1

Eine föderierte AA-Infrastrukturerleichtert die

Integration von Internet Diensten

Ato RuppertUB Freiburg Berlin

29. Mai 2006

Thomas LenggenhagerSWITCH, Zürich

2

Übersicht

•Motivation AAI

•Der Lösungsansatz Shibboleth

•Die Projekte SWITCHaai und AAR (DFN-AAI)

•Die Föderation

•Rechtliche und organisatorische Rahmenbedingungen

•Schritte zur Umsetzung

3

Single Sign-On im Wiki• Vorteile

– Zeitersparnis, da nur noch eine einzige Authentifizierung notwendig ist, um auf alle Systeme zugreifen zu können

– Sicherheitsgewinn, da sich Benutzer nur noch ein Passwort merken müssen und nicht mehrere, die sie sich nicht merken können.

– Sicherheitsgewinn, da das Passwort nur einmal übertragen werden muss

• Nachteile– Kann ein Angreifer die Identität eines Benutzers entwenden,

so stehen ihm sofort alle Systeme, auf die dieser Benutzer Zugriff hat, zur Verfügung. Daher ist es sinnvoll, eine Form der biometrischen Authentifizierung zu verwenden, um potenziellen Angreifern das Eindringen zu erschweren.

4

SSO in deutschen Hochschulen und Forschungseinrichtungen?

• Innerhalb von einzelnen Einrichtungen im Aufbau• Einrichtungsübergreifend sind (mir) nur wenige

Dienste bekannt. (SaxIS/Bildungsportal Sachsen, ReDI/BW)

• Vielerorts als „Vision“ erwähnt• Die Voraussetzungen werden derzeit (fast) überall

geschaffen: IdentityManagement-Systeme

2006 © SWITCH 5

Swiss Virtual Campus als AAI Motivator

Ziel des Swiss Virtual Campus•E-Learning an Universitäten fördern•Kurse mit hoher Qualität entsprechend jenen

der besten Institutionen auf ihrem Gebiet.

• 2000 – 2003 Impulsprogramm•≥ 3 teilnehmende Hochschulen pro Projekt•50 Projekte•~ 40 Mio CHF (24 Mio EUR)

Bedarf für koordinierte Authentisierung der Benutzer

• 2004 – 2007 Konsolidierungsprogramm

http://virtualcampus.ch

6

Wissenschaftportale zur Vermittlung von Informationen

Das Beispiel vascoda

• vascoda ist ein interdisziplinäres Internetportal für wissenschaftliche Information in Deutschland.

• vascoda vereinigt Internetdienste zahlreicher leistungsstarker wissenschaftlicher Bibliotheken und Informationseinrichtungen.

• Mit vascoda wird der Grundbaustein für eine "Digitale Bibliothek Deutschland" gelegt.

• An vascoda sind heute über 40 Einrichtungen mit fast 30 Angeboten beteiligt.

www.vascoda.de

7

8

9

10

11

12

13

Leitsätze zur Nutzung verteilter Informationen im Internet aus Sicht der Nutzer, Einrichtungen und Anbieter

• Nutzer: Der Zugriff auf lizenzierte Inhalte soll unabhängig vom gewählten Arbeitsplatz und dem Zugriffsweg möglich sein. Alle lizenzierten Inhalte sollten nach nur einmaliger Authentifizierung und Autorisierung (Single Sign-On) zur Verfügung stehen.

• Einrichtungen (etwa Hochschulen): Die Einrichtung soll ein beliebiges Authentifizierungssystem wählen dürfen. Der Aufwand der Rechteverwaltung soll möglichst gering sein.

• Anbieter: Die lizenzpflichtigen Inhalte der Anbieter sollen vor unberechtigten Zugriff geschützt werden.

Was wollen wir erreichen?

14

Übersicht

•Motivation AAI

•Der Lösungsansatz Shibboleth

•Die Projekte SWITCHaai und AAR (DFN-AAI)

•Die Föderation

•Rechtliche und organisatorische Rahmenbedingungen

•Schritte zur Umsetzung

2006 © SWITCH 15

AutorisierungBenutzerverwaltung Authentifizierung Ressource Passwort

•Aufwändige Registrierung bei allen Ressourcen

•Unzuverlässige und veraltete Daten

•VerschiedeneLogin-Verfahren

•Viele Passworte•Viele Ressourcen werden

nicht geschützt•Wenn geschützt, dann oft

nur durch IP-Adressen

Ohne Shibboleth

Universität A

Bibliothek B

Universität C

Stud. Admin.

Web Mail

e-Learning

Literatur DB

e-LearningResearch DB

e-Zeitschriften

2006 © SWITCH 16

AutorisierungBenutzerverwaltung Authentifizierung Ressource Passwort

•Registrierung bei denRessourcen entfällt

•EinheitlichesLogin-Verfahren

•Single-Sign-On•Erschliesst Benutzern

neue Ressourcen•Standort-unabhängig

Mit Shibboleth

Universität A

Bibliothek B

Universität C

ShibbolethStud. Admin.

Web Mail

e-Learning

Literatur DB

e-LearningResearch DB

e-Zeitschriften

2006 © SWITCH 17

Shibboleth

• Federated Identity ManagementArchitektur und Implementation

• Open Source Lizenz

• Basiert auf SAML:Security Assertion Markup Language

• Wird durch Internet2 entwickelt

http://shibboleth.internet2.edu

QuickTime™ and aTIFF (Uncompressed) decompressor

are needed to see this picture.

18

Woher kommt „Shibboleth“?Hintergrund ist eine Stelle aus dem Alten Testament, Buch Richter Kapitel 12 Vers 5ff:

Und die Gileaditer nahmen ein die Furt des Jordans vor Ephraim. Wenn nun sprachen die Flüchtigen Ephraims: Laß mich hinübergehen, so sprachen die Männer von Gilead zu ihm: Bist du ein Ephraiter? Wenn er dann antwortete: Nein, so hießen sie ihn sprechen: Schiboleth, so sprach er: Siboleth, und konnte es nicht recht reden. So griffen sie ihn und schlugen ihn an der Furt des Jordans, daß zu der Zeit von Ephraim fielen zweiundvierzigtausend.

Das Wort „Shibboleth“ ist somit wohl das erste biometrische Autorisierungsverfahren gewesen(Zitat http://www.spiritproject.de/orakel/magie/lyrik/bibel/richter.htm)

19

Heimateinrichtung

Benutzerin

Anbieter 1

authentifiziert?(1)

(4)(5) Benutzerin berechtigt?(6)

(7)

(8)verweigertnein

ja

neinLokalisierungsdienstWAYF

(2)(3)

Wie funktioniert Shibboleth?(Erstkontakt)

(9)gestattet Zugriffja

20

Heimateinrichtung

Benutzerin

Anbieter 1

authentifiziert?(1)

verweigertnein

ja

nein(2)

Wie funktioniert Shibboleth?(Folgekontakt gleicher Anbieter)

(9)gestattet Zugriffja

Benutzerin berechtigt?

21

Heimateinrichtung

Benutzerin

Anbieter 2

authentifiziert?(1)

(4) Benutzerin berechtigt?(6)

(7)

(8)verweigertnein

ja

neinLokalisierungsdienst(2)

Wie funktioniert Shibboleth?(Folgekontakt neuer Anbieter)

(9)gestattet Zugriffja

2006 © SWITCH 22

Bestehende digitale Identitäten könnenauch ausserhalb einer Organisationfür Authentisierung und Autorisierung genutzt werden

Föderation

Heim Organisation

Ressourcen

Bestehendes Vertrauen

SP Service ProvidersIdP Identity Providers

Federated Identity Management

2006 © SWITCH 23

Identity Management

• Kein Federated Identity Managementohne lokales Identity Management !

• Damit eine Universität AAI sinnvoll nutzen kannbenötigt sie ein lokales Identity Management•Prozesse für Eintritte / Mutationen / Austritte•Datenzusammenführung (Meta-Directory)•Verzeichnisdienst

2006 © SWITCH 24

Unterstützte Schnittstellen:• Authentisierungs System•Alle die mit Apache oder Tomcat

integriert werden können•Unter Windows:•Kerberos AuthN mit Active Directory•Windows AuthN mit IIS

• Benutzerverzeichnis•JNDI (z.B. OpenLDAP, AD)•JDBC (SQL Datenbanken)

Identity Provider Integration

AuthN = AuthentisierungDer Shibboleth IdP ist in Java geschrieben

BenutzerVerzeichnis

AuthentisierungsSystem

AAI

Identity Providermit AAI

2006 © SWITCH 25

Service Provider Integration

NormalfallWeb Server:• Apache 1 & 2

•Tomcat via mod_jk• Microsoft IIS

Autorisierung (AuthZ) • Anwendungen werden durch

Regeln geschützt• Anwendungen verwenden die

Benutzer-Attribute zur Zugangsbeschränkung

AAI

Web Server

WebAnwen-

dung

Service Providermit AAI

Der Shibboleth SP ist in C++ geschriebenShibboleth 2 bringt zusätzlich Java SP

2006 © SWITCH 26

SAML

Security Assertion Markup Language• OASIS Standard http://www.oasis-open.org

• basiert auf XML• definiert das Format für Aussagen zu• Identitäten• Attribute• Berechtigungen

• SAML 2.0 (2005) basiert auf Praxis-Erfahrung von•Liberty Alliance http://www.projectliberty.org

ID-FF Identity Federation Framework•Shibboleth http://shibboleth.internet2.edu

• Steigende Akzeptanz

2006 © SWITCH 27

Interoperabilität

Koordination ist das non-plus-ultra !• Bilaterale Interoperabilität ist möglich, skaliert aber nicht

• Bestehendes Vertrauen zwischen Organisationensoll für AAI gesichert werden:• Verträge, Vereinbarungen und Regeln• Technische Vorkehren:• Verwendete Standards• Digitale Server Zertifikate (X.509)

für geschützte Kommunikation• Konfigurationsdaten der akzeptierten Partner• Interpretation der auszutauschenden Daten

• Persönliches Netzwerk der Beteiligten

2006 © SWITCH 28

Stand Shibboleth International

• Etablierte nationale FöderationFinnland (HAKA), Schweiz (SWITCHaai), USA (InCommon)

• Nationale Föderation im Werden• im Aufbau

UK (Access Management Federation)• in Vorbereitung

Australien (MAMS Testbed)Dänemark, Deutschland, Schweden (SWIF)

• Koordination um regionale AktivitätenBelgien, Frankreich (CRU)

• Wachsendes Interesse in weiteren Ländern,aber noch keine Entscheidungen bekannt

2006 © SWITCH 29

AAI neben Shibboleth?

• Etablierte nationale Föderation•Kroatien (AAI@EDU.HR)

Proprietäre Lösung um LDAP•Niederlande (SURFnet)

Verwendet A-Select, kann nun auf Shibboleth SP zugreifen

•Norwegen (FEIDE)Verwendet Moria, wechselt zu SAML 2 (Sun Identity Provider), Zugriff auf Shibboleth SP geplant

•Spanien (RedIRIS)Verwendet PAPI, Zugriff auf Shibboleth SP geplant

30

Unterstützung von Shibboleth bei Dienstanbietern

• ArtSTOR• Blackboard• Bodington.org• CSA• Darwin Streaming Server• Digitalbrain PLC• eAcademy• EBSCO Publishing• Elsevier Science Direct• ExLibris-SFX• Fedora• Higher Markets• Horde• Hupnet• ILIAS

• JSTOR• Moodle• Napster• NSDL• OCLC• OLAT• Ovid Technologies Inc.• Proquest Information

and Learning• Serials Solutions• SYMPA• ThomsonGale• TWiki• Useful Utilities-EZproxy• Web Assign• WebCT

– Infoconnex– vascoda– ReDI– SaxIS– FIZ-Technik– FIZ-Karlsruhe

Index of Shibboleth-Enabled Applications and Services (Quelle: internet2)

in Deutschland:

31

Übersicht

•Motivation AAI

•Der Lösungsansatz Shibboleth

•Die Projekte SWITCHaai und AAR (DFN-AAI)

•Die Föderation

•Rechtliche und organisatorische Rahmenbedingungen

•Schritte zur Umsetzung

2006 © SWITCH 32

Das SWITCHaai Projekt

• Die Stiftung SWITCH

• SWITCHaai

•Projektverlauf

•Projektstand

•Die Virtuelle Heim Organisation – VHO

•Projektfinanzierung

2006 © SWITCH 33

Die Stiftung SWITCH

•SWITCH ist eine Stiftung des Bundes und derHochschul-Kantone

•Teleinformatikdienste für Lehre und Forschung•Netzwerk: Planung & Betrieb des Backbones•NetServices: e-Conferencing & Content Delivery•Security: CERT, PKI & Middleware (AAI, Grid & Roaming)

•Domain Registration für .ch und .li

•Total 70 Mitarbeiter•Outsourcing für Helpdesk und Billing der Domain

Registration

2006 © SWITCH 34

2001 2002 2003 2004 2005 2006 2007

ImplementationPilot Produktiver Betrieb Studie

ArchitekturEvaluation

Shibboleth

Studie, Planung …

SWITCHaai Projektverlauf

Nov 1999: Term AAI das erste Mal in einem Dokument verwendetNov 2000: AAI Workshop

2006 © SWITCH 35

SWITCHaai Identity Providers

Abdeckung:140’000 Benutzer(> 70%) der CH Hochschulen

ETH Zürich

UniversitätZürich

SWITCH

Université de Genève

Zürcher HochschuleWinterthur

UniversitätLuzern

Université deFribourg

UniversitätBern

Université deLausanne

Université de Neuchâtel

UniversitätsspitalZürich

EPFL

SUPSI

UniversitätSt. Gallen

Pädagogische Hochschule Bern

FachhochschuleZentralschweizHES-SO

VHO

IdP in Betrieb

IdP im Aufbau VHO = Virtual Home Organization

Università della Svizzera italiana

UniversitätBasel

2006 © SWITCH 36

Service Provider in SWITCHaai

E-Learning Bibliotheken

Andere Web Anwendungen

DOITDOITVITELSVITELS

WebCT VistaWebCT Vista

AD LearnAD Learn

EZproxyEZproxy

kommerziell

ScienceDirectScienceDirectJSTORJSTOR

WebCT CampusWebCT CampusOLATOLAT

MoodleMoodle BSCWBSCWBlackboardBlackboard

SwissLexSwissLex

EBSCOEBSCOILIASILIAS

BundesgerichtBundesgericht

dokeosdokeosRERORERO

MicrosoftMicrosofteConf-PortaleConf-Portal

CompiCampusCompiCampus

IS-AcademiaIS-Academia

uPortaluPortaljahiajahia

LenyaLenya

SAP-CMSAP-CM

FedoraFedora

EVAEVA

WebSMSWebSMS

2006 © SWITCH 37

Projektfinanzierung

2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010

Auf

wan

d Pilot Realisierung Betrieb

SWITCH & Universitäten Bundesmittel Tarife

Grafik ist qualitativ, nicht quantitativ

38

Das Projekt AAR(UB Freiburg, UB Regensburg)

Projektauftrag BMBF (PT-NMB+F ):Es werden die notwendigen Komponenten und kommunikations-prozeduren für Authentifizierungsserver, Autorisierungsserver und Rechteserver definiert, entwickelt und im realen Betrieb eingesetzt und erprobt (mit Shibboleth). Weiterhin wird ein Organisationsmodell erarbeitet, dass den weiteren Betrieb nach der Projektlaufzeit sicherstellt.

– Zeitraum: 1.1.2005 – 31.12.2007– Kosten: rd. 380.000,- Eur (2 Stellen + Sachmittel)

Auftragserweiterung für 2007: Aufbau einer Föderation zum Betrieb der AAI gemeinsam mit dem DFN.

39

Zeitplan des Projekts AAR

                                                                       

Abstimmung mit vascoda

                                                                       

Entwicklungs-umgebung

                                                                        Analyse

                                                                        Abstimmung

                                                                        Implemen-tierung

                                                                       

Realbetrieb vascoda

                                                                        Workshops

                                                                        Dokumentation

                                                                        Aufbau Föderation

                                                                       

Projektmonat 17(Mai 2006)

29. Mai 2006

40

Übersicht

•Motivation AAI

•Der Lösungsansatz Shibboleth

•Die Projekte SWITCHaai und AAR (DFN-AAI)

•Die Föderation

•Rechtliche und organisatorische Rahmenbedingungen

•Schritte zur Umsetzung

2006 © SWITCH 41

Was ist eine Föderation?

• Gruppe von Organisationen• Akzeptieren gegenseitig Bestätigungen zu• Identitäten•Beschreibende Aussagen (Attribute)

• Befolgen gemeinsameRegeln

• Sind selbstständig• Nutzen gemeinsame

Standards

Circle of Trust

Föderation

2006 © SWITCH 42

Aufgaben und Rollen (1)

Basis Dienste einer Föderation•Koordination, Strategie und Weiterentwicklung•Dokumentation & Metadaten bereitstellen•Beratung, Training•Betrieb des zentralen WAYF•Betrieb der Test Infrastruktur•Bereitstellen von Werkzeugen•Update Scripts•Resource Registry

WAYF = 'Where Are You From?' Server

2006 © SWITCH 43

Aufgaben und Rollen (2)

Erweiterte Dienste einer Föderation•Unterstützung bei der Integration von Anwendungen•Unterstützung der Identity Provider•evtl. Outsourcing anbieten

•Virtuelle Heim Organisation

2006 © SWITCH 44

Virtuelle Heim Organisation – VHO

• Integration von Benutzern ohne Identity Provider SP Admin erzeugt bei der VHO “AAI-enabled” Konten

für die Benutzer ohne Identity Provider Ein VHO Konto ist nur für die SP von Nutzen,

die der SP Admin kontrolliert.Dritte werden diesen Identitäten nicht trauen

Föderations Mitglied

Home Org SP Admin

BenutzerAdmin

Einige Benutzer ohne

Identity Provider

VHO Dienst @SWITCH User Dir

VHO Policy

2006 © SWITCH 45

Die SWITCHaai Föderation

•SWITCH ist der Betreiber der SWITCHaai Föderation•Mitglied der Föderation durch Unterschreiben des Service Agreements

2006 © SWITCH 46

Regeln, Richtlinien und Zertifikate

• Federation Policy• VHO Policy• Policy für akzeptierte Zertifikate• Attribut Spezifikation

• Anforderungen ans Identity Management• 'Best Practice' Dokumente

47

Datenschutz 1 (Datenhaltung)

Europäisches Recht (Art. 6): Personenbezogene Datendürfen nur für spezielle Aufgaben verarbeitet werden! • Die Einrichtungen (= Identitiy Provider) müssen den Zweck der

Datenhaltung festlegen und beschreiben. In Universitäten z.B. (verkürzt): Unterstützung von Forschung und Lehre.

• Die Ziele aller Mitglieder einer Föderation müssen diesem Zweck entsprechen! (Bei Unis u.a. ist das per se so)

Auf Seiten der (auch kommerziellen) Dienstanbieter (SP):

• Z.B. Buchhandel, ZS-Verlage, wiss. Infodienste: Ja• Z.B. EBAY, Kaufhäuser: Einschränkungen möglich• Behörden: ?

48

Datenschutz 2 (Weitergabe von Attributen)

Europäisches Recht (Art. 7): Weitergabe personenbezogener Daten nur wenn

notwendig1. Zur Vertragserfüllung (mit den Anbietern)2. Gesetzliche Grundlagen vorliegen3. Zum Schutz vitaler Interessen (der Anbieter)4. Zur Erfüllung der Leistung eines Auftrages (des Anbieters)– und5. Nach ausdrücklicher Zustimmung der betroffenen Person

49

Weitergabe von Attributen: Das Modell Autograph (MAMS)

• Die Attribute, die an einen Service-Provider weitergegeben werden, werden den Benutzern in Form von Visitenkarten präsentiert.

• Benutzer können für jeden Service-Provider individuelle Visitenkarten erstellen.

• Die Bedienung ist sehr intuitiv:– Streichen von Attributen schränkt die verfügbaren Dienste

entsprechend ein– Auswahl eines gewünschten Dienstes fügt automatisch die

notwendigen Attribute hinzu• Demo

2006 © SWITCH 50

Metadaten

Metadaten sind fundamental für die Föderation!

• Vertrauen & Sicherheit• Infos über Zertifikate und providerID,

damit man weiss mit wem man Daten austauscht

• Datenschutz•Attribute Release Policy (beim IdP)

• Metadaten müssen aktuell und synchron sein,sonst klappt die Interoperabilität nie•Bilateraler Austausch skaliert schlecht

Ein Werkzeug für die Verwaltung derMetadaten wird benötigt

2006 © SWITCH 51

Die Resource Registry

Ziel • Skalierende Metadaten Verwaltung• Unterstützung für administrative Prozesse

2006 © SWITCH 52

Attribute für SWITCHaai

Personen bezogen

• Eindeutige ID• Nachname• Vorname

• E-Mail• Adresse• Telefonnummer• Bevorzugte Sprache• Geburtsdatum• Geschlecht

Gruppen bezogen

• Name derHeim Organisation

• Art derHeim Organisation

• Status (student, staff, faculty, …)

• Studienrichtung• Studienstufe• Mitarbeiterkategorie• Gruppen Zugehörigkeit• DN der Organisation• DN der Organi-

sationseinheit

•Basiert auf eduPerson Spezifikation

•Werte für Studienrichtung etc. aus der CH-Hochschulstatistik

•Benutzername & Passwort fehlen nur lokal benutzen!

Attribute die nicht bei allenHeim Organisationenvorhanden sein müssen

2006 © SWITCH 53

Attribute und deren Bedeutung

• Zwei Beispiele• swissEduPersonStudyBranch

• Standardisierte Werte dank schweiz. Hochschulstatistik• z.B. für Zugangsbeschränkung zu med. E-Learning Kurs

• eduPersonAffiliation• Abschliessende Liste von Werten• faculty, student, staff, alum, member, affiliate, employee

6200 Humanmedizin

6300 Zahnmedizin6400 Veterinärmedizin

7905 Forstwirtschaft

7910 Agrarwirtschaft7915 Lebensmittelwissenschaft

54

Attribut-Schemata

• Mehrere Grundlagen liegen vor:– eduPerson Specification (Internet2)– funetEduPerson (HAKA)– SCHAC-IAD Version 1.0.0 (Terena)– swissEduPerson (SWITCH)

Beachte:Weltweit operierende, kommerzielle Anbieter halten sich bisher i.a. an eduPerson!(wg.InCommon)

55

Shibboleth-Standardattribute

• Shibboleth/InCommon-Standardattribute basieren auf dem eduPerson-Schema

• Internationale Anbieter halten sich üblicherweise an diesen Standard (insb. eduPersonEntitlement)

• Anbieter kommen meistens mit einigen wenigen Attributen aus, die in der Shibboleth-Software bereits vor konfiguriert sind

• Beispiele:– eduPersonScopedAffiliation (member@...,staff@...)– eduPersonTargetedID (r12345z@...)– eduPersonPrincipalName (ruppert@uni-freiburg.de)

2006 © SWITCH 56

Was bedeutet dies?

Confoederatio Helvetica

CH

2006 © SWITCH 57

eduGAIN: jenseits nationaler Grenzen

• eduGAIN: das AAI Forschungsprojekt von GÉANT2• Ziel ist die Konföderation nationaler AAI Föderationen• um grenzüberschreitend Dienste nutzen zu können

• Gemeinsame 'Sprache' ist SAML• 'Übergabepunkte' dienen der Vernetzung, sie wissen• welche Dienste es in ihrer Föderation gibt• was wie zu übersetzen ist• wem wie weit zu vertrauen ist• wer was darf

58

Übersicht

•Motivation AAI

•Der Lösungsansatz Shibboleth

•Die Projekte SWITCHaai und AAR (DFN-AAI)

•Die Föderation

•Rechtliche und organisatorische Rahmenbedingungen

•Schritte zur Umsetzung

2006 © SWITCH 59

Die SWITCHaai Föderation

•SWITCH ist der Betreiber der SWITCHaai Föderation•Mitglied der Föderation durch Unterschreiben des Service Agreements

2006 © SWITCH 60

Rechtlicher Rahmen für SWITCHaai

Bundesrecht, kantonales Recht (spez. Datenschutz)

SWITCH

AAI PolicyService Agreement

Org ...

User Regulations

Org ...

User Regulations

Org ...

User Regulations

Org ...

User Regulations

61

DFN-AAI, was ist zu tun?

• Aufbau eines Rahmens für die Föderation– Vorgabe von Richtlinien (Policy)

• Gremien• Befugnisse• Vertragsprinzipien• grundsätzliche technische Entscheidungen

– zentrale betriebliche Aufgaben• z.B. WAYF, Testumgebung, Support, Zertifizierungsstelle

– Public Relations– internationale Vertretung– Vertragsgestaltung und -abschluss

62

Vertragsgestaltung

DFN-Rahmenvertrag

DFNInternet

DFNFernsprechen

DFNAAI

Dienstbeschreibung

Technische Grundlagen

Policy

Zentrale betriebliche Aufgaben

Entgelte

63

Anforderungen an IdM-Systeme• Personen erhalten elektronische Identität

– Attribute beschreiben die Rolle der Person• Qualitätsanforderungen:

– Verlässlichkeit• Sicherheitsstufen, Missbrauchverhinderung

– Aktualität• zeitnahe Änderung

– Nachvollziehbarkeit• Dokumentation, Logging

– Ausfallsicherheit• Back-up-Systeme

• Einklang mit rechtlichen Vorgaben– Datenschutzgesetz

64

Attribute• eduPerson-Schema (aus Internet2)

– Internationale und kommerzielle Partner verwenden eduPerson• verbindliche Menge soll minimal sein• Erweiterungen sollen möglich sein, falls erforderlich

– Beispiele: eLearning-Zeugnisse

• Anmerkung:– Die in der DFN-AAI definierten Attribute müssen aus den

lokalen IdM-Systemen abgebildet werden können, sie müssen nicht identisch existieren!

65

Übersicht

•Motivation AAI

•Der Lösungsansatz Shibboleth

•Die Projekte SWITCHaai und AAR (DFN-AAI)

•Die Föderation

•Rechtliche und organisatorische Rahmenbedingungen

•Schritte zur Umsetzung

66

Stand und Ausblick zum Projekt AAR und der DFN-AAI

• Alle Komponenten von Shibboleth sind in Testumgebungen verfügbar

• Gespräche mit Dienstanbietern entwickeln sich sehr positiv (im Rahmen von Kaufverhandlungen, etwa 100 kommerzielle Service Provider)

• Das Portal (Regionale DatenbankInformationen Baden-Württemberg) ist als Pilotprojekt auf Shibboleth umgestellt (mit einer „internen“ Föderation, etwa 60 Identity Provider)

67

68

Stand und Ausblick zum Projekt AAR

• Alle Komponenten von Shibboleth sind in Testumgebungen verfügbar

• Gespräche mit Dienstanbietern entwickeln sich sehr positiv (im Rahmen von Kaufverhandlungen, etwa 100 kommerzielle Service Provider)

• Das Portal (Regionale DatenbankInformationen Baden-Württemberg) ist als Pilotprojekt auf Shibboleth umgestellt (mit einer „internen“ Föderation, etwa 60 Identity Provider)

• Die Betriebssoftware IPS von vascoda wird bis Mitte 2006 auf Shibboleth umgestellt (Test mit Anbieter Infoconnex)

• Am 10. Oktober 2006 wird der 3. Workshop zu Shibboleth in Freiburg stattfinden

• Eine Lösung für die DFG-Nationallizenzen mit Shibboleth wird derzeit erarbeitet.

69

Nationallizenzen: Die Situation heute – institutionelle Nutzer

Verlag-1

Verlag-m

Verlag-2Einrichtung-1

Einrichtung-2

z.B.ReDI

Zugangsvermittlung mitproprietären Verfahren

IP-Kontrolle

IP-Liste

IP-Kontrolle

IP-Kontrolle

IP-Liste

IP-Liste

IP-Liste

IP-Liste

IP-ListeIP-

Liste

IP-Kontrolle

70

Ziel mit AAI

1x

NLVHO

ReWriting Proxy (HAN)

Verlag-1

Verlag-m

Verlag-2

Shib idp Shibsp

Shibsp

www.nationallizenzen.de

Shib idp

Shibsp

IP-Ctrl

Ggf mehrere Instanzen (Einrichtungen)

IP

Falls Einrichtung über IP authentifiziert

IP

2006 © SWITCH 71

Voraussetzungen für AAI Installation

• Vorkenntnisse•Sysadmin Erfahrung• IdP: Java Tomcat

SP: Web Server Konfig• Bereitschaft für neue Technologie• Support bei Problemen gewährleistet

NB: Ein IdP benötigt ein existierendesIdentity Management…

2006 © SWITCH 72

Erfolgsfaktoren für SWITCHaai

• Motivator: Swiss Virtual Campus• Gute Zusammenarbeit mit den Universitäten•Arbeitsgruppen

• Unterstützung auf allen Ebenen•Bund•Universitätsleitungen•Informatikdienste

• Verfügbarkeit der Shibboleth Software von Internet2

73

Danke für Ihre Aufmerksamkeit!

AAR ist ein Projekt der

UB Freiburg und UB Regensburg

Gefördert vom BMBF (PT-NMB+F )

aar.vascoda.de

SWITCHaai

www.switch.ch/aai

aai@switch.ch

Clip

2006 © SWITCH 75

SWITCHaai Federation Partner

• Federation Partner bringen einen Service Providerin die Föderation ein

• Content Provider• Elsevier, NL

• EuQoS Projekt Teilnehmer• ENSICA, FR• NICTA, AU• Università di Pisa, IT• Università di Roma, IT• Universität Tübingen, DE• Warsaw University of Technology, PL