Ein Single-Sign-On-Verfahren für virtuelle Fachbibliotheken und FIDs am Beispiel von CrossAsia. Seite 1

Ein Single-Sign-On-Verfahren für virtuelle Fachbibliotheken und FIDs am Beispiel von CrossAsiaGerrit GragertMatthias Kaun

09.03.2016

Seite 209.03.2016Ein Single-Sign-On-Verfahren für virtuelle Fachbibliotheken und FIDs am Beispiel von CrossAsia.

CrossAsia – Fachinformationsdienst Asien Ostasien, Zentralasien und Südostasien = SBBSüdasien = UB und SAI der Uni Heidelberg

Informationsressourcen: Aufbau und Bereitstellung (Aktionsfeld 1)

Weiterentwickelung des Blauen Leihverkehrs‒ Stärkere Bedarfsorientierung‒ Optimierung der Direktversorgung‒ PDA Modelle für Print- und E-Medien‒ Digitalisierung on Demand

Steuerung und Anbindung‒ CrossAsia Suche mit Anbindung an Blauen Leihverkehr inkl. PDA-Bestellerweiterung‒ Weiterentwicklung der CrossAsia Lizenzen ‒ Volltextindex-Zugriff für nicht lizenzierte

E-Books: gedruckt vs. elektronisch‒ Digitale Bibliothek für DoD

Seite 309.03.2016Ein Single-Sign-On-Verfahren für virtuelle Fachbibliotheken und FIDs am Beispiel von CrossAsia.

CrossAsia – Fachinformationsdienst AsienContent Management, Forschung und Entwicklung (Aktionsfeld 2, 3, 4)

Elektronisches Publizieren im Open Access‒ Hosting von E-Journals, E-Monographien / Serien

Erweiterung und Optimierung der CrossAsia Suche‒ Aufbau des PDA Index mit Schnittstelle zum Leihverkehr‒ Einbindung von Ontologien, Wörterbüchern, Thesauri ‒ Optimierung des Suchergebnis-Rankings und der Anzeige

Infrastruktur für Meta- und Volltextdaten (ITR)‒ vom Informationsversorger zum Daten- und Textlieferanten über WWW & Schnittstellen‒ Vorbereitung auf Anforderungen im Kontext Digitaler Geistes- und Sozialwissenschaften‒ Rechtemanagement – Versionierung – Entwicklung von Ingest-Verfahren – Schnittstellen

zur Nutzung und Datenübertragung – OCR von nicht-lateinischen Schriften als Anwendungsszenario und Aufgabe für ITR

Seite 409.03.2016Ein Single-Sign-On-Verfahren für virtuelle Fachbibliotheken und FIDs am Beispiel von CrossAsia.

CrossAsia – Fachinformationsdienst AsienVernetzung, Rückkoppelung und Sicherung der Nachhaltigkeit (Aktionsfeld 5, 6)

Engere Vernetzung von Forschung, Interessengruppen & Infrastruktur‒ Wissenschaftlicher Fachbeirat‒ Kooperation (z.B. MPI-WG)‒ Aktive Teilnahme an Fachtagungen & Kongressen‒ Nutzerschulungen bzw. Webinare und How-to Präsentationen‒ Workshop‒ CrossAsia Forum, Newsletter & Umfragen (inkl.

social media)

CrossAsia verwaltet ca. 7.000 NutzerInnen aus ca. 100 verschiedenen Instituten, von denen im Durchschnitt pro Jahr 2.100 die lizenzpflichtigen Inhalte nutzen können

Seite 509.03.2016Ein Single-Sign-On-Verfahren für virtuelle Fachbibliotheken und FIDs am Beispiel von CrossAsia.

Authentifizierung / Autorisierung im FID-Umfeld

• Unerwünscht: Mehrfacher Login bei Heimateinrichtung / FID

• Etablierte Lösung: Shibboleth• Web-basiertes Single-Sign-On-Verfahren (SSO)• Idee: einmal anmelden bei der Heimateinrichtung, Zugriff

auf alle berechtigten Ressourcen egal wo

Wo kommst Du her?(WAYF = Lokalisierungsdienst)

Zugriff auf Datenbank

Auswahl

Login

Identitätbestätigt

BerechtigungenWas darf er? Zugriff: ja

Zugriff: nein

Seite 609.03.2016Ein Single-Sign-On-Verfahren für virtuelle Fachbibliotheken und FIDs am Beispiel von CrossAsia.

Universität

Informationsanbieter

Authentifizierung / Autorisierung im FID-Umfeld

• Einzig die Heimateinrichtung legt Eigenschaften (Attribute) der NutzerInnen fest

• NutzerInnen können i.d.R. festlegen, welche Attribute freigegeben sind

• Diese werden von der Heimateinrichtung an den Inhaltsanbieter übermittelt

• Bei lizenzierten Ressourcen i.d.R. das entitlement-Attribut mit dem Wert common-lib-terms (campusweite Lizenz)

Seite 709.03.2016Ein Single-Sign-On-Verfahren für virtuelle Fachbibliotheken und FIDs am Beispiel von CrossAsia.

Authentifizierung / Autorisierung im FID-Umfeld

• FID-Lizenzen: unabhängig von Heimateinrichtung• Eingeschränkter NutzerInnenkreis• Sehr variabel (Institutsmitglieder, Fachgesellschaften,

Teilmengen)• Heimateinrichtung weiß nichts von der Berechtigung für

FID-Lizenz

Seite 809.03.2016Ein Single-Sign-On-Verfahren für virtuelle Fachbibliotheken und FIDs am Beispiel von CrossAsia.

Lösungsansatz in CrossAsia

• Der FID vergibt die Berechtigungen• Der FID muß die Berechtigungsattribute vergeben• Der FID muß seine NutzerInnen kennen• Aber: der FID kann und soll kein eigenständiger IdP sein

• NutzerInnen bekämen zweite digitale Identität in der Föderation (nicht erlaubt / erwünscht)!

• Kein doppelter Login in einer Sitzung möglich!• NutzerInnen könnten nicht Angebote der Heimateinrichtung und

des FIDs gleichzeitig nutzen!

Seite 909.03.2016Ein Single-Sign-On-Verfahren für virtuelle Fachbibliotheken und FIDs am Beispiel von CrossAsia.

Lösungsansatz in CrossAsia

• Idee: NutzerInnen registrieren Ihre Heimatidentität beim FID

• Anbieter / xA-Proxy erhält zusätzlich Berechtigungs-Attribute vom FID zu denen der Heimateinrichtung (Attributkummulation)

• xA kann somit Zugriffsberechtigungen auf lizenzierte Ressourcen unabhängig von Heimateinrichtung steuern

• Dazu Betrieb eines sog. Attribute Providers

Seite 1009.03.2016Ein Single-Sign-On-Verfahren für virtuelle Fachbibliotheken und FIDs am Beispiel von CrossAsia.

Heimat-organisation

ServiceProvider

FID(AttributeProvider) Registrierung

Speicherung ID

Login

Attributabfrage(zwingend: ID)

zusä

tzlic

he e

ntitl

emen

ts

(übe

r ID

)

Seite 1109.03.2016Ein Single-Sign-On-Verfahren für virtuelle Fachbibliotheken und FIDs am Beispiel von CrossAsia.

Lösungsansatz in CrossAsia

• xA betreibt IdP für NutzerInnen ohne Shibboleth-ID von Heimateinrichtung und alleinstehenden Attribute Provider

• Workflow: bestehende Registrierung / Profilverwaltung bei xA erweitert um Option „existierende Shibboleth-ID“

• Bei Aktivierung wird NutzerIn zum Login der Heimateinrichtung gesendet

• Von dort Übermittlung eindeutiger ID• ID wird in xA-Nutzerverzeichnis gespeichert• Ab dann nur noch Login bei Heimateinrichtung möglich +

zusätzliche Attribute vom xA-Attribute Provider

Seite 1209.03.2016Ein Single-Sign-On-Verfahren für virtuelle Fachbibliotheken und FIDs am Beispiel von CrossAsia.

Probleme

• Eindeutige, anbieterübergreifende ID notwendig• Theoretisch Tracking möglich Datenschutz!• Daher keine E-Mail-Adresse o.ä. nutzbar• Unser Vorschlag: eduPersonUniqueID

• Globale, eindeutige Kennung• Pseudonym, d.h. auf Person kann nicht direkt Rückschluß

gezogen werden• Kompromiss: NutzerIn gibt Zustimmung zur Freigabe

Seite 1309.03.2016Ein Single-Sign-On-Verfahren für virtuelle Fachbibliotheken und FIDs am Beispiel von CrossAsia.

Probleme

• Einfacher Wert (common-lib-terms) im entitlement reicht nicht mehr aus

• FID-Lizenzen können sehr verschieden sein• Ggf. variieren Berechtigte von Anbieter zu Anbieter• Planung: Eigener URN-Namespace für CrossAsia

Seite 1409.03.2016Ein Single-Sign-On-Verfahren für virtuelle Fachbibliotheken und FIDs am Beispiel von CrossAsia.

Probleme

• Abfrage Attribute-Provider Bestandteil Shibboleth-Standard• Im „original“ Shibboleth-Serviceprovider implementiert• Viele Content-Anbieter betreiben eigene Lösungen• Unsicher, ob Erweiterung technisch realisierbar• Alternative: Betrieb von shibboleth-fähigen Proxyserver

(EZProxy, HAN) unter Regie vom FID• Zusätzliche Infrastruktur notwendig

Seite 1509.03.2016Ein Single-Sign-On-Verfahren für virtuelle Fachbibliotheken und FIDs am Beispiel von CrossAsia.

Das war‘s – bis hierher

Seite 1609.03.2016Ein Single-Sign-On-Verfahren für virtuelle Fachbibliotheken und FIDs am Beispiel von CrossAsia.

Kontakt

Gerrit GragertStaatsbibliothek zu BerlinAbteilung IDM 2.3gerrit.gragert@sbb.spk-berlin.deTel. (030) 266 432 230

Matthias KaunStaatsbibliothek zu BerlinOstasienabteilungmatthias.kaun@sbb.spk-berlin.deTel. (030) 266 436 000

Seite 1709.03.2016Ein Single-Sign-On-Verfahren für virtuelle Fachbibliotheken und FIDs am Beispiel von CrossAsia.