Motivation und aktuelle Lösungsansätze für organisationsübergreifendes Identity Management

Größe: px

Ab Seite anzeigen:

Download "Motivation und aktuelle Lösungsansätze für organisationsübergreifendes Identity Management"

Marielies Kaiser
vor 8 Jahren
Abrufe

1 Motivation und aktuelle Lösungsansätze für organisationsübergreifendes Identity Management 7. Treffen der IT-Betriebszentren im Hochschulbereich 26. September 2007 Wolfgang Hommel, Leibniz-Rechenzentrum

2 Übersicht Warum Föderationen? Bedarf an hochschulübergreifendem Identity Management (IM) Organisationsübergreifendes IM ohne Föderationen? Federated Identity Management (FIM) Anwendung aus Benutzerperspektive Aktuelle Industriestandards und Hochschulentwicklungen FIM in der Praxis Herausforderungen für Hochschulen und Dienstanbieter Datenschutz und Datensicherheit Defizite aktueller Produkte 26. September 2007 Wolfgang Hommel: Motivation und Ansätze für FIM 2

3 Übersicht Warum Föderationen? Bedarf an hochschulübergreifendem Identity Management (IM) Organisationsübergreifendes IM ohne Föderationen? Federated Identity Management (FIM) Anwendung aus Benutzerperspektive Aktuelle Industriestandards und Hochschulentwicklungen FIM in der Praxis Herausforderungen für Hochschulen und Dienstanbieter Datenschutz und Datensicherheit Defizite aktueller Produkte 26. September 2007 Wolfgang Hommel: Motivation und Ansätze für FIM 3

4 Wo stehen wir? Technologische Entwicklung bzgl. IT-Benutzerverwaltung Technik Separate Konten pro Dienst ca Gruppierung von Diensten über YP/NIS 1987 An dt. HS Zentrale Benutzerverwaltung über LDAPv3 / Microsoft Active Directory 1997/2000 Einbezug der Prozessorientierung: Organisationsweites Identity Management seit 2000 seit 2003 Organisationsübergreifende Authentifizierung und Autorisierung seit /2008? 26. September 2007 Wolfgang Hommel: Motivation und Ansätze für FIM 4

5 Hochschulübergreifendes Identity Management wofür? Organisationsübergreifende Nutzung von IT-Diensten, z.b. im Rahmen von... gemeinsamen Studiengängen: Hochschulportale, Prüfungsanmeldung, Notenaushang,... Bibliotheksangeboten: Elektronische Medien E-Learning (z.b. Virtuelle Hochschule Bayern) Verteilung lizenzierter Software (Microsoft ASAP,...) gemeinsamen Forschungsprojekten } Groupware, Fileserver, Datenbanken, Code- Industriekooperationen Repositories,... Skalierbare, dienst-unabhängige Lösung erforderlich! 26. September 2007 Wolfgang Hommel: Motivation und Ansätze für FIM 5

6 Ein Beispiel aus München September 2007 Wolfgang Hommel: Motivation und Ansätze für FIM 6

7 (Schlechter) Lösungsansatz 1 Jeden Benutzer in jeder relevanten Organisation erfassen Aktuell in der Praxis (noch) am weitesten verbreitet! Probleme: Erheblicher Mehraufwand für Administratoren bei der Erfassung für Benutzer bei der Datenpflege Inkonsistenzen in den Datenbeständen Sicherheitsrisiko Gemeinsame Sicht auf Datenbestand fehlt Mangelnde Dynamik Zeitverzögerung, bis Dienste genutzt werden können 26. September 2007 Wolfgang Hommel: Motivation und Ansätze für FIM 7

8 (Schlechter) Lösungsansatz 2 Aufbau eines gemeinsamen Datenbestands Gängige Praxis, z.b. bei Grid-Computing und kleinen Kooperationsprojekten Beispiel LRZ: Verzeichnisdienst-Synchronisation LMU/TUM Probleme: Relativ hoher Implementierungsaufwand Komplexes, organisationsübergreifendes Change Management Keine Universallösung: Datenschutz! Statische Lösung, große Vorlaufzeit 26. September 2007 Wolfgang Hommel: Motivation und Ansätze für FIM 8

9 (Schlechter) Lösungsansatz 3 Zugriff auf IM-Systeme anderer Organisationen Scheitert an Implementierungsaufwand Technologien: Datenbanken, LDAP-Server,... Datenmodelle: IETF RFCs, IM-Hersteller, Eigenentwicklungen,... IT-Security-Aspekten Zugriffe auf interne Datenbestände unerwünscht Zugangskontrolle erzwingt keine Zweckbindung 26. September 2007 Wolfgang Hommel: Motivation und Ansätze für FIM 9

10 Dedizierter Ansatz: Federated Identity Management 26. September 2007 Wolfgang Hommel: Motivation und Ansätze für FIM 10

11 Übersicht Warum Föderationen? Bedarf an hochschulübergreifendem Identity Management (IM) Organisationsübergreifendes IM ohne Föderationen? Federated Identity Management (FIM) Anwendung aus Benutzerperspektive Aktuelle Industriestandards und Hochschulentwicklungen FIM in der Praxis Herausforderungen für Hochschulen und Dienstanbieter Datenschutz und Datensicherheit Defizite aktueller Produkte 26. September 2007 Wolfgang Hommel: Motivation und Ansätze für FIM 11

12 Prinzip Federated Identity Management (FIM) Föderation besteht aus Identity Providern und Service Providern Datenaustausch zwischen SP und IDP: Authentifizierungsdaten Single Sign-On Autorisierungsdaten Delegierte Administration Benutzer-/Profildaten Account-Synchronisation FIM-Lösungen spezifizieren Nachrichtenformate und Protokolle 26. September 2007 Wolfgang Hommel: Motivation und Ansätze für FIM 12

13 FIM: Ablauf aus Benutzerperspektive Weiterer Ablauf: Single Sign-On Nutzung weiterer Dienste ohne erneute IDP-Auswahl und Passworteingabe Abruf der Benutzerdaten vom somit bekannten IDP durch den Service Provider 26. September 2007 Wolfgang Hommel: Motivation und Ansätze für FIM 13

14 FIM Industriestandards SAML 2.0 Security Assertion Markup Language Gremium: OASIS, > 300 Mitglieder, Ziel: Offene Standards für E-Business-Anwendungen Entstanden aus Konsolidierung proprietärer Ansätze Liberty Alliance Identity Federation Framework Gremium mit > 200 Mitgliedern, Ziel: Schnittstellen-Standardisierung, auch auf FIM aufbauender Dienste SAML bildet technische Basis Stark e-commerce- und mobilfunk-lastig Web Services Federation Language (WS-Federation) Spezifiziert durch Microsoft und IBM Fokus auf Web Service Technologien (WS-*-Protokolle) und Microsoft -Infrastrukturen Partiell kompatibel mit SAML 26. September 2007 Wolfgang Hommel: Motivation und Ansätze für FIM 14

15 FIM Forschungsansätze und Hochschulentwicklungen Shibboleth Open Source, Entwickelung primär durch Internet2 Standardkonformität: Shibboleth 1.x erweitert SAML 1.1 proprietär Shibboleth 2.0 konvergiert gegen SAML 2.0 IBM Idemix Schwerpunkt Datenschutz Pseudonyme Dienstnutzung, revocable anonymity EU-Projekte FIDIS und PRIME Datenschutz im Identity Management Usability und Benutzer-Sensibilisierung 26. September 2007 Wolfgang Hommel: Motivation und Ansätze für FIM 15

16 Gegenseitige Beeinflussung der Entwicklungen 26. September 2007 Wolfgang Hommel: Motivation und Ansätze für FIM 16

17 Übersicht Warum Föderationen? Bedarf an hochschulübergreifendem Identity Management (IM) Organisationsübergreifendes IM ohne Föderationen? Federated Identity Management (FIM) Anwendung aus Benutzerperspektive Aktuelle Industriestandards und Hochschulentwicklungen FIM in der Praxis Herausforderungen für Hochschulen und Dienstanbieter Datenschutz und Datensicherheit Defizite aktueller Produkte 26. September 2007 Wolfgang Hommel: Motivation und Ansätze für FIM 17

18 Herausforderungen für Hochschulen und Dienstleister Henne-Ei-Problem: Wozu IDP installieren, wenn es noch fast keine SPs gibt? Wozu Dienst über FIM anbieten, wenn es kaum IDPs gibt? Homogenität notwendig bzgl. FIM-Protokoll, z.b. föderationsweiter Shibboleth-Einsatz Datenmodell, z.b. de-facto Standards eduperson/inetorgperson IT Service Management Organisationsübergreifende Abhängigkeiten Noch keine Lösung für das komplexe Change Management Hohe Anforderungen an Datenumfang und -qualität 26. September 2007 Wolfgang Hommel: Motivation und Ansätze für FIM 18

19 Datenschutz und Datensicherheit Nur selektive Übermittlung personenbezogener Daten an SPs Gesetzliche Auflagen Kritischer Faktor für Benutzerakzeptanz Lösungsansätze: Interaktive Nachfrage beim Benutzer (Liberty Alliance) A priori Definition von Freigabe-Regeln (Shibboleth Attribute Release Policies) Verschlüsselte Datenübertragung Public-Key-Infrastruktur für die Föderation erforderlich Komplexes verteiltes Logging und Auditing 26. September 2007 Wolfgang Hommel: Motivation und Ansätze für FIM 19

20 Defizite aktueller FIM-Produkte Nur für web-basierte Dienste geeignet Service Provider kann Benutzerdaten nur lesen Benutzerdaten nur während Dienstnutzung abrufbar Potentielles Resultat: Inkonsistenzen Dienst-lokale Benutzerverwaltung kann i.a. nicht entfallen Eingeschränkte Flexibilität durch erzwungene Homogenität Überwiegend noch mangelhafte Benutzerinteraktion Frontends zur Steuerung und Kontrolle von Datenfreigaben Fehlende Delegationskonzepte 26. September 2007 Wolfgang Hommel: Motivation und Ansätze für FIM 20

21 Zusammenfassung Bedarf an hochschulübergreifendem Identity Management Herkömmliche IM-Systeme unzureichend, dedizierte Lösungsansätze erforderlich Federated Identity Management Gute Eignung für hochschulrelevante web-basierte Dienste Shibboleth: Ausgereifte hochschul- und standardnahe Lösung Kontinuierliche Weiterentwicklung der Technologie Herausforderungen für Hochschulen Identity Management Systeme sind klare Voraussetzung Hohe Anforderungen an Datenqualität und -schutz Richtiger Zeitpunkt zum Einstieg ist jetzt! 26. September 2007 Wolfgang Hommel: Motivation und Ansätze für FIM 21

Ähnliche Dokumente

für E-Learning in Bayern

Konzept zum Shibboleth-Einsatz für E-Learning in Bayern 4. Shibboleth-Workshop, Berlin 28. Februar 2007 Wolfgang Hommel, Leibniz-Rechenzentrum 28. Februar 2007 Konzept zum Shibboleth-Einsatz für E-Learning