Post on 21-Jan-2016
description
Stefan Brandl, Universität Regensburg 1
Der Rechteserver
Der Rechteserver
Stefan Brandl, Universität Regensburg 2
Der Rechteserver
Warum einen Rechteserver?
„Über Shibboleth werden lediglich Benutzerattribute ermittelt und es bleibt dem Server des Dienstanbieters überlassen, aus diesen Attributen konkrete Rechte an den Ressourcen abzuleiten.„(Petra,Schröder 2005)
Stefan Brandl, Universität Regensburg 3
Der Rechteserver
Was soll der Rechteserver leisten?
•Treffen und durchsetzen von Access-Control Aussagen.
•Treffen von Rechteaussagen anhand von erhaltenen Attributen.
•Zentrale Verwaltung von Lizenzaussagen.
Stefan Brandl, Universität Regensburg 4
Der Rechteserver
Vorteile beim Einsatz eines Rechteserver:
•Zentraler Anlaufpunkt für die Rechteverwaltung
•Erleichterung der Rechteverwaltung für Anbieter
•Erleichterung der Attributverwaltung für Einrichtungen
•Eingabe und Kontrolle von Rechten durch Anbieter und Einrichtungen
•Manifestation von Federationaufgaben
Stefan Brandl, Universität Regensburg 5
Der Rechteserver
Welche Informationen benötigt der Rechtesserver?
•Wer will auf eine Ressource zugreifen?
•Wer „besitzt“ die Ressource?
•Um welche Ressource handelt es sich?
Subjekt
Provider
Ressource
Stefan Brandl, Universität Regensburg 6
Der Rechteserver
Die Universitätsbibliothek Regensburg hält bei dem Datenbank-Anbieter FIZ-Technik ein Abonnement für die Datenbank BEFO.Der Datenbankserver von FIZ-Technik fragt am Rechteserver an, ob der Benutzer mit dem Attribut Mitglied der Universität Regensburg (de.uni-regensburg) das Recht hat auf die Datenbanken
BEFO zuzugreifen.
Der Rechteserver
Authentifizierung beim IdP
Attributermittlung beim IdP
Zugriff zur Ressource beim SP
Ermittlung der Rechte beim Rechteserver
Eingliederung in Shibboleth-Prozess
Stefan Brandl, Universität Regensburg 8
Der Rechteserver
Identity Provider Service Provider
Rechte Provider
AA
Webserver
SHAR
Ressource
PDP(Policy Decision Point)
Data SynchronisationService
Com-Module
Policy AdministrationInterface
Service AdministrationInterface
Data Connector
Stefan Brandl, Universität Regensburg 9
Der Rechteserver
Informationsfluss:
1. Die AA sendet ein Statement mit einem Subjektattribut und der angeforderten Ressource an den SP.
2. Der Webserver des SP spricht das Kommunikationsmodul an und übergibt dabei die Attribute.
3. Das Kommunikationsmodul erstellt eine Anfrage aus erhaltenen Attributen und der Providerinformation.
4. Der PDP wertet die Anfrage aus und sendet eine Antwort.
5. Das Kommunikationsmodul prüft, ob es sich um eine Access-Control-Entscheidung handelt und setzt diese gegebenenfalls durch.
6. Ansonsten wird die Rechteaussage in den HTTP-Header geschrieben und der Verarbeitungsprozess des Webservers fortgesetzt.
Stefan Brandl, Universität Regensburg 10
Der Rechteserver
Realisierung der einzelnen Komponenten
•Com-Modul realisiert als DSO-Modul für Apache.
•PDP realisiert als Java-Komponente (JRE 1.4.1)
•Policy Administration Interface als Webinterface unter PHP 4.
•Data Synchronisation ???
•Data Connector ???
Stefan Brandl, Universität Regensburg 11
Der Rechteserver
Stefan Brandl, Universität Regensburg 12
Der Rechteserver
Offene Fragen des Projektes:
•Welche Sprache soll zur Kommunikation zwischen Kommunikationsmodul und Rechteserver dienen?
•Ist eine Komponente zur Synchronisation von Ressourcendaten notwendig?
•Welche Informationen soll oder kann ein Provider zusätzlich bieten um Rechteentscheidungen zu ermöglichen?
•Sollen Namensräume für Rechteaussagen definiert werden?
Stefan Brandl, Universität Regensburg 13
Der Rechteserver
Kontakt:
Gerald Schupfner:
gerald.schupfner@bibliothek.uni-regensburg.de
Stefan Brandl:
stefan.brandl@bibliothek.uni-regensburg.de