Authentifizierung, Autorisierung und Rechteverwaltung Shibboleth: Verteilte Authentifizierung, Autorisierung und Zugriffskontrolle für elektronische Ressourcen Österreichischer Bibliothekartag Bregenz, 20. September 2006 Bernd Oberknapp, UB Freiburg E-Mail: [email protected]
22
Embed
Authentifizierung, Autorisierung und Rechteverwaltung Shibboleth: Verteilte Authentifizierung, Autorisierung und Zugriffskontrolle für elektronische Ressourcen.
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
• Das Projekt AAR• Warum AAR?• Was sind AAR und Shibboleth?• Wie funktioniert Shibboleth?• Warum Shibboleth?• Autorisierung und Zugriffskontrolle• Föderationen• Ausblick
Bernd Oberknapp, UB Freiburg 3
Das Projekt AAR
• Partner: UB Freiburg und UB Regensburg• finanziert durch das BMBF (PT-NMB+F)• eingebettet in vascoda (http://www.vascoda.de/)• Laufzeit zunächst 3 Jahre bis Ende 2007:
– 2 Jahre Entwicklungs- und Testphase mit der Regionalen Datenbank-Information Baden-Württemberg (ReDI) und vascoda als Pilotanwendungen
– 1 Jahr Unterstützung von Einrichtungen und Anbietern bei der Einführung des Systems
• Der Zugang zu den Informationsangeboten ist heute zum Teil nur eingeschränkt möglich(IP-Kontrolle, VPN, Proxies).
• Die Einbindung der Informationsangebote in das Angebot der Bibliotheken und ihre Verknüpfung (Stichwort: Reference Linking) ist teilweise sehr aufwendig.
Bernd Oberknapp, UB Freiburg 5
Warum AAR?
Ziel ist die Verbesserung und Vereinfachung desZugangs zu den Informationsangeboten:• Nutzer: Zugriff auf lizenzierte Inhalte unabhängig vom
gewählten Arbeitsplatz und dem Zugriffsweg, Zugriff auf alle Angebote nach nur einmaliger Authentifizierung (Single Sign-on)
• Einrichtungen: freie Wahl des Authentifizierungssystems, möglichst geringer Aufwand für die Rechteverwaltung
• Anbieter: Schutz der Inhalte vor unberechtigtem Zugriff, einfacheres Angebot von personalisierten Diensten
Bernd Oberknapp, UB Freiburg 6
Was ist AAR?
• AAR ist eine Infrastruktur zur Authentifizierung, Autorisierung und Rechteverwaltung.
• AAR ist ein Single Sign-on System, mit dem verschiedene Ressourcen mit einem einzigen Login genutzt werden können.
• AAR basiert auf einem föderativen Ansatz:Die Einrichtung verwaltet und authentifiziertihre Mitglieder und der Anbieter kontrolliertden Zugang zu seinen Ressourcen.
• AAR baut auf Shibboleth auf.• AAR ergänzt Shibboleth um einen Rechteserver.
Bernd Oberknapp, UB Freiburg 7
Was ist Shibboleth?
• Shibboleth ist ein Internet2/MACE-Projekt(MACE = Middleware Architecture Committee for Education)
• Shibboleth entwickelt eine– Architektur (Protokolle und Profile),– Richtlinien-Strukturen und eine– Open Source-Implementierung
für den einrichtungsübergreifenden Zugriffauf geschützte (Web-)Ressourcen
Bernd Oberknapp, UB Freiburg 8
Woher kommt „Shibboleth“?
Hintergrund ist eine Stelle aus dem Alten Testament,Buch Richter, Kapitel 12, Vers 5ff:
Und die Gileaditer nahmen ein die Furt des Jordans vor Ephraim. Wenn nun sprachen die Flüchtigen Ephraims: Laß mich hinübergehen, so sprachen die Männer von Gilead zu ihm: Bist du ein Ephraiter? Wenn er dann antwortete: Nein, so hießen sie ihn sprechen: Schiboleth, so sprach er: Siboleth, und konnte es nicht recht reden. So griffen sie ihn und schlugen ihn an der Furt des Jordans, daß zu der Zeit von Ephraim fielen zweiundvierzigtausend.
• Attribute bilden die Grundlage für die Autorisierung und Zugriffskontrolle in Shibboleth:– Identity-Provider stellen mit Attributen die notwendigen
Informationen über ihre Benutzer zur Verfügung.– Service-Provider werten die Attribute anhand ihrer
Regeln aus und gestatten oder verweigern je nachErgebnis den Zugriff.
• Hierfür sind Absprachen zwischen Identity- und Service-Providern notwendig, die durch Verwendung eines einheitlichen Schemas vereinfacht werden!
• Voraussetzung sind verlässliche Benutzerdaten, also ein funktionierendes lokales Identity-Management!
Bernd Oberknapp, UB Freiburg 15
Standard-Attribute
• InCommon hat mit eduPerson den Standard für den Austausch von Attributen vorgegeben.
• Andere Föderationen und internationale Anbieter orientieren sich üblicherweise an diesem Standard.
• Die meisten Service-Provider kommen dabei mit wenigen Attributen aus, häufig verwendet werden:– eduPersonAffiliation: member, faculty, staff, student, ...– eduPersonEntitlement: beliebige Rechteinformationen,
z.B. urn:mace:dir:entitlement:common-lib-terms– eduPersonPrincipalName: „Net-ID“ des Benutzers – eduPersonTargetedID: eindeutiges Pseudonym des
Benutzers für einen Anbieter, z.B. für Personalisierung
Bernd Oberknapp, UB Freiburg 16
Attribute und Datenschutz
• Attribute können personenbezogene Daten sein (Beispiele: Benutzerkennung, E-Mailadresse).
• Personenbezogene Daten dürfen nach den (EU-) Datenschutzbestimmungen nur weitergegeben werden, wenn dies für die Erbringung des Dienstes notwendig ist und der Benutzer der Weitergabe ausdrücklich zustimmt.
• Die Weitergabe der Attribute wird in Shibboleth über Attribute Release Policies auf Einrichtungs-, Gruppen- und Benutzerebene (sehr intuitiv über „Visitenkarten“ mit ShARPE/Autograph) gesteuert.
Bernd Oberknapp, UB Freiburg 17
Zugriffskontrolle mit Rechteserver
Der Rechteserver• kann für die Zugriffskontrolle
eingesetzt werden (auchunabhängig von Shibboleth)
• ermöglicht die Abbildung vonAutorisierungsinformationenauf komplexe Nutzungsbe-dingungen wie Moving Walls,Embargos und sonstige (zeitliche) Beschränkungen
• kann lokal (beim Anbieter) oder zentral eingesetzt werden
• ist das Teilprojekt unseres Projektpartners UB Regensburg
Rechteserver
Bernd Oberknapp, UB Freiburg 18
Was ist eine Föderation?
• Eine Föderation ist ein Zusammenschluss von Einrichtungen und (auch kommerziellen) Anbietern auf Basis gemeinsamer Richtlinien.
• Eine Föderation schafft das notwendige Vertrauens-verhältnis zwischen Einrichtungen und Anbietern und den organisatorischen Rahmen für den Austausch von Benutzerinformationen.
• Unter Koordination des DFN wird eine deutschland-weite Föderation (DFN-AAI) als Dienst des DFN aufgebaut.
Bernd Oberknapp, UB Freiburg 19
Aufbau einer Föderation
• Festlegung des Rahmens für die Föderation:– Gremien, Befugnisse, Vertragsprinzipien– Voraussetzungen für die Mitgliedschaft– Rechte und Pflichten der Föderation und der Mitglieder– Richtlinien (Policies), insbesondere für den Austausch
von Attributen und für Zertifikate
• Aufbau der Betriebsstrukturen:– Verwaltung der Metadaten (Informationen über Identity-
und Service-Provider und Zertifikate – fundamental für Vertrauen und Sicherheit in der Föderation!)
– zentrale Dienste (Lokalisierungsdienst, Testumgebung)– technischer Support
Bernd Oberknapp, UB Freiburg 20
Ausblick: AAR „ToDo-Liste“
• Aufbau der DFN-AAI in Kooperation mit dem DFN• Unterstützung von Hochschulen und Anbietern bei
der Einführung von Shibboleth, insbesondere• Einführung von Shibboleth und Rechteserver für das
vascoda-Portal und Virtuelle Fachbibliotheken, zunächst Pilotinstallation mit HBZ Köln (vacoda-Portal), IZ Sozialwissenschaften (Infoconnex) und DIPF (Fachportal Pädagogik)
• Übergabe des Betriebs der Identity-Provider an die Hochschulen in Baden-Württemberg bzw. an das BSZ Konstanz (Hosting für Horizon-Bibliotheken)