Authentifizierung und Autorisierung mit Shibboleth

Transkript

1 Authentifizierung und Autorisierung mit Shibboleth Das Projekt Authentifizierung, Autorisierung und Rechteverwaltung (AAR) Oliver Rau, UB Freiburg Oberwolfach

2 Gliederung Das Szenario im Informationsbereich Allgemeines zu Shibboleth und Single Sign-On (SSO) Attribute Aufgaben der Föderation DFN-AAI Einsatzmöglichkeiten, Beispiele, Fazit Oberwolfach, KW 44 Oliver Rau 2

3 Oberwolfach, KW 44 Oliver Rau 3

4 Oberwolfach, KW 44 Oliver Rau 4

5 Oberwolfach, KW 44 Oliver Rau 5

6 Oberwolfach, KW 44 Oliver Rau 6

7 Oberwolfach, KW 44 Oliver Rau 7

8 Oberwolfach, KW 44 Oliver Rau 8

9 Was wollen wir erreichen? Nutzer Der Zugriff auf lizenzierte Inhalte soll unabhängig vom gewählten Arbeitsplatz und dem Zugriffsweg möglich sein. Alle lizenzierten Inhalte sollten nach nur einmaliger Anmeldung zur Verfügung stehen (Single Sign-On). Möglichst keine Weitergabe von personenbezogenen Daten. Einrichtungen (etwa Hochschulen) Die Einrichtung soll ein beliebiges Authentifizierungssystem wählen dürfen und betreibt dazu ein Identity Management System (IdM) Anbieter Die lizenzpflichtigen Inhalte der Anbieter sollen vor unberechtigten Zugriff geschützt werden. Oberwolfach, KW 44 Oliver Rau 9

10 Was ist Shibboleth? Shibboleth entwickelt eine Architektur (Protokolle und Profile), Richtlinien-Strukturen und eine Open Source-Implementierung für den einrichtungsübergreifenden Zugriff auf geschützte (Web-)Ressourcen Shibboleth basiert auf einem föderativen Ansatz: Die Einrichtung verwaltet und authentifiziert ihre Mitglieder und der Anbieter kontrolliert den Zugang zu seinen Ressourcen Oberwolfach, KW 44 Oliver Rau 10

11 Warum Shibboleth? Autorisierung und Zugriffskontrolle über Attribute mit der Möglichkeit zur anonymen/pseudonymen Nutzung von Angeboten basiert auf bewährter Software und Standards (SAML, XML, SOAP, TLS, XMLsig, XMLenc) Aufwand für Integration mit vorhandenem IdM und (webbasierten) Anwendungen in vielen Fällen vergleichsweise gering Weltweit hohe Akzeptanz, auch bei kommerziellen Anbietern (Elsevier, JSTOR, EBSCO, Ovid, GBI, Proquest, etc.) Oberwolfach, KW 44 Oliver Rau 11

12 Wie funktioniert Shibboleth? Benutzerin (5) Login (3) Erstkontakt (1) Lokalisierungsdienst (WAYF, IdP Discovery) (4) (6) (2) Anbieter Benutzerin angemeldet? nein Benutzerin berechtigt? Heimateinrichtung (7) (8) ja nein (9) gestattet verweigert Zugriff Oberwolfach, KW 44 Oliver Rau 12

13 Wie funktioniert Shibboleth? Folgekontakt (gleicher Anbieter) (1) Anbieter Benutzerin bekannt? (2) ja Benutzerin Benutzerin berechtigt? (7) ja nein (9) gestattet verweigert Zugriff Oberwolfach, KW 44 Oliver Rau 13

14 Wie funktioniert Shibboleth? Benutzerin Folgekontakt anderer Anbieter (1) (3) Lokalisierungsdienst (WAYF, IdP Discovery) (4) (6) (2) Anbieter Benutzerin bekannt? nein Benutzerin berechtigt? Heimateinrichtung (7) (8) ja nein (9) gestattet verweigert Zugriff Oberwolfach, KW 44 Oliver Rau 14

15 Attribute Personen erhalten elektronische Identität (IdM) Attribute beschreiben die Rolle der Person Attribute bilden die Grundlage für die Autorisierung und Zugriffskontrolle in Shibboleth: Identity-Provider stellen mit Attributen die notwendigen Informationen über ihre Benutzer zur Verfügung. (IdP). Service-Provider werten die Attribute anhand ihrer Regeln aus und gestatten oder verweigern je nach Ergebnis den Zugriff (SP). Hierfür sind Absprachen zwischen Identity- und Service-Providern notwendig, die durch ein einheitliches Attributschema vereinfacht werden! Voraussetzung sind verlässliche Benutzerdaten, also ein funktionierendes lokales Identity-Management! Oberwolfach, KW 44 Oliver Rau 15

16 Die Föderation DFN-AAI Wo ist das Problem? Anbieter muss dem Anwender vertrauen. Es geht um Geld. Vertrauen heißt im Geschäftsleben: Vertrag. Es müssen belastbare vertragliche Regelungen getroffen werden. Es müssen Regeln für den technischen Betrieb existieren. DFN-AAI ist ein Dienst des DFN-Vereins für Wissenschaftseinrichtungen und (auch für kommerzielle) Anbieter von (Informations)-Ressourcen. DFN-AAI schafft das für notwendige Vertrauensverhältnis und einen organisatorischen, technischen Rahmen für den Austausch von Nutzerinformationen zwischen vielen Anwendern und vielen Anbietern. Oberwolfach, KW 44 Oliver Rau 16

17 Aufgaben der DFN-AAI Vorgabe von Richtlinien (Policy) Vertragsgestaltung und -abschluss Public Relations & internationale Vertretung zentrale betriebliche Aufgaben Metadatenverwaltung der teilnehmenden Einrichtungen WAYF-Server (Discovery-Service) Testsystem für neue Teilnehmer und neue Software Web-Portal mit Informationen Schulung, Beratung übernimmt nicht die Lizenzverträge. Oberwolfach, KW 44 Oliver Rau 17

18 Einsatzmöglichkeiten von SSO Zugang zu geschützten (auch und gerade kommerziellen) elektronischen Informationsangeboten: E-Zeitschriften, Datenbanken, E-Bücher,... Portale (z.b. vascoda, ReDI) DFG-Nationallizenzen Repositories E-Learning Verwaltungssysteme Grid-Computing Oberwolfach, KW 44 Oliver Rau 18

19 Beispiel: Nationallizenzen: Die Situation heute institutionelle Nutzer Zugangsvermittlung mit proprietären Verfahren z.b. ReDI Verlag-1 Kontrolle Einrichtung-1 Verlag-2 Kontrolle Kontrolle Einrichtung-2 Verlag-m Kontrolle Oberwolfach, KW 44 Oliver Rau 19

20 Beispiel: Nationallizenzen: Die Situation heute institutionelle Nutzer Einrichtung-2 z.b. ReDI Zugangsvermittlung mit proprietären Verfahren Einige Zahlen: Der GBV verwaltet für die Nationallizenzen: Kontrolle - über Adressen von Einrichtung-1 - über 360 Einrichtungen Verlag-2 - für mehr als 100 Anbieter - mehr als 60 Mill. Nachweisdaten in unterschiedlichen Sammlungen Verlag-1 Verlag-m Kontrolle Kontrolle Kontrolle Oberwolfach, KW 44 Oliver Rau 20

21 Nationallizenzen und das Ziel mit Shibboleth 1x 1x NL VHO Shib idp Shib sp Verlag-1 Shib sp ReWriting Proxy IP IP Ggf mehrere Instanzen (Einrichtungen) Ctrl Verlag-2 Shib idp IP IP Shib sp Falls Einrichtung über IP authentifiziert Verlag-m Oberwolfach, KW 44 Oliver Rau 21

22 Das Projekt mylogin der Uni Freiburg E-Learning Personalisierte Dienste Seminararbeit IdM Bibliotheksdienste Verwaltungssysteme Oberwolfach, KW 44 Oliver Rau 22

23 Das Projekt mylogin der Uni Freiburg E-Learning Personalisierte Dienste Single-SignOn mit Shibboleth, ein Login für alle Dienste Seminararbeit Bibliotheksdienste Verwaltungssysteme Oberwolfach, KW 44 Oliver Rau 23

24 Chance und Vision: Authentifizierung & Personalisierung Meine Bibliothek Logout Meine Einstellungen Katalogauswahl: Mein Katalog Meine Dienste: Mein OLAF-Konto: Mein Fachportal 5 1 4,50 Eur derzeit keine derzeit keine E-Learning Oberwolfach, KW 44 Oliver Rau 24

25 Fazit oder wem nützt was? Die Nutzer haben deutlich vereinfachte Verfahren beim Zugang zu lizenzierten Diensten Die Daten der Nutzer liegen nur noch an einer Stelle (bei der Heimateinrichtung ) Sichere Übertragungswege mit einem weltweit einheitlichen Verfahren Die vertrauenswürdige Infrastruktur der Föderation unterstützt auch die Bedürfnisse der Anbieter Einheitliche Authentifizierung und Autorisierung innerhalb einer Einrichtung Kein direkter Zugang zum Authentifizierungssystem für alle Administratoren, daher besserer Schutz. Oberwolfach, KW 44 Oliver Rau 25

26 Wer macht mit? Index of Shibboleth-Enabled Applications and Services (Quelle: internet2) in Deutschland: ArtSTOR Blackboard Bodington.org Darwin Streaming Server Digitalbrain PLC eacademy EBSCO Publishing Elsevier Science Direct ExLibris-SFX Fedora Higher Markets Horde Hupnet ILIAS JSTOR Moodle Napster NSDL OCLC OLAT Ovid Technologies Inc. Proquest Serials Solutions SYMPA ThomsonGale TWiki Useful Utilities-EZproxy Web Assign WebCT GENIOS/GBI IZ Soz (Infoconnex) DIPF vascoda ReDI SaxIS GBV/NL FIZ-Technik Springer (2008) Oberwolfach, KW 44 Oliver Rau 26

27 Vielen Dank für Ihre Aufmerksamkeit! AAR ist ein Projekt der UB Freiburg. Gefördert vom BMBF (PT-NMB+F ) AAR kooperiert mit dem DFN-Verein aar.vascoda.de info@aar.vascoda.de Oberwolfach, KW 44 Oliver Rau 27