Kontakt
DeutschDeutsch
EnglishEnglish

SATOSA – ein modularer Proxy

Was ist SATOSA?

Bei SATOSA handelt es sich im um ein Authentifizierungstool, ähnlich zu Shibboleth. Tatsächlich ist SATOSA ein Proxy, der zwischen einen Dienst und einen Identity-Provider geschaltet wird und die Kommunikation zwischen den beiden weiterleitet, oder sie im Falle verschiedener Authentifizierungsprotokolle sogar erst ermöglicht. Technisch gesehen handelt es sich bei einem solchen Proxy um zwei Komponenten: einen IdP, der mit dem eigentlichen Dienst kommunizieren kann, und um einen SP, der mit den eigentlichen IdPs in Kontakt steht. Die beiden Komponenten im Proxy (IdP und SP) tauschen anschließend untereinander Informationen aus.

Doch SATOSA ermöglicht es nicht nur, die Kommunikation weiterzuleiten, sondern erlaubt es auch, bestimmte Teile der Kommunikation zu modifizieren: Dabei können Attribute geändert, von zusätzlichen Datenbanken abgefragt, oder sogar das Authentifizierungsprotokoll gewechselt werden. Das Bearbeiten einzelner Attribute kann zum Beispiel erforderlich sein, wenn nur manche der angebunden IdPs die Mailadressen der einzelnen Nutzer mitsenden, der entsprechende SP diese aber von allen Nutzern braucht. Dann kann SATOSA das Attribut der Mailadresse entsprechend abändern, nachdem sie zuvor separat bei einer weiteren Datenbank abgefragt wurden.

„Übersetzt“ SATOSA zwischen mehreren verschiedenen Authentifizierungsprotokollen, kann das beispielsweise so aussehen:

Strukturgrafik Satosa: SP (Service Provider) Komponente spricht IDPs an (OIDC oder SAML) und die IdP (Identity Provider) Komponente spricht die SPs an über SAML oder OIDC

Wofür wird SATOSA verwendet?

SATOSA wird häufig eingesetzt, um die Kommunikation zwischen einem Dienst und einem Identity-Provider zu ermöglichen, auch wenn diese kein gemeinsames Authentifizierungsprotokoll verwenden. Dies ist häufig der Fall, wenn eine Einrichtung wie eine Universität oder ein Forschungsinstitut ihren Anwendern eine Anmeldung über Social IDs ermöglichen will. Das Problem: Universitäten oder andere Forschungseinrichtungen verwenden zur Authentifizierung meist einen SAML-IdP, während die Authentifizierung bei vielen Social-IDs wie Facebook oder Google über OpenID Connect oder OAuth2 erfolgt. Durch das Zwischenschalten eines Proxys wie SATOSA ist eine reibungslose Abwicklung der Kommunikation trotz der abweichenden Authentifizierungsprotokolle problemlos möglich.

Darüber hinaus wird SATOSA häufig bei digitalen Infrastrukturen eingesetzt, die Forschung und Forscher*innen miteinander vernetzen, wie zum Beispiel im AARC Projekt: Die AARC Blueprint Architecture, die als Blaupause für Forschungsinfrastrukturen dient, enthält als zentrale Komponente einen Proxy, welcher die Kombination verschiedener Forschungsinfrastrukturen erleichtert. Die Idee dabei ist, dass sich alle Dienste, die bereits einer Forschungsinfrastruktur angehören, hinter einem „Community-Proxy“ versammeln und somit gegenüber anderen Infrastrukturen als eine Entität auftreten. Dadurch wird zum einen die Komplexität für die einzelnen Dienste reduziert, und zum anderen können an einer zentralen Stelle Maßnahmen umgesetzt werden, die die gesamte Infrastruktur betreffen.

Foto: Peter Gietz veranschaulicht die Funktionsweise von Shibboleth

Welche Gründe sprechen für SATOSA?

Im Vergleich zu anderen Authentifizierungstools (z. B. Shibboleth oder SimpleSAMLphp) wurde SATOSA explizit als Proxy designed und bietet daher viele Lösungen bereits out of the box. SATOSA ist modular aufgebaut und besteht aus drei Schichten:

  • Backends bilden die „SP-Komponente“ des Proxy ab und sorgen für die Verbindung zu den IDPs, wo sich die Nutzer*innen authentifizieren können. Satosa bringt generische Backends für SAML und OIDC, sowie spezifische Backends für viele Social-IDPs bereits mit.

  • Frontends bilden die „IDP-Komponente“ und kommunizieren mit den Diensten. Auch hier sind SAML und OIDC bereits umgesetzt.

  • Microservices sitzen zwischen Backends und Frontends und können für verschiedenste Funktionen verwendet werden. Ein Microservice sorgt etwa dafür, dass weitere Attribute zu Nutzer*innen aus einer Datenbank geholt werden, ein anderer sorgt dafür, dass Nutzer*innen der Weitergabe ihrer Attribute zustimmen müssen(Consent).

Der modulare Aufbau von SATOSA ermöglicht die Integration weiterer Funktionen mit geringem Aufwand. Dadurch können beispielsweise neue Authentifizierungsmöglichkeiten wie eine LDAP-Authentifizierung unkompliziert implementiert werden.

Leistungen zu SATOSA von DAASI International

Für SATOSA bietet DAASI International u. a. folgende Leistungen an:

Foto: CFO Karin Gietz

  • Consulting: DAASI International hilft Ihnen dabei herauszufinden, ob SATOSA das Richtige für Sie ist und wie sich Ihr Vorhaben damit am besten umsetzen lässt.

  • Konzeption: Haben Sie sich für SATOSA entschieden, steht DAASI International Ihnen bei der Erstellung eines ersten Entwurfs zur Seite.

  • Entwicklung: Sollten Sie Wünsche haben, die SATOSA bisher nicht erfüllt, entwickelt DAASI International gerne Microservices für eine Vielzahl möglicher Aufgaben.

  • Integration: Als erfahrener Softwareentwickler kümmert sich DAASI International zuverlässig um die Implementierung und Integration Ihrer gewählten SSO-Lösung in Ihre bestehenden IT-Strukturen.

  • Betrieb und Support: Im laufenden Betrieb unterstützt DAASI International Sie gerne durch Monitoring, Reporting, Beratung, Wartung und die Implementierung von Updates. Sollten Probleme mit Satosa auftreten, steht DAASI International Ihnen jederzeit als kompetenter Ansprechpartner zur Verfügung.

  • Training: Die Experten von DAASI International schulen Sie und Ihre Mitarbeiter*innen gerne über den Aufbau, Umgang und die Wartung von SSO-Systemen.

Darüber hinaus steht DAASI International Ihnen bei allen Fragen zu Föderationen, Satosa und allen weiteren Themen rund um Identity und Access Management gerne zur Verfügung.

Sie wünschen Consulting, Support oder Training für Satosa?

DAASI International steht Ihnen als Experte jederzeit für Fragen zur Verfügung.

Zum Kontaktformular
keyboard_arrow_up
WordPress Cookie Plugin von Real Cookie Banner