Das Projekt AAR Authentifizierung, Autorisierung und Rechteverwaltung
description
Transcript of Das Projekt AAR Authentifizierung, Autorisierung und Rechteverwaltung
Das Projekt AAR Authentifizierung, Autorisierung und
Rechteverwaltung
Vorstellung des Projektes und Informationsaustausch
Saarbrücken, 03. Mai 2006
Franck Borel, UB Freiburg
Franck Borel, UB Freiburg 2
Übersicht
• Das Projekt AAR
• Was ist AAR?
• Wie funktioniert Shibboleth?
• Was ist eine Föderation?
• Shibboleth in Aktion
Franck Borel, UB Freiburg 3
Das Projekt AAR
• Partner: UB Freiburg und UB Regensburg
• finanziert durch das BMBF (PT-NMB+F )• eingebettet in vascoda
• Laufzeit 3 Jahre bis Ende 2007:– 2 Jahre Entwicklungs- und Testphase mit
ReDI und vascoda als Pilotanwendungen– 1 Jahr Unterstützung von Einrichtungen und Anbietern
bei der Einführung des Systems
Franck Borel, UB Freiburg 4
Das Projekt AAR
Was wollen wir erreichen?• Nutzer
– Der Zugriff auf lizenzierte Inhalte soll unabhängig vom gewählten Arbeitsplatz und dem Zugriffsweg möglich sein.
– Alle lizenzierten Inhalte sollten nach nur einmaliger Anmeldung zur Verfügung stehen (Single Sign-On).
• Einrichtungen (etwa Hochschulen)– Die Einrichtung soll ein beliebiges Authentifizierungssystem
wählen dürfen. Der Aufwand der Rechteverwaltung soll möglichst gering sein.
• Anbieter – Die lizenzpflichtigen Inhalte der Anbieter sollen vor
unberechtigten Zugriff geschützt werden.
Franck Borel, UB Freiburg 5
Was ist AAR?
• AAR ist eine Infrastruktur zur Authentifizierung, Autorisierung und Rechteverwaltung
• AAR ist ein Single Sign-On System, mit dem verschiedene Ressourcen mit einer einzigen Anmeldung genutzt werden können
• AAR basiert auf einem föderativen Ansatz:Die Einrichtung verwaltet und authentifiziertihre Mitglieder und der Anbieter kontrolliertden Zugang zu seinen Ressourcen
• AAR baut auf Shibboleth (Internet2-Projekt) auf• AAR ergänzt Shibboleth um einen Rechteserver
Franck Borel, UB Freiburg 6
Woher kommt „Shibboleth“?
• Hintergrund ist eine Stelle aus dem Alten Testament, Buch Richter Kapitel 12 Vers 5ff:– Und die Gileaditer nahmen ein die Furt des Jordans vor
Ephraim. Wenn nun sprachen die Flüchtigen Ephraims: Laß mich hinübergehen, so sprachen die Männer von Gilead zu ihm: Bist du ein Ephraiter? Wenn er dann antwortete: Nein, so hießen sie ihn sprechen: Schiboleth, so sprach er: Siboleth, und konnte es nicht recht reden. So griffen sie ihn und schlugen ihn an der Furt des Jordans, dass zu der Zeit von Ephraim fielen zweiundvierzigtausend.
• Shibboleth ist somit wohl das erste biometrische Autorisierungsverfahren gewesen
Franck Borel, UB Freiburg 7
Wie funktioniert Shibboleth?
• Shibboleth baut auf folgende Standards auf:– SAML 1.1 (später 2.0)
– HTTP/HTTPS
– XML
– XML Schema (XSD)
– XML Signatur (XMLDisg)
– SOAP
Franck Borel, UB Freiburg 8
Wie funktioniert Shibboleth?
Föderation
Heimat-einrichtung mit
Identity-Provider
Heimat-einrichtung mit
Identity-Provider
Anbieter mitService-Provider
Anbieter mitService-Provider
WAYFWAYF
AuthentifizierungAutorisierung
AuthentifizierungAutorisierung
Ressourcen-verwaltung, Zugangs-
berechtigung
Ressourcen-verwaltung, Zugangs-
berechtigung
Ordnet einen Benutzer seiner
Heimateinrichtung zu
Ordnet einen Benutzer seiner
Heimateinrichtung zu
Vertragspartner, Operator, rechtliche
Belange
Vertragspartner, Operator, rechtliche
Belange
Franck Borel, UB Freiburg 9
Wie funktioniert Shibboleth?
Benutzerin
Service-Provider
(4)(5) Benutzerin berechtigt?
(6)
(7)
(8) verweigertnein
(3)
(9)gestattet Zugriffja
Identity-ProviderIdentity-Provider
WAYFWAYF
Benutzerin bekannt?
ja
nein(2)
(1)
Franck Borel, UB Freiburg 10
Wie funktioniert Shibboleth?
AuthentifizierungAttribute
Authority (AA)Attribute
Authority (AA)
SSO DienstSSO
Dienst
Artifact Resolution
Service
Artifact Resolution
Service
Assertion Consumer
Service
Assertion Consumer
Service
Target ResourceTarget
Resource
Access
Contro
l
Access
Contro
l
Identity Provider
(4) 302
(3) GET
(8) 302
(5) GET
(10) 200(9) GET(2) 302(1) GET
(6) POST
(7) 200
Szenario: Erstkontakt ohne WAYF mit Browser/Artifact
Service Provider
BenutzerBenutzer
Franck Borel, UB Freiburg 11
Wie funktioniert Shibboleth?
• Sicherheitsmechanismen– SSL/TSL: Man-in-the-Middle, Message Modification,
Eavesdropping– XMLsig: Message Modification– Gültigkeitsdauer von Sitzungen, Bestätigungen,
Attributen (engl. Lifetime, TTL): Replay, DoS– Metadaten: DoS, Message Modification– Es werden keine personenbezogenen Daten übermittelt,
sondern Stellvertreter (engl. Handler): Eavesdropping
Franck Borel, UB Freiburg 12
Wie funktioniert Shibboleth?
• Authentifizierung: (Fast) beliebiges Verfahren (z.B. LDAP, Datenbanken, Kerberos, IBplus)
• Autorisierung und Zugriffskontrolle: Erfolgt über Attribute
Franck Borel, UB Freiburg 13
Wie funktioniert Shibboleth?
• Autorisierung:– Attribute bilden die Grundlage für Autorisierung
und Zugriffskontrolle in Shibboleth:• Identity-Provider stellen die notwendigen Attribute
für ihre Benutzer zur Verfügung.• Service-Provider werten die Attribute anhand ihrer
Regeln aus und gestatten oder verweigern je nachErgebnis den Zugriff.
– Hierfür sind Absprachen zwischen Identity- und Service-Providern notwendig, die durch Verwendung eines einheitlichen Vokabulars vereinfacht werden!
Franck Borel, UB Freiburg 14
Wie funktioniert Shibboleth?
• Autorisierung:– Attribute können personenbezogene Daten sein
(Beispiel: E-Mailadresse).– Bei Verwendung personenbezogener Daten sind die
(EU-) Datenschutzbestimmungen zu beachten!– Personenbezogene Daten dürfen nur dann
weitergegeben werden, wenn dies• für die Erbringung des Dienstes notwendig ist und
• der Benutzer der Weitergabe ausdrücklich zustimmt.
Franck Borel, UB Freiburg 15
Wie funktioniert Shibboleth?
• Autorisierung:– Schemata legen eine bestimmte Menge von Attributen, die
zulässigen Werte und deren Bedeutung fest.– Die für Shibboleth verwendeten Schemata basieren
üblicherweise auf eduPerson:• eduPerson (InCommon)• SwissEduPerson (SWITCH)• funetEduPerson (HAKA)
– Auch die deutschlandweite Föderation wird eduPerson als Basis für den Austausch von Attributen verwenden.
– Für einen Datenaustausch auf europäischer Ebene könnte SCHAC die Grundlage sein.
Franck Borel, UB Freiburg 16
Was ist eine Föderation?
Föderation
Einrichtung Anbieteren
Franck Borel, UB Freiburg 17
Was ist eine Föderation?
• Eine Föderation ist ein Zusammenschluss von Einrichtungen und (auch kommerziellen) Anbietern auf Basis gemeinsamer Richtlinien.
• Eine Föderation schafft das für Shibboleth notwendige Vertrauensverhältnis zwischen Einrichtungen und Anbietern und einen organisatorischen Rahmen für den Austausch von Benutzerinformationen.
• DFN und AAR bauen gemeinsam eine deutschlandweite Föderation auf
Franck Borel, UB Freiburg 18
Was ist eine Föderation?
Aufgaben einer Föderation sind:
• Vorgabe von Richtlinien (Policies)
• Verwaltung der Metadaten der Mitglieder
• Betrieb des Lokalisierungsdienstes
• Betrieb einer Zertifizierungsstelle
• Technischer Support
Franck Borel, UB Freiburg 19
Shibboleth in Aktion
• Ein paar Beispiele zu Diensten, die shibboleth-fähig gemacht worden sind:– ReDI (UB Freiburg): Produktionsphase
– Wiki (Ohio University): Produktionsphase
– Virtuelle Lernumgebung (Bodington.org): Produktionsphase
– Quicktime Streaming Server (Darwin Streaming Server): Produktionsphase
– Datenbank (EBSCO Publishing): Produktionsphase
– Napster: Produktionsphase
– E-Learning (OLAT Schweiz): Produktionsphase
Franck Borel, UB Freiburg 20
Ich danke Ihnen für Ihre Aufmerksamkeit!
Fragen?