Stefan Brandl, Universität Regensburg 1

Der Rechteserver

Der Rechteserver

Stefan Brandl, Universität Regensburg 2

Der Rechteserver

Warum einen Rechteserver?

„Über Shibboleth werden lediglich Benutzerattribute ermittelt und es bleibt dem Server des Dienstanbieters überlassen, aus diesen Attributen konkrete Rechte an den Ressourcen abzuleiten.„(Petra,Schröder 2005)

Stefan Brandl, Universität Regensburg 3

Der Rechteserver

Was soll der Rechteserver leisten?

•Treffen und durchsetzen von Access-Control Aussagen.

•Treffen von Rechteaussagen anhand von erhaltenen Attributen.

•Zentrale Verwaltung von Lizenzaussagen.

Stefan Brandl, Universität Regensburg 4

Der Rechteserver

Vorteile beim Einsatz eines Rechteserver:

•Zentraler Anlaufpunkt für die Rechteverwaltung

•Erleichterung der Rechteverwaltung für Anbieter

•Erleichterung der Attributverwaltung für Einrichtungen

•Eingabe und Kontrolle von Rechten durch Anbieter und Einrichtungen

•Manifestation von Federationaufgaben

Stefan Brandl, Universität Regensburg 5

Der Rechteserver

Welche Informationen benötigt der Rechtesserver?

•Wer will auf eine Ressource zugreifen?

•Wer „besitzt“ die Ressource?

•Um welche Ressource handelt es sich?

Subjekt

Provider

Ressource

Stefan Brandl, Universität Regensburg 6

Der Rechteserver

Die Universitätsbibliothek Regensburg hält bei dem Datenbank-Anbieter FIZ-Technik ein Abonnement für die Datenbank BEFO.Der Datenbankserver von FIZ-Technik fragt am Rechteserver an, ob der Benutzer mit dem Attribut Mitglied der Universität Regensburg (de.uni-regensburg) das Recht hat auf die Datenbanken

BEFO zuzugreifen.

Der Rechteserver

Authentifizierung beim IdP

Attributermittlung beim IdP

Zugriff zur Ressource beim SP

Ermittlung der Rechte beim Rechteserver

Eingliederung in Shibboleth-Prozess

Stefan Brandl, Universität Regensburg 8

Der Rechteserver

Identity Provider Service Provider

Rechte Provider

AA

Webserver

SHAR

Ressource

PDP(Policy Decision Point)

Data SynchronisationService

Com-Module

Policy AdministrationInterface

Service AdministrationInterface

Data Connector

Stefan Brandl, Universität Regensburg 9

Der Rechteserver

Informationsfluss:

1. Die AA sendet ein Statement mit einem Subjektattribut und der angeforderten Ressource an den SP.

2. Der Webserver des SP spricht das Kommunikationsmodul an und übergibt dabei die Attribute.

3. Das Kommunikationsmodul erstellt eine Anfrage aus erhaltenen Attributen und der Providerinformation.

4. Der PDP wertet die Anfrage aus und sendet eine Antwort.

5. Das Kommunikationsmodul prüft, ob es sich um eine Access-Control-Entscheidung handelt und setzt diese gegebenenfalls durch.

6. Ansonsten wird die Rechteaussage in den HTTP-Header geschrieben und der Verarbeitungsprozess des Webservers fortgesetzt.

Stefan Brandl, Universität Regensburg 10

Der Rechteserver

Realisierung der einzelnen Komponenten

•Com-Modul realisiert als DSO-Modul für Apache.

•PDP realisiert als Java-Komponente (JRE 1.4.1)

•Policy Administration Interface als Webinterface unter PHP 4.

•Data Synchronisation ???

•Data Connector ???

Stefan Brandl, Universität Regensburg 11

Der Rechteserver

Stefan Brandl, Universität Regensburg 12

Der Rechteserver

Offene Fragen des Projektes:

•Welche Sprache soll zur Kommunikation zwischen Kommunikationsmodul und Rechteserver dienen?

•Ist eine Komponente zur Synchronisation von Ressourcendaten notwendig?

•Welche Informationen soll oder kann ein Provider zusätzlich bieten um Rechteentscheidungen zu ermöglichen?

•Sollen Namensräume für Rechteaussagen definiert werden?

Stefan Brandl, Universität Regensburg 13

Der Rechteserver

Kontakt:

Gerald Schupfner:

gerald.schupfner@bibliothek.uni-regensburg.de

Stefan Brandl:

stefan.brandl@bibliothek.uni-regensburg.de