Authentifizierung, Autorisierungund Rechteverwaltung

Shibboleth: Verteilte Authentifizierung,Autorisierung und Zugriffskontrolle für

elektronische Ressourcen

Österreichischer BibliothekartagBregenz, 20. September 2006

Bernd Oberknapp, UB FreiburgE-Mail: bo@ub.uni-freiburg.de

Bernd Oberknapp, UB Freiburg 2

Übersicht

• Das Projekt AAR• Warum AAR?• Was sind AAR und Shibboleth?• Wie funktioniert Shibboleth?• Warum Shibboleth?• Autorisierung und Zugriffskontrolle• Föderationen• Ausblick

Bernd Oberknapp, UB Freiburg 3

Das Projekt AAR

• Partner: UB Freiburg und UB Regensburg• finanziert durch das BMBF (PT-NMB+F)• eingebettet in vascoda (http://www.vascoda.de/)• Laufzeit zunächst 3 Jahre bis Ende 2007:

– 2 Jahre Entwicklungs- und Testphase mit der Regionalen Datenbank-Information Baden-Württemberg (ReDI) und vascoda als Pilotanwendungen

– 1 Jahr Unterstützung von Einrichtungen und Anbietern bei der Einführung des Systems

• Verlängerung bis Mitte 2008 vorgesehen

Bernd Oberknapp, UB Freiburg 4

Warum AAR?

• Bibliotheken kaufen Nutzungslizenzen für vielfältige elektronische Informationsangebote:Zeitschriften, Datenbanken, Bücher, ...

• Der Zugang zu den Informationsangeboten ist heute zum Teil nur eingeschränkt möglich(IP-Kontrolle, VPN, Proxies).

• Die Einbindung der Informationsangebote in das Angebot der Bibliotheken und ihre Verknüpfung (Stichwort: Reference Linking) ist teilweise sehr aufwendig.

Bernd Oberknapp, UB Freiburg 5

Warum AAR?

Ziel ist die Verbesserung und Vereinfachung desZugangs zu den Informationsangeboten:• Nutzer: Zugriff auf lizenzierte Inhalte unabhängig vom

gewählten Arbeitsplatz und dem Zugriffsweg, Zugriff auf alle Angebote nach nur einmaliger Authentifizierung (Single Sign-on)

• Einrichtungen: freie Wahl des Authentifizierungssystems, möglichst geringer Aufwand für die Rechteverwaltung

• Anbieter: Schutz der Inhalte vor unberechtigtem Zugriff, einfacheres Angebot von personalisierten Diensten

Bernd Oberknapp, UB Freiburg 6

Was ist AAR?

• AAR ist eine Infrastruktur zur Authentifizierung, Autorisierung und Rechteverwaltung.

• AAR ist ein Single Sign-on System, mit dem verschiedene Ressourcen mit einem einzigen Login genutzt werden können.

• AAR basiert auf einem föderativen Ansatz:Die Einrichtung verwaltet und authentifiziertihre Mitglieder und der Anbieter kontrolliertden Zugang zu seinen Ressourcen.

• AAR baut auf Shibboleth auf.• AAR ergänzt Shibboleth um einen Rechteserver.

Bernd Oberknapp, UB Freiburg 7

Was ist Shibboleth?

• Shibboleth ist ein Internet2/MACE-Projekt(MACE = Middleware Architecture Committee for Education)

• Shibboleth entwickelt eine– Architektur (Protokolle und Profile),– Richtlinien-Strukturen und eine– Open Source-Implementierung

für den einrichtungsübergreifenden Zugriffauf geschützte (Web-)Ressourcen

Bernd Oberknapp, UB Freiburg 8

Woher kommt „Shibboleth“?

Hintergrund ist eine Stelle aus dem Alten Testament,Buch Richter, Kapitel 12, Vers 5ff:

Und die Gileaditer nahmen ein die Furt des Jordans vor Ephraim. Wenn nun sprachen die Flüchtigen Ephraims: Laß mich hinübergehen, so sprachen die Männer von Gilead zu ihm: Bist du ein Ephraiter? Wenn er dann antwortete: Nein, so hießen sie ihn sprechen: Schiboleth, so sprach er: Siboleth, und konnte es nicht recht reden. So griffen sie ihn und schlugen ihn an der Furt des Jordans, daß zu der Zeit von Ephraim fielen zweiundvierzigtausend.(Zitat http://www.spiritproject.de/orakel/magie/lyrik/bibel/richter.htm)

Das Wort „Shibboleth“ war somit wohl das erstebiometrische Autorisierungsverfahren!

Bernd Oberknapp, UB Freiburg 9

Wie funktioniert Shibboleth?(Erstkontakt)

Heimateinrichtung(Identity-Provider)

Benutzerin

Anbieter(Service-Provider)

Benutzerin bekannt?(1)

(4) Benutzerin berechtigt?(6)

(7)

(8)

gestattet

verweigertZugriff

(9)ja

nein

neinLokalisierungsdienst(WAYF, IdP Discovery)

(2)(3)

(5) Login

Bernd Oberknapp, UB Freiburg 10

Wie funktioniert Shibboleth?(Folgekontakt, gleicher Anbieter)

Heimateinrichtung(Identity-Provider)

Benutzerin

Anbieter(Service-Provider)

Benutzerin bekannt?(1)

Benutzerin berechtigt?

gestattet

verweigertZugriff

(9)ja

nein

ja

(2)

Bernd Oberknapp, UB Freiburg 11

Wie funktioniert Shibboleth?(Folgekontakt, anderer Anbieter)

Heimateinrichtung(Identity-Provider)

Benutzerin

Anbieter(Service-Provider)

Benutzerin bekannt?(1)

(4) Benutzerin berechtigt?(6)

(7)

(8)

gestattet

verweigertZugriff

(9)ja

nein

ja

neinLokalisierungsdienst(WAYF, IdP Discovery)

(2)(3)

Bernd Oberknapp, UB Freiburg 12

Warum Shibboleth?

• einrichtungsübergreifendes Single Sign-On• Autorisierung und Zugriffskontrolle über Attribute

mit der Möglichkeit zur anonymen/pseudonymen Nutzung von Angeboten

• basiert auf bewährter Software (Apache, Tomcat, OpenSSL) und Standards (SAML)

• Aufwand für Integration mit vorhandenem Identity-Management und (webbasierten) Anwendungen ist in vielen Fällen vergleichsweise gering

• weltweit hohe Akzeptanz, auch bei kommerziellen Anbietern (Elsevier, JSTOR, EBSCO, CSA, Ovid, GENIOS, ...)

Bernd Oberknapp, UB Freiburg 13

Anwendungsmöglichkeiten

• Zugang zu geschützten (kommerziellen) elektronischen Informationsangeboten:– Zeitschriften, Datenbanken, Bücher, ...– Portale: ReDI, vascoda, Virtuelle Fachbibliotheken, ...– Repositories: MyCoRe, EPrints, ...– DFG-Nationallizenzen

• e-Learning• e-Science• Verwaltungssysteme• Grid-Computing

Bernd Oberknapp, UB Freiburg 14

Autorisierung und Zugriffskontrolle

• Attribute bilden die Grundlage für die Autorisierung und Zugriffskontrolle in Shibboleth:– Identity-Provider stellen mit Attributen die notwendigen

Informationen über ihre Benutzer zur Verfügung.– Service-Provider werten die Attribute anhand ihrer

Regeln aus und gestatten oder verweigern je nachErgebnis den Zugriff.

• Hierfür sind Absprachen zwischen Identity- und Service-Providern notwendig, die durch Verwendung eines einheitlichen Schemas vereinfacht werden!

• Voraussetzung sind verlässliche Benutzerdaten, also ein funktionierendes lokales Identity-Management!

Bernd Oberknapp, UB Freiburg 15

Standard-Attribute

• InCommon hat mit eduPerson den Standard für den Austausch von Attributen vorgegeben.

• Andere Föderationen und internationale Anbieter orientieren sich üblicherweise an diesem Standard.

• Die meisten Service-Provider kommen dabei mit wenigen Attributen aus, häufig verwendet werden:– eduPersonAffiliation: member, faculty, staff, student, ...– eduPersonEntitlement: beliebige Rechteinformationen, z.B.

urn:mace:dir:entitlement:common-lib-terms– eduPersonPrincipalName: „Net-ID“ des Benutzers – eduPersonTargetedID: eindeutiges Pseudonym des Benutzers

für einen Anbieter, z.B. für Personalisierung

Bernd Oberknapp, UB Freiburg 16

Attribute und Datenschutz

• Attribute können personenbezogene Daten sein (Beispiele: Benutzerkennung, E-Mailadresse).

• Personenbezogene Daten dürfen nach den (EU-) Datenschutzbestimmungen nur weitergegeben werden, wenn dies für die Erbringung des Dienstes notwendig ist und der Benutzer der Weitergabe ausdrücklich zustimmt.

• Die Weitergabe der Attribute wird in Shibboleth über Attribute Release Policies auf Einrichtungs-, Gruppen- und Benutzerebene (sehr intuitiv über „Visitenkarten“ mit ShARPE/Autograph) gesteuert.

Bernd Oberknapp, UB Freiburg 17

Zugriffskontrolle mit Rechteserver

Der Rechteserver• kann für die Zugriffskontrolle

eingesetzt werden (auchunabhängig von Shibboleth)

• ermöglicht die Abbildung vonAutorisierungsinformationenauf komplexe Nutzungsbe-dingungen wie Moving Walls,Embargos und sonstige (zeitliche) Beschränkungen

• kann lokal (beim Anbieter) oder zentral eingesetzt werden• ist das Teilprojekt unseres Projektpartners UB Regensburg

Rechteserver

Bernd Oberknapp, UB Freiburg 18

Was ist eine Föderation?

• Eine Föderation ist ein Zusammenschluss von Einrichtungen und (auch kommerziellen) Anbietern auf Basis gemeinsamer Richtlinien.

• Eine Föderation schafft das notwendige Vertrauens-verhältnis zwischen Einrichtungen und Anbietern und den organisatorischen Rahmen für den Austausch von Benutzerinformationen.

• Unter Koordination des DFN wird eine deutschland-weite Föderation (DFN-AAI) als Dienst des DFN aufgebaut.

Bernd Oberknapp, UB Freiburg 19

Aufbau einer Föderation

• Festlegung des Rahmens für die Föderation:– Gremien, Befugnisse, Vertragsprinzipien– Voraussetzungen für die Mitgliedschaft– Rechte und Pflichten der Föderation und der Mitglieder– Richtlinien (Policies), insbesondere für den Austausch

von Attributen und für Zertifikate• Aufbau der Betriebsstrukturen:

– Verwaltung der Metadaten (Informationen über Identity- und Service-Provider und Zertifikate – fundamental für Vertrauen und Sicherheit in der Föderation!)

– zentrale Dienste (Lokalisierungsdienst, Testumgebung)– technischer Support

Bernd Oberknapp, UB Freiburg 20

Ausblick: AAR „ToDo-Liste“

• Aufbau der DFN-AAI in Kooperation mit dem DFN• Unterstützung von Hochschulen und Anbietern bei

der Einführung von Shibboleth, insbesondere• Einführung von Shibboleth und Rechteserver für das

vascoda-Portal und Virtuelle Fachbibliotheken, zunächst Pilotinstallation mit HBZ Köln (vacoda-Portal), IZ Sozialwissenschaften (Infoconnex) und DIPF (Fachportal Pädagogik)

• Übergabe des Betriebs der Identity-Provider an die Hochschulen in Baden-Württemberg bzw. an das BSZ Konstanz (Hosting für Horizon-Bibliotheken)

Bernd Oberknapp, UB Freiburg 21

Ausblick: Shibboleth 2.x

• Zeitrahmen für Shibboleth 2.0: Anfang 2007?• erweiterte Authentifizierungsfunktionalität• Single Logout (technisch schwer umzusetzen!)• Java Service-Provider • Schnittstelle für ShARPE/Autograph• Verbessertes IdP Discovery-Verfahren?• Delegation (WS Federation?)• Einbindung nicht webbasierter Dienste

Bernd Oberknapp, UB Freiburg 22

Weitere Informationen

• AAR-Webseite: http://aar.vascoda.de/• AAR-Team: info@aar.vascoda.de• Nächster AAR-Workshop:

10. Oktober 2006 in Freiburg

Vielen Dank für Ihre Aufmerksamkeit!