Authentifizierung, Autorisierung und Rechteverwaltung Shibboleth: Verteilte Authentifizierung,...

Authentifizierung, Autorisierungund Rechteverwaltung

Shibboleth: Verteilte Authentifizierung,Autorisierung und Zugriffskontrolle für

elektronische Ressourcen

Österreichischer Bibliothekartag

Bregenz, 20. September 2006

Bernd Oberknapp, UB FreiburgE-Mail: [email protected]

Bernd Oberknapp, UB Freiburg 2

Übersicht

• Das Projekt AAR• Warum AAR?• Was sind AAR und Shibboleth?• Wie funktioniert Shibboleth?• Warum Shibboleth?• Autorisierung und Zugriffskontrolle• Föderationen• Ausblick


Das Projekt AAR

• Partner: UB Freiburg und UB Regensburg• finanziert durch das BMBF (PT-NMB+F)• eingebettet in vascoda (http://www.vascoda.de/)• Laufzeit zunächst 3 Jahre bis Ende 2007:

– 2 Jahre Entwicklungs- und Testphase mit der Regionalen Datenbank-Information Baden-Württemberg (ReDI) und vascoda als Pilotanwendungen

– 1 Jahr Unterstützung von Einrichtungen und Anbietern bei der Einführung des Systems

• Verlängerung bis Mitte 2008 vorgesehen


Warum AAR?

• Bibliotheken kaufen Nutzungslizenzen für vielfältige elektronische Informationsangebote:Zeitschriften, Datenbanken, Bücher, ...

• Der Zugang zu den Informationsangeboten ist heute zum Teil nur eingeschränkt möglich(IP-Kontrolle, VPN, Proxies).

• Die Einbindung der Informationsangebote in das Angebot der Bibliotheken und ihre Verknüpfung (Stichwort: Reference Linking) ist teilweise sehr aufwendig.


Warum AAR?

Ziel ist die Verbesserung und Vereinfachung desZugangs zu den Informationsangeboten:• Nutzer: Zugriff auf lizenzierte Inhalte unabhängig vom

gewählten Arbeitsplatz und dem Zugriffsweg, Zugriff auf alle Angebote nach nur einmaliger Authentifizierung (Single Sign-on)

• Einrichtungen: freie Wahl des Authentifizierungssystems, möglichst geringer Aufwand für die Rechteverwaltung

• Anbieter: Schutz der Inhalte vor unberechtigtem Zugriff, einfacheres Angebot von personalisierten Diensten


Was ist AAR?

• AAR ist eine Infrastruktur zur Authentifizierung, Autorisierung und Rechteverwaltung.

• AAR ist ein Single Sign-on System, mit dem verschiedene Ressourcen mit einem einzigen Login genutzt werden können.

• AAR basiert auf einem föderativen Ansatz:Die Einrichtung verwaltet und authentifiziertihre Mitglieder und der Anbieter kontrolliertden Zugang zu seinen Ressourcen.

• AAR baut auf Shibboleth auf.• AAR ergänzt Shibboleth um einen Rechteserver.


Was ist Shibboleth?

• Shibboleth ist ein Internet2/MACE-Projekt(MACE = Middleware Architecture Committee for Education)

• Shibboleth entwickelt eine– Architektur (Protokolle und Profile),– Richtlinien-Strukturen und eine– Open Source-Implementierung

für den einrichtungsübergreifenden Zugriffauf geschützte (Web-)Ressourcen


Woher kommt „Shibboleth“?

Hintergrund ist eine Stelle aus dem Alten Testament,Buch Richter, Kapitel 12, Vers 5ff:

Und die Gileaditer nahmen ein die Furt des Jordans vor Ephraim. Wenn nun sprachen die Flüchtigen Ephraims: Laß mich hinübergehen, so sprachen die Männer von Gilead zu ihm: Bist du ein Ephraiter? Wenn er dann antwortete: Nein, so hießen sie ihn sprechen: Schiboleth, so sprach er: Siboleth, und konnte es nicht recht reden. So griffen sie ihn und schlugen ihn an der Furt des Jordans, daß zu der Zeit von Ephraim fielen zweiundvierzigtausend.

(Zitat http://www.spiritproject.de/orakel/magie/lyrik/bibel/richter.htm)

Das Wort „Shibboleth“ war somit wohl das erstebiometrische Autorisierungsverfahren!


Wie funktioniert Shibboleth?(Erstkontakt)

Heimateinrichtung(Identity-Provider)

Benutzerin

Anbieter(Service-Provider)

Benutzerin bekannt?(1)

(4) Benutzerin berechtigt?(6)

(7)

(8)

gestattet

verweigertZugriff

(9)ja

nein

neinLokalisierungsdienst(WAYF, IdP Discovery)

(2)(3)

(5) Login


Wie funktioniert Shibboleth?(Folgekontakt, gleicher Anbieter)


Benutzerin



Benutzerin berechtigt?

gestattet

verweigertZugriff

(9)ja

nein

ja

(2)


Wie funktioniert Shibboleth?(Folgekontakt, anderer Anbieter)


Benutzerin



(4) Benutzerin berechtigt?(6)

(7)

(8)

gestattet

verweigertZugriff

(9)ja

nein

ja

neinLokalisierungsdienst(WAYF, IdP Discovery)

(2)(3)


Warum Shibboleth?

• einrichtungsübergreifendes Single Sign-On• Autorisierung und Zugriffskontrolle über Attribute

mit der Möglichkeit zur anonymen/pseudonymen Nutzung von Angeboten

• basiert auf bewährter Software (Apache, Tomcat, OpenSSL) und Standards (SAML)

• Aufwand für Integration mit vorhandenem Identity-Management und (webbasierten) Anwendungen ist in vielen Fällen vergleichsweise gering

• weltweit hohe Akzeptanz, auch bei kommerziellen Anbietern (Elsevier, JSTOR, EBSCO, CSA, Ovid, GENIOS, ...)


Anwendungsmöglichkeiten

• Zugang zu geschützten (kommerziellen) elektronischen Informationsangeboten:– Zeitschriften, Datenbanken, Bücher, ...– Portale: ReDI, vascoda, Virtuelle Fachbibliotheken, ...– Repositories: MyCoRe, EPrints, ...– DFG-Nationallizenzen

• e-Learning• e-Science• Verwaltungssysteme• Grid-Computing


Autorisierung und Zugriffskontrolle

• Attribute bilden die Grundlage für die Autorisierung und Zugriffskontrolle in Shibboleth:– Identity-Provider stellen mit Attributen die notwendigen

Informationen über ihre Benutzer zur Verfügung.– Service-Provider werten die Attribute anhand ihrer

Regeln aus und gestatten oder verweigern je nachErgebnis den Zugriff.

• Hierfür sind Absprachen zwischen Identity- und Service-Providern notwendig, die durch Verwendung eines einheitlichen Schemas vereinfacht werden!

• Voraussetzung sind verlässliche Benutzerdaten, also ein funktionierendes lokales Identity-Management!


Standard-Attribute

• InCommon hat mit eduPerson den Standard für den Austausch von Attributen vorgegeben.

• Andere Föderationen und internationale Anbieter orientieren sich üblicherweise an diesem Standard.

• Die meisten Service-Provider kommen dabei mit wenigen Attributen aus, häufig verwendet werden:– eduPersonAffiliation: member, faculty, staff, student, ...– eduPersonEntitlement: beliebige Rechteinformationen,

z.B. urn:mace:dir:entitlement:common-lib-terms– eduPersonPrincipalName: „Net-ID“ des Benutzers – eduPersonTargetedID: eindeutiges Pseudonym des

Benutzers für einen Anbieter, z.B. für Personalisierung


Attribute und Datenschutz

• Attribute können personenbezogene Daten sein (Beispiele: Benutzerkennung, E-Mailadresse).

• Personenbezogene Daten dürfen nach den (EU-) Datenschutzbestimmungen nur weitergegeben werden, wenn dies für die Erbringung des Dienstes notwendig ist und der Benutzer der Weitergabe ausdrücklich zustimmt.

• Die Weitergabe der Attribute wird in Shibboleth über Attribute Release Policies auf Einrichtungs-, Gruppen- und Benutzerebene (sehr intuitiv über „Visitenkarten“ mit ShARPE/Autograph) gesteuert.


Zugriffskontrolle mit Rechteserver

Der Rechteserver• kann für die Zugriffskontrolle

eingesetzt werden (auchunabhängig von Shibboleth)

• ermöglicht die Abbildung vonAutorisierungsinformationenauf komplexe Nutzungsbe-dingungen wie Moving Walls,Embargos und sonstige (zeitliche) Beschränkungen

• kann lokal (beim Anbieter) oder zentral eingesetzt werden

• ist das Teilprojekt unseres Projektpartners UB Regensburg

Rechteserver


Was ist eine Föderation?

• Eine Föderation ist ein Zusammenschluss von Einrichtungen und (auch kommerziellen) Anbietern auf Basis gemeinsamer Richtlinien.

• Eine Föderation schafft das notwendige Vertrauens-verhältnis zwischen Einrichtungen und Anbietern und den organisatorischen Rahmen für den Austausch von Benutzerinformationen.

• Unter Koordination des DFN wird eine deutschland-weite Föderation (DFN-AAI) als Dienst des DFN aufgebaut.


Aufbau einer Föderation

• Festlegung des Rahmens für die Föderation:– Gremien, Befugnisse, Vertragsprinzipien– Voraussetzungen für die Mitgliedschaft– Rechte und Pflichten der Föderation und der Mitglieder– Richtlinien (Policies), insbesondere für den Austausch

von Attributen und für Zertifikate

• Aufbau der Betriebsstrukturen:– Verwaltung der Metadaten (Informationen über Identity-

und Service-Provider und Zertifikate – fundamental für Vertrauen und Sicherheit in der Föderation!)

– zentrale Dienste (Lokalisierungsdienst, Testumgebung)– technischer Support


Ausblick: AAR „ToDo-Liste“

• Aufbau der DFN-AAI in Kooperation mit dem DFN• Unterstützung von Hochschulen und Anbietern bei

der Einführung von Shibboleth, insbesondere• Einführung von Shibboleth und Rechteserver für das

vascoda-Portal und Virtuelle Fachbibliotheken, zunächst Pilotinstallation mit HBZ Köln (vacoda-Portal), IZ Sozialwissenschaften (Infoconnex) und DIPF (Fachportal Pädagogik)

• Übergabe des Betriebs der Identity-Provider an die Hochschulen in Baden-Württemberg bzw. an das BSZ Konstanz (Hosting für Horizon-Bibliotheken)


Ausblick: Shibboleth 2.x

• Zeitrahmen für Shibboleth 2.0: Anfang 2007?

• erweiterte Authentifizierungsfunktionalität

• Single Logout (technisch schwer umzusetzen!)

• Java Service-Provider

• Schnittstelle für ShARPE/Autograph

• Verbessertes IdP Discovery-Verfahren?

• Delegation (WS Federation?)

• Einbindung nicht webbasierter Dienste


Weitere Informationen

• AAR-Webseite: http://aar.vascoda.de/

• AAR-Team: [email protected]

• Nächster AAR-Workshop:10. Oktober 2006 in Freiburg

Vielen Dank für Ihre Aufmerksamkeit!

Authentifizierung, Autorisierung und Rechteverwaltung Shibboleth: Verteilte Authentifizierung,...

Documents

Transcript of Authentifizierung, Autorisierung und Rechteverwaltung Shibboleth: Verteilte Authentifizierung,...