡of ¡Systems’ ¡Capabili%es ¡ Systems ¡/ ¡technologies ¡ Capabili4es ¡/ ¡func4ons ¡ • X.509 ¡IGTF ¡ • ID ¡vemng ¡ ¡ ¡ • Federation • SAML ¡– ¡InCommon ¡ • Asser%on ¡(creden%al)� ¡ • Naming • OpenID ¡– ¡ESG ¡ • Revoca%on ¡ • Delegation • DOE ¡Entrust ¡(X.509)� ¡ • Valida%on ¡ • Lifetime • HSPD-­‑12 ¡(U.S. ¡Govt.)� ¡ 9 ¡Mar ¡2010 ¡ IdM ¡-­‑ ¡OSG ¡& ¡ESnet ¡@ ¡ISGC'10 ¡ 5 ¡

  6. Comparison ¡Table ¡ (don’t ¡try ¡to ¡read ¡it.. ¡Next ¡slides ¡shows ¡key ¡findings..)� ¡ X.509-IGTF SAML-InCommon OpenID-ESG DOE Entrust HSPD-12 Authentication Authentication Authentication Digital Signature Physical Access Digital Signature Encryption Logical Access  Authen4ca4on ¡  Digital ¡Signature ¡  Encryp4on ¡ Vetting IGTF: face-toface govt ID, Basic: tell us what you do. ESG MOU – Each site agrees to Paper agreement – each Background 5 year RAS network, IDMs Silver: face-to-face with govt. ID being registration user Fingerprints CAs run by Grid Projects IdPs run by universities Common Policy Photograph 3 people to issue Common Policy Assertion X.509 End Entity certificate SAML authorization assertion; Association over SSL Common Policy – Soft Common Policy – hard link Not targeted “Bearer credential” link PIV-I Targeted to an SP PIV-C Revocation CRLs ? Short-lived assertions ? Short lived assertion CRLs CRLs: 30hr, 24hr, 18hr Nothing explicit OCSP Validation SSL Digital signature Digital signature / SAML metadata White list of IdP Association via auth channel (ESG requires SSL, signature is optional, noone has done anything else) ‏ Federation IGTF International members InCommon members and growing 150 ESG 10 members. Common Policy – Soft Common Policy – hard link 50 members. members. ESG ID distribution: IdP Addr link CA validation SAML Metadata includes IdPs and and public key SPs. SPs must have a trusted Trust must be both ways certificate. ESG has own CAs. DOE CA is trusted. (General case: anyone can trust anyone.) ‏ Naming CA have unique name spaces ePPN: jbasney@illinois.edu OpenID in context of IdP Department of Energy U.S. Government eTID: x9738yz@illinois.edu Delegation Proxy Certificates Some proposals Not used, can be used with OAuth Lifetime 1 year to 1 week minutes ? 3 yr 3 yr Google, Facebook are providers 9 ¡Mar ¡2010 ¡ IdM ¡-­‑ ¡OSG ¡& ¡ESnet ¡@ ¡ISGC'10 ¡ 6 ¡

  7. Systems ¡/ ¡technologies ¡ • X.509 ¡IGTF ¡ – X.509 ¡based ¡grid ¡creden%als ¡as ¡used ¡by ¡OSG/WLCG ¡ • SAML ¡ ¡-­‑InCommon ¡ – SAML ¡based ¡Shibboleth ¡as ¡used ¡by ¡the ¡InCommon ¡Federa%on ¡of ¡ Higher ¡Ed. ¡in ¡U.S. ¡ • OpenID ¡– ¡ESG ¡ – OpenID ¡as ¡used ¡by ¡the ¡Earth ¡Systems ¡Grid ¡ • DOE ¡Entrust ¡(X.509)� ¡ – X.509 ¡infrastructure ¡use ¡by ¡U.S. ¡Dept. ¡of ¡Energy ¡headquarters ¡ • HSPD-­‑12 ¡(U.S. ¡Govt)� ¡ – Smartcard ¡ID ¡system ¡used ¡in ¡U.S. ¡Federal ¡govt. ¡ 9 ¡Mar ¡2010 ¡ IdM ¡-­‑ ¡OSG ¡& ¡ESnet ¡@ ¡ISGC'10 ¡ 7 ¡

  8. Capabili%es ¡ ID ¡ve=ng ¡ • – Process ¡of ¡establishing ¡iden%ty ¡and ¡assuring ¡that ¡creden%als ¡are ¡issued ¡to ¡correct ¡person ¡ Asser4on ¡(synonym ¡of ¡creden4al)� ¡ • – The ¡token ¡that ¡makes ¡an ¡iden%ty ¡claim ¡about ¡a ¡person ¡or ¡an ¡en%ty ¡and ¡is ¡used ¡to ¡ authen%cate ¡a ¡transac%on ¡ Revoca4on ¡ • – Ability ¡to ¡remove ¡the ¡validity ¡of ¡a ¡creden%al ¡so ¡that ¡it ¡will ¡fail ¡an ¡authen%ca%on/ authoriza%on ¡test ¡ Valida4on ¡ • Ac%on ¡to ¡establish ¡if ¡a ¡par%cular ¡creden%al ¡is ¡valid ¡(OK ¡to ¡use ¡it)� ¡ – Federa4on ¡ • An ¡associated ¡group ¡of ¡ID ¡and ¡service ¡providers ¡with ¡a ¡common ¡policy ¡that ¡will ¡accept/interchange ¡ – creden%als ¡ • Naming ¡ Policies ¡for ¡name ¡uniqueness ¡and ¡required ¡agributes ¡in ¡creden%als ¡ – Delega4on ¡ • Genera%on ¡of ¡a ¡child ¡creden%al ¡from ¡a ¡parent ¡creden%al ¡when ¡an ¡ac%on ¡crosses ¡boundaries ¡to ¡ – addi%onal ¡services ¡that ¡require ¡authen%ca%on/authoriza%on ¡ Life4me ¡ • Ability ¡to ¡establish ¡a ¡valid ¡life%me ¡for ¡a ¡creden%al ¡and ¡take ¡appropriate ¡ac%on ¡when ¡creden%al ¡ – expires ¡ 9 ¡Mar ¡2010 ¡ IdM ¡-­‑ ¡OSG ¡& ¡ESnet ¡@ ¡ISGC'10 ¡ 8 ¡

  9. Key ¡results ¡of ¡comparisons ¡ Delega4on ¡is ¡an ¡essen%al ¡capability ¡for ¡long-­‑running ¡grid ¡jobs ¡and ¡is ¡the ¡ • key ¡feature ¡of ¡X.509 ¡proxy ¡cer%ficates. ¡ ¡Delega%on ¡in ¡the ¡web ¡protocols ¡ (Shibboleth, ¡OpenID) ¡is ¡used ¡somewhat ¡at ¡interac%ve ¡%mescales ¡but ¡not ¡ currently ¡in ¡a ¡form ¡suitable ¡for ¡grid ¡use ¡and ¡%mescales. ¡ A ¡ Usability ¡Gap ¡ exists ¡between ¡the ¡web ¡client ¡interfaces ¡and ¡exis%ng ¡grid, ¡ • unix ¡shell, ¡interfaces. ¡There ¡is ¡no ¡unified ¡access ¡control ¡model. ¡ ¡It ¡is ¡ awkward ¡to ¡move ¡creden%als ¡between ¡domains. ¡It ¡is ¡hard ¡to ¡manage ¡ cer%ficates ¡on ¡user’s ¡desktop. ¡ Federa4on ¡trust ¡ is ¡secured ¡with ¡X.509 ¡PKI, ¡even ¡in ¡web ¡domain ¡(SSL ¡ • cer%fied ¡trusted ¡sources ¡of ¡metadata). ¡ User ¡and ¡developer ¡communi%es ¡in ¡the ¡web ¡domain ¡are ¡much ¡larger ¡than ¡ • in ¡grid ¡domain ¡so ¡there ¡is ¡likely ¡benefit ¡to ¡ leveraging ¡web ¡developments ¡ for ¡grid ¡tools. ¡ 9 ¡Mar ¡2010 ¡ IdM ¡-­‑ ¡OSG ¡& ¡ESnet ¡@ ¡ISGC'10 ¡ 9 ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

DQM Current Status, Technical Issues and Plans 21th DEPFET workshop, Ringberg, 30.5.2017 B.

DQM Current Status, Technical Issues and Plans 21th DEPFET workshop, Ringberg, 30.5.2017 B.

DQM Current Status, Technical Issues and Plans 21th DEPFET workshop, Ringberg, 30.5.2017 B. Spruck for Mainz group B. Spruck, 30.5.2017, p. 1 Content Content Reminder Status TB 2017 basf2 GUI Wishlists Limits Amount, Size, Frequency

566 views • 40 slides
IRIX Resource Management Plans & Status Dan Higgins djh@sgi.com Engineering Manager

IRIX Resource Management Plans & Status Dan Higgins djh@sgi.com Engineering Manager

IRIX Resource Management Plans & Status Dan Higgins djh@sgi.com Engineering Manager Resource Management Team SGI 41st Cray User Group Conference Minneapolis, Minnesota IRIX Resource Management Overview IRIX Job Limits IRIX

410 views • 27 slides
ESnet updates: The ANI Project and more Brian Tierney, ESnet, Open Science Grid Storage Forum,

ESnet updates: The ANI Project and more Brian Tierney, ESnet, Open Science Grid Storage Forum,

ESnet updates: The ANI Project and more Brian Tierney, ESnet, Open Science Grid Storage Forum, Sept 21, 2010 Talk Overview ANI Project 100G prototype network Testbed New public Disk I/O performance test hosts ESnets network

479 views • 32 slides
perfSONAR Deployment on ESnet Brian Tierney ESnet ISMA 2011 AIMS-3 Workshop on Active Internet

perfSONAR Deployment on ESnet Brian Tierney ESnet ISMA 2011 AIMS-3 Workshop on Active Internet

perfSONAR Deployment on ESnet Brian Tierney ESnet ISMA 2011 AIMS-3 Workshop on Active Internet Measurements Feb 9, 2011 Why does the Network seem so slow ? U.S. Department of Energy | Office of Science Lawrence Berkeley National

686 views • 31 slides
COMMUNITY FOREST RIGHTS: STATUS ISSUES & STATUS, ISSUES, & RECOMMENDATIONS

COMMUNITY FOREST RIGHTS: STATUS ISSUES & STATUS, ISSUES, & RECOMMENDATIONS

COMMUNITY FOREST RIGHTS: STATUS ISSUES & STATUS, ISSUES, & RECOMMENDATIONS RECOMMENDATIONS Presentation by Ashish Kothari (with inputs by Tushar Dash, Shiba Desor, Trupti Parekh, Subodh Kulkarni, Mohan Hirabai Hiralal, Dilip Gode,

615 views • 42 slides
Collaborative Science Research: Driving Network Innovation at ESnet Presentation to Cisco Inder

Collaborative Science Research: Driving Network Innovation at ESnet Presentation to Cisco Inder

Collaborative Science Research: Driving Network Innovation at ESnet Presentation to Cisco Inder Monga Area Lead, Research and Services Energy Sciences Network Lawrence Berkeley National Lab, Berkeley Agenda Introduction to ESnet How ESnet

557 views • 41 slides
The Baikal Neutrino Telescope - - Status and Plans Status and Plans The Baikal Neutrino

The Baikal Neutrino Telescope - - Status and Plans Status and Plans The Baikal Neutrino

The Baikal Neutrino Telescope - - Status and Plans Status and Plans The Baikal Neutrino Telescope Outline: - Detection Methods - The Detectors: NT200 and NT200+ - Physics Results from NT200 Diffuse cosmic neutrino search - The Km3

631 views • 25 slides
Status and Plans Status and Plans Main Achievements Main Achievements Since ET-SUP-6 2011

Status and Plans Status and Plans Main Achievements Main Achievements Since ET-SUP-6 2011

Status and Plans Status and Plans Main Achievements Main Achievements Since ET-SUP-6 2011 Since ET-SUP-6 2011 New Centre of Excellence in Morocco Located in the WMO Regional Association I (RAI), the CoE Morocco is hosted by the National

217 views • 19 slides
MICE Status and Plans C. T. Rogers, on behalf of the MICE collaboration AST eC Intense Beams

MICE Status and Plans C. T. Rogers, on behalf of the MICE collaboration AST eC Intense Beams

MICE Status and Plans C. T. Rogers, on behalf of the MICE collaboration AST eC Intense Beams Group Rutherford Appleton Laboratory Overview Reminder of purpose and design of MICE Status of diagnostics Status of magnets Plans

760 views • 36 slides
Iden%ty and Access Management IAM Lifecycle Commi/ee Kick-off

Iden%ty and Access Management IAM Lifecycle Commi/ee Kick-off

Iden%ty and Access Management IAM Lifecycle Commi/ee Kick-off Mee4ng April 2, 2014 Wednesday 12:00 - 2:00 Holyoke 561 Agenda Mee4ng Purpose

529 views • 18 slides
Status and plans of the UA9 experiment V.Previtali, on behalf on the UA9 collaboration LARP CM16

Status and plans of the UA9 experiment V.Previtali, on behalf on the UA9 collaboration LARP CM16

1.4 1.2 1 0.8 RESULTS 0.6 0.4 gem1 0.2 SETUP quartz1 blm4 0 -300 -200 -100 0 100 200 300 400 500 600 700 800 cry angle [ rad] FUTURE PLANS Status and plans of the UA9 experiment V.Previtali, on behalf on the UA9

949 views • 74 slides
Early SNMP Case S Early SNMP Case Studies udies Salt and Nutrient Management Plans and

Early SNMP Case S Early SNMP Case Studies udies Salt and Nutrient Management Plans and

Early SNMP Case S Early SNMP Case Studies udies Salt and Nutrient Management Plans and Salt and Nutrient Management Plans and Relat lated Issues at d Issues at Camp P Camp Pendleton MCB ndleton MCB Rob Beggs, Brown and Caldwell

218 views • 21 slides
Workload Management: NQE/LSF Status & Plans Jack Thompson Brian MacDonald Marketing Product

Workload Management: NQE/LSF Status & Plans Jack Thompson Brian MacDonald Marketing Product

Workload Management: NQE/LSF Status & Plans Jack Thompson Brian MacDonald Marketing Product Manager Technical Relationship Manager SGI Platform Computing jt@sgi.com brian@platform.com 41st Cray User Group Conference Minneapolis,

343 views • 17 slides
Iden%ty and Access Management IAM Lifecycle Commi/ee July

Iden%ty and Access Management IAM Lifecycle Commi/ee July

Iden%ty and Access Management IAM Lifecycle Commi/ee July Mee2ng: Early Access July 21, 2014 Monday 10:30 12:00 Holyoke 561 Agenda Welcome

595 views • 14 slides
Risk Management Plans Risk Management Plans Review of Experience Review of Experience Dr Stella

Risk Management Plans Risk Management Plans Review of Experience Review of Experience Dr Stella

Risk Management Plans Risk Management Plans Review of Experience Review of Experience Dr Stella Blackburn Risk Management Plans November 05 till September 06 Positive RMP CHMP Opinions 31 29 MAA Extensions 27 13 of Indication Line

461 views • 30 slides
Status for BUFFER MANAGEMENT Firmware FPGA Centric Dataflow Erdem Motuk 17 October 2019

Status for BUFFER MANAGEMENT Firmware FPGA Centric Dataflow Erdem Motuk 17 October 2019

Status for BUFFER MANAGEMENT Firmware FPGA Centric Dataflow Erdem Motuk 17 October 2019 Current status Immediate plans Proposed changes 2 The buffer management block has been developed and debugged independently from the other

372 views • 12 slides
media synchronization draft-brandenburg-avt-rtcp-for-idms-04

media synchronization draft-brandenburg-avt-rtcp-for-idms-04

RTCP for inter-destination media synchronization draft-brandenburg-avt-rtcp-for-idms-04 draft-brandenburg-avtcore-rtcp-for-idms-00 Ray van Brandenburg, TNO Hans Stokking, TNO Oskar van Deventer, TNO Ishan Vaishnavi, CWI Fernando Boronot,

412 views • 11 slides
Lambda Calculus Prof. Tom Austin San Jos State University Minimum complete programming

Lambda Calculus Prof. Tom Austin San Jos State University Minimum complete programming

CS 252: Advanced Programming Language Principles Lambda Calculus Prof. Tom Austin San Jos State University Minimum complete programming language? WARNING: I expect you to remember every construct of this language for exams Lambda

505 views • 17 slides
Compiling a functional quantum programming language www.cs.nott.ac.uk/ jjg/qml Jonathan

Compiling a functional quantum programming language www.cs.nott.ac.uk/ jjg/qml Jonathan

Compiling a functional quantum programming language www.cs.nott.ac.uk/ jjg/qml Jonathan Grattage with Thorsten Altenkirch School of Computer Science & IT, University of Nottingham Compiling a functional quantum programming language

484 views • 15 slides
The WZ method and zeta function identities Ira M. Gessel Department of Mathematics Brandeis

The WZ method and zeta function identities Ira M. Gessel Department of Mathematics Brandeis

The WZ method and zeta function identities Ira M. Gessel Department of Mathematics Brandeis University American Mathematical Society 2010 Fall Eastern Sectional Meeting Syracuse University October 3, 2010 There are several interesting

1.27k views • 69 slides
Lect ure # 01 ADVANCED DATABASE SYSTEMS Course Introduction & History of Database Systems

Lect ure # 01 ADVANCED DATABASE SYSTEMS Course Introduction & History of Database Systems

Lect ure # 01 ADVANCED DATABASE SYSTEMS Course Introduction & History of Database Systems @ Andy_Pavlo // 15- 721 // Spring 2018 2 WH Y YO U SH O ULD TAKE TH I S CO URSE DBMS developers are in demand and there are many challenging

912 views • 66 slides
CP violation in 2HDM+singlet Juhi Dutta Working Group 2HDM talk 19.12.2019 Juhi Dutta Working

CP violation in 2HDM+singlet Juhi Dutta Working Group 2HDM talk 19.12.2019 Juhi Dutta Working

CP violation in 2HDM+singlet Juhi Dutta Working Group 2HDM talk 19.12.2019 Juhi Dutta Working Group 2HDM talk CP violation in 2HDM + singlet CP violating IDMS Reference: The Inert Doublet Model and its extensions, M.Krawczyk, N.Darvishi, D.

654 views • 20 slides
The Catalan Government Prequalification Strategy for Software Development Suppliers Josep M.

The Catalan Government Prequalification Strategy for Software Development Suppliers Josep M.

The Catalan Government Prequalification Strategy for Software Development Suppliers Josep M. Marco-Sim Joan A. Pastor Collado Rafael Macau Nadal Universitat Oberta de Catalunya / Open University of Catalonia SEAFOOD 2010 Contents 1.

446 views • 15 slides
OpenRegistry Revisiting the Management of Electronic Identity Benjamin Oshrin Rutgers

OpenRegistry Revisiting the Management of Electronic Identity Benjamin Oshrin Rutgers

OpenRegistry OpenRegistry Revisiting the Management of Electronic Identity Benjamin Oshrin Rutgers University July 2009 LSM 10/7/09 1 OpenRegistry About Rutgers University State University of New Jersey Three Main Campuses

796 views • 26 slides

More recommend