Post on 06-Apr-2016
MyCoReMyCoRe in einemin einem
Detlev Degenhardt Detlev Degenhardt Jena, den 23.02.2006Jena, den 23.02.2006
- Umfeld- Umfeld
Authentifizierung., Autorisierung und Rechteverwaltung
Partner: UB Freiburg und UB Regensburg
Finanziert durch das BMBF (2 Stellen in FR, …)
Eingebettet in vascoda (http://aar.vascoda.de)
Laufzeit 3 Jahre (bis Ende 2007):- 2 Jahre Entwicklungs- und Testphase mit
ReDI und vascoda als Pilotanwendungen- 1 Jahr Unterstützung von Einrichtungen und Anbietern bei
der Einführung des Systems
Detlev Degenhardt, Rechenzentrum der Universität Freiburg
Das Projekt AAR Das Projekt AAR
• AAR ist eine Infrastruktur zur Authentifizierung, Autorisierung und Rechteverwaltung
• AAR ist ein Single Sign-on System, mit dem verschiedene Ressourcen mit einem einzigen Login genutzt werden können
• AAR basiert auf einem föderativen Ansatz:Die Einrichtung verwaltet und authentifiziertihre Mitglieder und der Anbieter kontrolliertden Zugang zu seinen Ressourcen
• AAR baut auf Shibboleth auf
Was ist AAR?
Bernd Oberknapp, UB Freiburg
Shibboleth-Komponenten
• Identity Provider:– Single Sign-on Service (SSO)– Attribute Authority (AA)– Artifact Resolution Service
• Service Provider:– Assertion Consumer Service (mod_shib)– Shibboleth Daemon (shibd)– Resource Manager
• Where Are You From? (WAYF)
Bernd Oberknapp, UB Freiburg
Heimateinrichtung
Benutzerin
Anbieter
Benutzerin bekannt?(1)
(4)(5) Benutzerin berechtigt?
(6)
(7)
(8)
gestattet
verweigertZugriff
(9)ja
nein
ja
neinLokalisierungsdienst(2)(3)
Wie funktioniert AAR?
Föderation
Einrichtung Anbieteren
Was ist eine Föderation?
Bernd Oberknapp, UB Freiburg
• Eine Föderation ist ein Zusammenschluss von Einrichtungen und Anbietern auf Basis gemeinsamer Richtlinien.
• Eine Föderation schafft das für Shibboleth notwendige Vertrauensverhältnis zwischen Einrichtungen und Anbietern und einen organisatorischen Rahmen für den Austausch von Benutzerinformationen.
Was ist eine Föderation?
Bernd Oberknapp, UB Freiburg
Aufgaben einer Föderation sind:• Vorgabe von Richtlinien (Policies)• Verwaltung der Metadaten der Mitglieder• Betrieb des Lokalisierungsdienstes
(WAYF)• Betrieb einer Zertifizierungsstelle• Technischer Support
Aufgaben einer Föderation
Bernd Oberknapp, UB Freiburg
Das AAR Projekt ist damit beauftragt, eine deutschlandweite Föderation im Rahmen des DFN aufzubauen!
Detlev Degenhardt, Rechenzentrum der Universität Freiburg
Bedeutung für MyCoRe Bedeutung für MyCoRe
Benutzerverwaltung- endlich externe Authentifizierung (LDAP usw.) !- lokale Rollen / Permissions bleiben erhalten- Föderation möglich!
Zugriffskontrolle / Rechteverwaltung (ACL)- Über Shibboleth werden lediglich Benutzerattribute ermittelt
und es bleibt dem Server des Dienstanbieters überlassen, aus diesen Attributen konkrete Rechte an den Ressourcen abzuleiten.
- Siehe aber auch: „Rechteserver“ in Regensburg
Detlev Degenhardt, Rechenzentrum der Universität Freiburg
MyCoRe und Shibboleth MyCoRe und Shibboleth
Diplomarbeit- Joachim Meyer- offizieller Beginn am 7.3.2006
Wie weit sind wir?- Einarbeitung in mycore (1.2)- Installation der Service-Provider – Komponenten
von Shibboleth- Verwendung des Identity-Providers des AAR-Projekts
klappt soweit.
Detlev Degenhardt, Rechenzentrum der Universität Freiburg
… gibt es sonst noch Fragen?
Vielen Dank für das Zuhören…Vielen Dank für das Zuhören…
Aufbau (SP)
Apache
mod_shib(ACS)
AAP
shibd
Ressourcen
Benutzer authentifiziert?
fragt Attribute bei der AA ab
definiert, welche Attribute für den Zugriff
auf die Ressourcen erforderlich sind
Ressource-Manager (RM)
kontrolliert den Zugriff auf die Ressourcen
Jochen Lienhard, UB Freiburg