FACHBEITRÄGE

Authentifizierung undAutorisierung mit Shibbolethin der Föderation DFN-AAI

Franck Borei, Jochen Lienhard, Bernd Oberknapp, Ato Ruppert, Gerald Steilen

IP-Adresskontrolle wirdheute trotz vieler damitzusammenhängender Fragenimmer wieder eingesetzt, umDienstangebote Im Internet vornicht gewünschten Zugriffenzu schützen. Eine Shlbboleth­basierte Authentlflzlerung undAutorlslerung Im Rahmen derFöderation DFN-AAIbietet eineAlternative, die alle Probleme derIP-Kontrolle vermeldet und zudemnoch ein Single SignOn-Verfahrenanbietet. Im vorliegendenArtikel wird der Aufbau derFöderation DFN-AAIfür diewissenschaftlichen Einrichtungenin Deutschland beschriebenund an mehreren Beispielenerläutert, wie die Arbeitsweisedes Verfahrens Shlbboleth Istund welche Möglichkeitensich für Betreiber, Nutzer undDienstanbieter bieten.

Grenzen der IP-Adresskontrolle

zur Authentifizierung

In vielen Fällenwird heute noch die IP-Adres­

se eines PC zur Feststellung herangezogen,ob ein Dienst für Nutzer einer Einrichtungfreigegeben ist oder nicht. DiesesVerfahren

mag zunächst einfach erscheinen, bei nähe­rem Hinsehen zeigen sich aber deutlicheSchwächen: Die IP-Adressedefiniert ledig­lich den Standort eines Pe. Über den Nut­

zer und dessen Rechtesagt sie nichts aus. Esfindet keine wirkliche Authentifizierung undAutorisierung statt. Dies ist mit Blick auf dieNutzungsverträge problematisch, wird aber

von den Dienstanbietern mangels Alternati­ven hingenommen. Bei kleineren Hausnet­zen ist der IP-Adressbereich einer Einrich­

tung eine überschaubare Angelegenheit.Bei großen Einrichtungen, wie z.B. Univer­sitäten mit zusätzlich angegliederten Zen­tren wie Kliniken und Forschungseinrich­

tungen, ist eine solche Adressliste aber langund unübersichtlich. Diese Liste aktuell zu

halten ist aufwändig. Sie nach einer Korrek­tur an hunderte Dienstanbieter weiterzu­

leiten wird dann leicht zum Alptraum. Ein

weiteres großes Problem ist die Ortsbin­dung, die durch die Nutzung der IP-Adres­

se zur Authentifizierung vorliegt. Esist heu­te selbstverständlich, dass auch außerhalb

der Einrichtung die eigene Arbeit fortge­führt wird, sei es daheim oder auf (Dienst-)

Reisen. Preiswerte DSL-Anschlüsseermögli­

chen den Zugang zu den gewohnten Res­sourcen auch außerhalb der Universität. Um

diese Ortsbindung der IP-Adresseaufzuhe­ben müssen zusätzliche Verfahren wie VPN

oder Proxies eingesetzt werden. Hierzu sindKonfigurationsänderungen am eigenen PCerforderlich, die den Nutzer überfordern.Letztlich kann diese Technik auch zunich­

te gemacht werden, wenn der eigene Netz­

anschluss hinter einer Firewall liegt oderaus netztechnischen Gründen den Eintrageines speziellen Proxies erfordert. Rewri­ting Proxies (z.B. HAN-Server', EZProxy2)

sind je nach Anzahl einzutragender Diens-

te und deren Zieladressen für die Betreiber

aufwändig zu pflegen und versagen letzt­lich bei Linksvon Dienstanbietern auf ande­

re Dienstanbieter (sog. Reference Linking).Vor diesem Hintergrund wurde im Januar2005 das Projekt "Authentifizierung, Auto­

risierung und Rechteverwaltung3 (AAR)" ander UB Freiburg begonnen.

Von der lokalen Anwendung zurdeutschlandweiten Infrastruktur

Ziel des AAR-Teams war der Aufbau einerdeutschlandweiten Infrastruktur zur ein­

richtungsübergreifenden Authentifizierungund Autorisierung von Web-Angeboten.

Die Grundlage dieser Arbeit war die OpenSource Software Shibboleth4• Ausschlagge­bend für diese Festlegung war zum einen,dass Shibboleth auf international aner­kannten Standards aufbaut und zum ande­

ren, dass bereits zu Projektbeginn weltweiteine große Anzahl von Hochschulen, For­schungseinrichtungen und auch Dienstan­

bietern gab, - hier insbesondere Verlagemit elektronischen Angeboten im Internet- die diese Software unterstützten. Shib­boleth basiert auf einem föderalen Ansatz:

Die Einrichtung authentifiziert die (eige­nen) Nutzer und der Dienstanbieter prüftdie Berechtigung und gibt entsprechend

den Dienst frei. Hierzu werden ihm geeig­nete Informationen, so genannte Attributezur Verfügung gestellt, die ja nach Anforde­rung an den Dienst anonym oder pseudo­nym sind. (Zum Ablauf der Verfahrens ver­gl. auch Abb. 1.)Länder wie die Schweiz (SWITCH5) undFinnland (HAKA) haben Shibboleth evalu­

iert und schnell mit großem Erfolg flächen­deckend eingesetzt. (Heute ist Shibbolethde facto die Standardsoftware zur Authenti­

fizierung und Autorisierung im Bereich For­schung und Wissenschaft.)Nach dem Vorbild der Schweizer Föderati­

on, die von SWITCH, dem Schweizer For­

schungsnetz betrieben wird, übernahmnach nur wenigen Gesprächen der Ver-

B.I.T.online 12 (2009) Nr. 3 •

Borel / Lienhard / Oberknapp / Ruppert / Steilen.

Wie funktioniert Shibboleth?

Nach einer Pilotphase konnte die Födera·tion im November 2007 den Regelbetriebaufnehmen. Schon nach kurzer Zeit waren

die ersten Hochschulen und auch die ers­

ten internationalen Anbieter Mitglied in derFöderation.

Der Weg zur deutschlandweiten Föderationsetzte Öffentlichkeitsarbeit voraus: In über

100 Vorträgen auf Kongressen, speziellenVeranstaltungen in Hochschulen, verschie­

denen Veröffentlichungen und regelmäßi­gen Workshops wurde das Thema bundes­weit verbreitet. Einrichtungen und Verlagewurden zur Teilnahme an Shibboleth moti­

viert. Workshops zu diesem Verfahren wer­den auch heute noch - unter dem Dach der

DFN-AAI-Föderation - weitergeführt.

Ende 2005 gingen in Freiburg die erstenlokalen Anwendungen (z.B. das Server­

überwachungssystem Nagios, Backupser­ver, Standortkatalog etc.) mit Shibboleth inden Realbetrieb über. Als erste einrichtungs­übergreifende Anwendung wurde das Por­talsystem ReDI (Regionale Datenbank Infor­

mation9) auf Shibboleth umgestellt.Dieses Portal ist ein regionaler Dienst desLandes Baden-Württemberg für alle dem

Ministerium für Wissenschaft, Forschungund Kunst nachgeordneten Institutionen.Darüber hinaus werden auch Institutio­nen außerhalb des Landes mit Dienstleis­

tungen versorgt. ReDI wurde im Jahr 1999in Betrieb genommen und bietet heuteZugang zu über 700 bibliographischen undFaktendatenbanken. Etwa die Hälfte davon

sind Angebote externer Dienstanbieter und

Verlage. Die andere Hälfte sind Windows­basierte Dienstangebote, die auf eigenenServern betrieben werden. Über 60 Ein­

richtungen nutzen die Angebote von ReDI,jeweils lizenziert in einem eigenen, einrich­

tungsspezifischen Portfolio. Von Beginn anwar in ReDIein Authentifizierungsverfahrenimplementiert, das auf den lokalen Benut-

bei Ausgabe und Verwaltung von Zerti­fikaten im DFN-CERP-Bereich lag hier

großes Knowhow vor.

• Die organisatorischen und rechtlichenFragen wurden vor allem in der DFN­Zentrale in Berlin bearbeitet. Bei den

Vertragswerken standen die bereitseingeführten "legal frameworks" derSchweizer Föderation SWITCH-AAI zur

Verfügung und konnten in relativ kur­zer Zeit auf deutsches Vertragsrechtadaptiert werden. Da mit Shibboleth eininternational eingesetztes Verfahren zurAnwendung kommt, erfolgt auch eineregelmäßige Vertretung der DFN-AAI in

europäischen Gremien.

Das Portal ReDI

Ja

Anbieter

oZugriff••DmI

Nein

o 8a

Shibboleth-Sitzungvorhanden?

8

Authentifizierungs­Anfrage

~

Berlin, wurde die Föderation unter dem

Namen DFN-AAI7 technisch, organisato­

risch und rechtlich aufgebaut. Einige Detailsdieser recht zeitaufwändigen Arbeit sollenhier kurz dargestellt werden:• Dastechnische Umfeld für den regulären

Betrieb, die Testumgebungen, die Ver­waltung der Metadaten der Teilnehmer,Informationen für die Beitrittsverfah·ren u.a.m. wurden von den DFN-Kolle­

ginnen und Kollegen in der AußensteIle

Stuttgart implementiert. Essoll hier aucherwähnt werden, dass die komplexenAufgaben im Zusammenhang mit derVerwaltung und Erteilung von Zertifika­

ten für die gesicherten Übertragungs­wege der Shibboleth-Komponenten vonden DFN-Kollegen in Hamburg gelöstwurden. Durch die langen Erfahrungen

--. Hintergrundkommunikation

o

o

Discovery­Service

Schritte 1 - 8 (ohne 2a)Schritte 1, 2a, 8bei einem anderen Anbieter:Schritte 1, 2, 4, 5, 7, 8

AuthN &

Attributei.

--. interaktive Auswahl

~

0~ILOg;nl

• Erstkontakt :• Zweitkontakt :• Erstkontakt

8enutzerin

Heimateinrichtung

Abbildung 1:o Die Nutzerin versucht auf eine geschützte Ressource zuzugreifen.f} und f}a) Der Anbieter prüft, ob die Nutzerin bereits auf eine andere Res-

source bei ihm zugegriffen hat.

~ Die Nutzerin wird gefragt, zu welcher Einrichtung sie gehört.

€» teil dem Anbieter das Ergebnis der Auswahl mit, so dass er in

o die entsprechende Authentifierung anfordern kann.

o Die Nutzerin muss sich gegenüber ihrer Heimateinrichtung authentifieren(meist mit Nutzername und Passwort).

& Die Heimateinrichtung schickt an den Anbieter die notwendigen Attribute

für den Zugriff(i) Der Anbieter prüft die Attribute und gibt die Ressource frei

ein zur Förderung eines Deutschen For­

schungsnetzes (DFN-Verein6) Ende 2005diese zukunftsweisende Aufgabe, die fürden Betrieb von Shibboleth im internatio­

nalen Bereich notwendig ist.Im Rahmen von Shibboleth stellt die Föde­

ration für die beteiligten Einrichtungenund Dienstanbieter die Vertrauensinstanz

dar, die sicherstellen muss, dass die betei­

ligten Systeme alle nach einheitlichen undüberprüfbaren Regeln zusammenarbeiten.Um diese zentrale Aufgabe erfüllen zu kön­nen müssen nicht nur organisatorische undtechnische Regeln aufgestellt und techni­sche Dienste betrieben werden, es muss

auch ein rechtlich verbindlicher Vertrags­

rahmen zur Verfügung stehen, der die Teil­nehmer auf die vereinbarten Regeln ver­pflichtet. Gemeinsam mit dem DFN-Verein

• Borel/ Lienhard / Oberknapp / Ruppert / Steilen

Ci:~a

~.

~~'"~3~a

Die erfolgreiche Einführung von Shibbo­leth auf internationaler Ebene macht man­

che Anwendungen erst möglich. So wird imRahmen der Nationallizenzen 11 eine Such­

maschine entwickelt, die ohne Shibbolethin dieser Form nicht denkbar wäre.

Zum Hintergrund: Innerhalb der über­

regionalen wissenschaftlichen Literatur­versorgung finanziert die Deutsche For­schungsgemeinschaft (DFG) im Projekt

Nationallizenzen seit 2004 den Erwerb digi­taler Publikationen. Dadurch erhält jederNutzer mit ständigem Wohnsitz in Deutsch­land kostenfreien Zugang zu wissenschaft­licher Literatur und Quellenwerken - über­

wiegend Beiträge aus Zeitschriften und

Monographien. Auf Grund der großenAnzahl von Einzelnachweisen in der Grö­

ßenordnung von über 50 Millionen Titelnmit etlichen 100 Millionen digitalen Text­seiten arbeitet das Entwickler-Team bei der

Verbundzentrale des Göttinger Bibliotheks­verbundes (VZG) derzeit an einem eigenenRecherchesystem mit dem Namen "Such­kiste". Das Suchmaschinenprojekt12 hat im

August 2008 begonnen und wird im Juli2011 abgeschlossen sein. Eine erste Versiondes Prototypen ist bereits öffentlich zugäng­

lich13. Ende diesen Jahreswird eine produk­tive Version mit einer von der HTW Chur

Nationallizenzen und

Personalisierung mit vuFind

Universität haben. Für Mitarbei­

ter des Klinikums sieht das jedochanders aus, da sie auf jeden Falleine Benutzerkennung im Klini­kum haben, aber auch eine Ken­

nung im Rechenzentrum habenkönnen. Auch Nichtangehörigeder Universität, z.B. Stadtnutzerder Bibliothek, können den Dienst

myLogin nutzen. Bei diesen muss­te jedoch darauf geachtet werden,dass sie nur innerhalb der Räum­lichkeiten der Bibliothek die Nut­

zungsrechte für lizenzierte Inhaltehaben (sog. Walkln-Patrons).Zum Aufbau des Dienstes myLo-gin mussten eine Reihe vonAbsprachen zwischen Universi­

tätsieitung, Klinikleitung, Rechen­zentrum, Verwaltung und Biblio­thek getroffen werden. Auch derPersonalrat war an der Einfüh­

rung desVerfahrens zu beteiligen.Dieser Prozess war im Oktober

2007 soweit abgeschlossen, dasseine erste Version in Betrieb ging.

Wegen der steigenden zentralen Bedeu­

tung des Dienstes wurde das System bisMärz 2008 auf ein hochverfügbares Server­cluster umgestellt.

LOAP

Klinikrechen­

Zentrum

Klinikum

EinmaligeAuthentifizierung

gegen dasIdM System

SAP - System

:;;:::=-

HIS - Systeme

:.=-......:.:=_ ..=.':"'...=::..-:.::--= ••

Der lokale Dienst myLogin

Die positiven Erfahrungen mit Shibbo­leth im Zusammenhang mit dem DienstReDI und anderen kleineren Dienstange­boten weckten an der Universität Freiburgden Wunsch, Shibboleth für viele Anwen­

dungen für Studierende und Mitarbeite­rinnen einzusetzen. Aus dieser Idee heraus

entstand der Dienst myLogin1o: Ziel war es,den Nutzerinnen und den Nutzern verfüg­bare Dienste der Universität mit einer ein­

maligen Authentifizierung zur Verfügungzu stellen. Dieses zentrale Login sollte vorallem auch im Corporate Design der Uni­versität Freiburg erscheinen, um einenhohen Wiedererkennungseffekt zu erzielen.Die Schwierigkeit bei großen Einrichtungen,wie einer Universität, ist, dass einige Nutzermehr als eine Identität haben. In Freiburgzum Beispiel gibt es sogar drei Möglichkei­ten (vergl. auch Abb. 2, Der lokale Dienst

myLogin). Für die Studierenden ist die Aus­wahl in der Regel einfach, da sie nur eineBenutzerkennung im Rechenzentrum der

der Verlage, insbesondere der internationalauftretenden, sehr groß war. Bei persön­lichen Besuchen wie auch in Telefon- und

Videokonferenzen wurden die spezifischenFragen der Anbieter besprochen und oft inkurzer Zeit gelöst. Die große BereitschaftShibboleth zu unterstützen wird auch

dadurch deutlich, dass einzelne Anbieter

das ReDI-Portal schon zu einem Zeitpunktvia Shibboleth freischalteten, zu dem dieFöderation DFN-AAI zwar im Aufbau, aber

noch nicht arbeitsfähig war.

LDAP

~BiBer

Rechen-.' Bibliothek

Zentrum

~~/t

Rektorat

Der Dienst mylogin der Universität FreiburgSingle-SignOn mit Shibboleth

Ein Login für alle Dienste

Hierfürwar eszunächst notwendig, dassalleReDI-Teilnehmereinen Shibboleth Identity­Provider(ldP) betreiben. Da zu diesem Zeit­

punkt, außer der UB Heidelberg und derUBFreiburg, keine weiteren ReDI-Teiineh­

mereigene Shibboleth Identity-Provider inBetriebgenommen hatten, wurden sie allein Freiburg installiert. Diese IdP nutzten die

bisherigen proprietären Verfahren gegen­überden lokalen Benutzerdatenbanken. So

wares bereits im April 2006 möglich ers­te Erfahrungen mit Shibboleth in einemlandesweitenund viel genutzten Dienst beieinemgroßen Anwenderkreis zu sammeln.

ImZugeder Umstellung von ReDIauf Shib­bolethwurde natürlich nicht nur die loka­

le Seite, also die Seite der Einrichtungen,behandelt sondern vor allem auch Kon­

taktmit den Verlagen aufgenommen. Dieserwiessich als eine sehr interessante Aufga­

bensteilung, da die Teilnahmebereitschaft

Die Entscheidung fiel zugunstendes zweiten Ansatzes

8.1.T.onlin. " (2009) N,. 3 R_

zerdatenbanken der Institutionen

basierte.Allerdings war für jede Ins­titution ein speziellesVerfahren ein-gerichtet, das bei Änderungen lau­

fend gepflegt werden musste. DiePflege dieser proprietären Authen­tifizierungsprotokolle kostete vielZeit. Bei manchen Anbietern wur­

den zudem (um die Problematik der

Ortsbindung der IP-Kontrolle aufzu­heben) spezielle Login-Prozedurenimplementiert, die mit verdecktenPassworten, Tickets und speziel­

ler Sitzungskontrollen die Authen-tifizierung realisierten. Auch dieseVerfahren waren änderungsinten-sivund daher aufwändig in der Pfle-ge. Es lag also nahe ein System zusuchendas zum einen die Wünscheeiner Institution nach einer hausei-

genen Authentifizierung - gleichwelcher Art - unterstützt und zumandern den Nutzern eine siche-

re Authentifizierung und ortsunab- Abbildung 2hängige Verfügbarkeit sichert. Zumdritten mussten auch die Bedürf-

nisseder Dienstanbieter erfüllt werden, die

natürlich die Nutzung ihrer Angebote aufdenberechtigten Nutzerkreis eingeschränktsehenmöchten.

Fürdie Migration vom proprietären Authen­tifizierungs- und Autorisierungsverfahren zuShibboleth waren zwei unterschiedliche

Ansätzemöglich:• Shibboleth als weiteres Authentifizie­

rungsverfahren neben den bestehendeneinführen oder

• die bisherigen proprietären Verfahrenvollständig ersetzten

Borel / Lienhard / Oberknapp / Ruppert / Steilen _

(Schweiz) völlig neu konzipierten Oberflä­

che online gehen. Die Suchkiste baut mitder Oberfläche auf vuFind14 auf. vuFindbasiertim Backendauf Solr und Lucene15.

Die Suchkistemuss Lizenzrechte von über100 verschiedenenProdukten berücksichti­

gen. Ein Produkt kann jedoch unterschied­liche Lizenzbedingungen besitzen. So ist es

möglich, dass ein Produkt für Privatnutzernicht zu lizenzieren ist, wohl aber für Ange­hörige der Einrichtung A, für Angehörigeder Einrichtung B jedoch keine aktuellen

Ausgaben, sondern nur der Archivbereich(Moving Wall).Dem System unbekannte Nutzer können

generell nur über frei zugängliche Berei­che des Suchmaschinenindex recherchie­

ren. Ist eine Recherche über einen mög­

lichstgroßen Bereich des Index gewünscht,wird eine Authentifizierung gegenüber der

eigenen wissenschaftlichen Heimatbiblio­thek notwendig. Personen, die nicht durcheinewissenschaftliche Bibliothek Zugang zuNationallizenzen haben, können sich kos­

tenfrei bei einer virtuellen Heimatorgani­

sation (VHO) registrieren lassen16• Ist eineAuthentifizierung erfolgt, werden Lizenzin­formationen zu dieser Bibliothek aus einem

Lizenzverwaltungssystem geladen und die­sem Nutzer als Attribute zugeordnet. Somitbesitzt jeder Nutzer eine individuelle Aus­wahl an Attributen, die sowohl den Zugangzu bestimmten Bereichen des Suchmaschi­

nenindex als auch das Aufrufen der wissen­schaftlichen Dokumente erlauben.Dadurch unterscheiden sich die Sucher­

gebnisse für Nutzer, je nachdem ob er alsUnbekannter oder Nutzer der VHO oder

als Angehöriger einer bestimmten Einrich­

tung die Suchkiste verwendet. Individuel­le Nutzerrechte werden so bei jeder einzel­nen Recherche berücksichtigt, beeinflussen

die Sortierung und steuern den Zugang zugeschützten Objekten (z. B. Artikel einerZeitschrift). Nutzer mit unterschiedlichenRechten erhalten bei derselben Suchanfra­

ge immer unterschiedlich sortierte Treffer- Ergebnislisten, bei denen die ersten Tref­fer Direktzugang zu einem Objekt ermög­lichen. Könnte ein Nutzer theoretisch, z.B.

durch akzeptieren von lizenzbedingun­

gen andere Objekte auch nutzen, werdensie nach Relevanz ebenfalls in die Treffer­

liste einsortiert. Dies sind Dinge, die bishermit einer herkömmlichen Zugriffskontrol­le nicht oder nur schwer realisiert werdenkonnten.

Fürdie Zugriffskontrolle wird die schon vor­handenePersonalisierungvon vuFind erwei­tert: Das Entwickler-Team der VZG ent­

wickelt eine Schnittstelle, welche die von

Shibboleth zur Verfügung gestellten Infor­mationen über den Nutzer auswertet. Die­se Schnittstellesoll im nächsten Releasevon

B.I.T.online 12 (2009) Nr. 3

vuFind einfließen. Diese Lösung bietet eini­

ge Vorteile:• Esist keine Datenbank notwendig, in der

die Informationen gespeichert werden,zu welcher Gruppe oder Einrichtung derNutzer gehört. Eine Pflege der Benutzer­

daten übernimmt die Einrichtung selbstund die Suchkiste verwertet die Nutzer­

information für die Suchanfrage.• Durch die Verwendung von persisten­

ten Kennungen (Pseudonyme) kann derNutzer zudem sicher sein, dass niemand

seine über die Personalisierung gespei­cherten Suchabfragen zurückverfolgen

kann. Er bleibt pseudonym.• Der Nutzer kommt in den Genuss von

Single SignOn. Er kann z. B. in der Such­kiste nach einem Artikel suchen und denArtikel beim Anbieter einsehen ohne sich

dort noch einmal anmelden zu müssen.

Aktueller Stand und künftigeEntwicklungen

Heute, Stand August 2009, sind etwa 30Einrichtungen und 35 Dienstanbieter Mit­glieder der Föderation DFN-AAI. Etwa 90weitere arbeiten in der Testföderation an

eigenen Implementierungen um diese deninternationalen Standards anzupassen. AusSicht der Bibliotheken kann heute festge­stellt werden, dass die "kritische Masse"an Dienstanbietern überschritten ist. Aberauch andere Dienstleister authentifizieren

heute schon ihre Angebote mit Shibboleth:E-Learning, Software- und Hardwarevertei­

lung und Grid-Projekte sind ebenfalls Mit­glieder.Die Zahl der teilnehmenden Einrichtun­

gen, also Hochschulen und Forschungs­einrichtungen, ist im Vergleich mit denüber 300 Mitgliedern des DFN-Vereins mitrund 30 noch relativ gering. Der Grundhierfür liegt nicht im mangelnden Interes­se, sondern vielmehr in der Voraussetzungfür den Einsatz von Shibboleth, dem loka­

len Identitäts-Managementsystemen (ldM).Die Standards, die hier zur Teilnahme an

der DFN-AAI erfüllt werden müssen, rich­

ten sich nach den internationalen Vorga­ben und können daher nicht unterschrittenwerden.

Heute liegen bereits Anfragen aus demBereich der öffentlichen Bibliotheken vor.

Im Rahmen des Dienstes "Onleihe17" bie­

ten auch Verlage ihre elektronischen Diens­te an. Die Deutsche Wissenschaftsföderati­on DFN-AAI kann für diesen Nutzerkreis die

Dienste nicht anbieten. Es gilt also einendeutschlandweit aktiven Dienstanbieter füröffentliche Bibliotheken zu finden und zu

motivieren. ErsteGespräche haben stattge­funden.

Schluss bemerkung

Rückblickend auf die Zeit ab Januar 2005

kann gesagt werden, dass die Einführungvon Shibboleth - ein international bereits

etabliertes Verfahren - und der Aufbau derDeutschen Wissenschaftsföderation DFN­

AAl ein wichtiger und richtiger Schritt war.Dies wird vor allem durch die große undoft unkomplizierte Teilnahmebereitschaftkommerzieller Dienstanbieter im Biblio­theksbereich deutlich. Im internationalen

Umfeld zeigt sich, dassdie Nutzung födera­tiver Dienste die Zusammenarbeit deutlich

erleichtert. Erste Kooperationsverfahren,vor allem mit der Schweizer Föderation, zei­

gen dies. Das eingangs erwähnte ProjektAAR ist seit Juni 2008 abgeschlossen, kei­

neswegs aber die Arbeit an der weiterenEinführung von Shibboleth. Diese wird heu­

te unter Federführung der DFN-AAI mit gro­ßem Engagement weitergeführt.

Literaturangaben und Referenzen1 http://www.hh-software.com/hh2003/index.cfm/

ly/1/O/HANl00/0/50,HANl 00/16$.cfm2 http://www.oclc.org/de/de/ezproxy/default.htm3 Das Projekt Authentifizierung, Autorisierung und

Rechtekontrolle AAR wurde vom BMBF unter

der Projektkennung 01(5958 im Zeitraum vom1.1.2005 bis 30.6.2008 gefördert.

4 http://shibboleth.internet2.edu/5 http://www.switch.ch/aai/6 http://www.dfn.de/7 http://www.aai.dfn.de/8 http://www.cert.dfn.de/9 http://www.redi-bw.de/10 http://mylogin.uni-freiburg.de/11 https://www.nationallizenzen.de/12 http://blog.nationallizenz.de/2008/09/15/das-

projekt/13 https://finden.nationallizenz.de/14 http://www.vufind.org/15 http://lucene.apache.org/16 https://www.nationallizenzen.de/anmeldung/

privatpersonen/ s/ind jnform _registration17 http://www.bibliothek-digital.net/

- AUTOREN

DR. JOCHEN LIENHARDIienhard@ub.uni-freiburg.deSystementwicklungBERND OBERKNAPP

bo@ub.uni-freiburg.deWissenschaftlicherLeiterReDI-Dienst

ATO RUPPERT

ruppert@ub.uni-freiburg.deLeiterITUniversitätsbibliothekFreiburgUniversitätsbibliothekFreiburgRempartstr.10-1679098FreiburgfRANCK BOREL

borel@gbv.deSystementwicklungGERALD STEILEN

steilen@gbv.deDigitaleBibliothekVerbundzentraledesGBV(VlG)DigitaleBibliothekPlatzder Göttinger Sieben137073Göttingen