1

Allgemeine Fragestellung

• Suche nach wissenschaftlicher Information im Internet

• Quelle wird gefunden, aber…

…Zugang nur gegen Passwort oder Zahlung

Wiss. Bibliotheken kaufen Nutzungslizenzen für elektronische Informationen und stellen diese Quellen zur Nutzung zur Verfügung.

2

Was wollen wir erreichen?

Nutzer• Der Zugriff auf lizenzierte Inhalte soll unabhängig

vom gewählten Arbeitsplatz und dem Zugriffsweg möglich sein.

• Alle lizenzierten Inhalte sollten nach nur einmaliger Anmeldung zur Verfügung stehen (Single Sign-On).

Einrichtungen (etwa Hochschulen)• Die Einrichtung soll ein beliebiges

Authentifizierungssystem wählen dürfen. Anbieter • Die lizenzpflichtigen Inhalte der Anbieter sollen vor

unberechtigten Zugriff geschützt werden.

3

• AAR baut eine Infrastruktur zur Authentifizierung, Autorisierung und Rechteverwaltung (Lizenzrechte)

• AAR implementiert ein Single Sign-on System, mit dem verschiedene Ressourcen mit einem einzigen Login genutzt werden können („Reference Linking“)

• AAR baut auf Shibboleth (Internet2-Projekt) auf• AAR basiert auf einem föderativen Ansatz:

Die Einrichtung verwaltet und authentifiziertihre Mitglieder und der Anbieter kontrolliertden Zugang zu seinen Ressourcen

• Unter Koordination des DFN wird eine deutschlandweite Föderation als Dienst des DFN aufgebaut (DFN-AAI).

Was macht das AAR-Projekt?

4

Warum Shibboleth?

• einrichtungsübergreifendes Single Sign-On• Autorisierung und Zugriffskontrolle über Attribute mit der

Möglichkeit zur anonymen/pseudonymen Nutzung von Angeboten

• basiert auf bewährter Software und Standards (SAML: XML, SOAP, TLS, XMLsig, XMLenc)

• Aufwand für Integration in die vorhandene lokale Umgebung und (webbasierten) Anwendungen in vielen Fällen vergleichsweise gering

• Weltweit hohe Akzeptanz, auch bei kommerziellen Anbietern (Elsevier, JSTOR, EBSCO, Ovid, Springer, GBI, CSA, ...)

• Open-Source

5

Anbieter

Wie funktioniert Shibboleth?

Benutzerin

Benutzerin berechtigt?

(7)gestattet

verweigertZugriff

(9)

neinLokalisierungsdienst(WAYF, IdP Discovery)

(2)

Erstkontakt

Benutzerin angemeldet?

(1)

Heimateinrichtung

(4)

ja

nein

(6)(5) Login

(3)

(8)

6

Anbieter

Wie funktioniert Shibboleth?

Benutzerin

gestattet

verweigertZugriff

(9)

Benutzerin bekannt?

(1)

ja

nein

ja(2)

Folgekontakt (gleicher Anbieter)

Benutzerin berechtigt?

(7)

7

Anbieter

Wie funktioniert Shibboleth?

Benutzerin

Benutzerin berechtigt?

(7)gestattet

verweigertZugriff

(9)

neinLokalisierungsdienst(WAYF, IdP Discovery)

(2)

Folgekontakt anderer Anbieter

Benutzerin bekannt?

(1)

Heimateinrichtung

(4)

ja

nein

(6)

(3)

(8)

8

Authentifizierung und Autorisierung

• Authentifiziert wird immer über das lokal verfügbare System: Uni/Bibliotheks-Login, Chip-Karte, PKI, …

• Notwendig hierfür: Ein gut gepflegtes „Identity-Management-System (IdM)“

• Die Autorisierung erfolgt mittels Attribute, dabei beschreibt ein Attribut ein konkretes Objekt (Shibboleth: Benutzer).

• Die Aufgabenteilung in Shibboleth:– Identity-Provider stellen die notwendigen Attribute

für ihre Benutzer zur Verfügung.– Service-Provider werten die Attribute anhand ihrer

Regeln aus und gestatten oder verweigern je nachErgebnis den Zugriff.

• Die Föderation regelt die Zusammenarbeit

9

Die Rolle der Föderation

• Eine Föderation ist ein Zusammenschluss von Einrichtungen und (auch kommerziellen) Anbietern auf Basis gemeinsamer Richtlinien.

• Eine Föderation schafft das notwendige Vertrauens-verhältnis zwischen Einrichtungen und Anbietern und den organisatorischen Rahmen für den Austausch von Benutzerinformationen.

• Unter Koordination des DFN wird eine deutschland-weite Föderation (DFN-AAI) als Dienst des DFN aufgebaut.

• Start: Herbst 2007

10

Bibliotheks-dienste

E-Learning

SeminararbeitPersonalisierte

Dienste

E-Mail

Verwaltungs-systeme

IdM

Das Projekt Das Projekt myLoginmyLogin der Uni Freiburg der Uni Freiburg

11

Single-SignOn mit Shibboleth,ein Login für alle Dienste

Bibliotheks-dienste

E-Learning

SeminararbeitPersonalisierte

Dienste

E-Mail

Verwaltungs-systeme

Das Projekt Das Projekt myLoginmyLogin der Uni Freiburg der Uni Freiburg

12

Meine Dienste:

Chance und Vision:Authentifizierung & Personalisierung

Mein OLAF-Konto:

derzeit keine

4,50 Eur

5 1

derzeit keine

Katalogauswahl: Mein Katalog

Meine BibliothekLogout

Meine Einstellungen

Mein Fachportal