Single Sign On für e-lib.ch und sein Webportal

Transkript

1 Single Sign On für e-lib.ch und sein Webportal Evaluationsbericht SSO für e-lib.ch Evaluationsbericht 1

2 Dieses Dokument enthält den Bericht der Evaluation SSO für e-lib.ch. Die Inhalte erarbeitete ein Projektteam der ETH-Bibliothek mit Gabriella Padovan (Projektleitung), Wolfgang Lierz, Susanne Schneider und Uwe Sujata von Juli bis November 2011 mit Unterstützung von Michael Schröder und Philipp Oser von der Firma ELCA Informatik AG und unter Einbezug der am Gesamtprojekt e-lib.ch teilnehmenden Bibliotheken und Projekte. SSO für e-lib.ch Evaluationsbericht

3 Management Summary Der 2007 im Projektantrag Webportal e-lib.ch formulierte Anspruch an Single Sign On (SSO) lautete: Single Sign On; Off-Campus-Access: Den e-lib.ch-nutzern wird der Zugriff auf die vorhandenen elektronischen Ressourcen und Dienstleistungen ortsunabhängig (off-campus-access) angeboten. Eine Single Sign On-Lösung soll für alle Nutzer (interne Nutzer sowie externe Kunden) angestrebt werden. Der Stand der Technik, die Implementierung über die Shibboleth-Technologie, LDAP etc. im Rahmen des AAI-Projektes soll dabei berücksichtigt werden. Um diesen Anspruch zu erfüllen, wurde der eigentlichen Umsetzung eine Evaluation vorangestellt. Das Ziel der Evaluation war es, den Entscheidungsträgern von e-lib.ch eine Empfehlung zu geben, wie das im Projektantrag geforderte Single Sign On (SSO) im Webportal e-lib.ch umgesetzt werden kann. Das Projektteam dieser Evaluation hat folgende Vorgehensweise gewählt, um zu einem Resultat zu gelangen: - Analyse der Zielgruppen für ein Single Sign On - Erhebung des Ist-Zustandes hinsichtlich der technologischen Voraussetzungen bei den Zielgruppen - Prägung von Begriffen, um die weitere Diskussion zu schärfen und ein gemeinsames Verständnis für die verschiedenen möglichen Varianten von Single Sign On zu gewinnen - Entwicklung eines Stufenmodells, das Entwicklungsmöglichkeiten von SSO darstellt - Erarbeitung von konkreten Umsetzungsmodulen, anhand derer die verschiedenen Stufen im Prozess zu einem Schweiz weiten Single Sign On unter den Bibliotheken und für die Benutzenden dieser Bibliotheken erreicht werden können - Abgabe einer Empfehlung für die Vorgehensweise Das Stufenmodell setzt die heutige Situation im Webportal e-lib.ch ohne Login mit der tiefsten Stufe gleich. Mit zunehmender Zahl von Funktionalitäten (bzw. Prozessen) steigen die Anforderungen an die Bibliotheken. Im Idealfall würden alle Bibliotheken zugleich die oberste Stufe erreichen. Die Voraussetzungen technischer Art verunmöglichen jedoch ein rasches und konzertiertes Umsetzen dieses Ideals (insbes. Bibliothekssysteme, die aufgrund ihrer veralteten Architektur keine externe Bereitstellung und Verwendung von Benutzerdaten erlauben). Die Module, die im folgenden Bericht vorgestellt werden, erlauben jedoch auch ein gestaffeltes Vorgehen: So kann sich eine Bibliothek relativ rasch auf eine höhere Stufe hin bewegen, während eine andere Bibliothek den Status Quo beibehält. Das Nachsehen hätten bei einem zu disparaten Vorgehen allerdings die Kunden, die weiterhin verschiedene Logins haben oder die spezifischen Funktionalitäten des Webportals e- lib.ch erst gar nicht nutzen könnten. SSO für e-lib.ch Evaluationsbericht

4 Das Projektteam empfiehlt deshalb eine relativ rasche Umsetzung der ersten Stufe. Diese ermöglicht es, dass sämtliche Bibliothekskunden, sowohl die externen, privaten Kunden wie die internen Kunden, die Hochschulangehörigen, sich beim Webportal e-lib.ch anmelden und die damit gegebenen Vorteile nutzen können wie die Personalisierung, Speicherung von Referenzen und das Anlegen eines e-shelf. Der Fokus in dieser Stufe liegt besonders auf den Firmen- und Privatkunden, d.h. all jenen Kunden, die bei einer Bibliothek eingeschrieben sind und keiner Hochschule angehören. Damit deren Bibliothekslogin Single Sign On befähigt werden kann, ist der Aufbau eines ausserhalb des Bibliothekssystems liegenden Identity Providers (IDP) notwendig. Das Projektteam hat die in Betracht kommenden Authentisierungsmechanismen überprüft und empfiehlt die Umsetzung basierend auf der Technologie Shibboleth. In der Schweiz ist SWITCH hierzu der ideale Partner, mit dem ein solcher IDP für Privatkunden umgesetzt werden kann. Die auf Shibboleth basierende Technologie ist heute schon Standard im nationalen, aber auch internationalen Informations- und Bibliothekswesen, die auch in Zukunft insbesondere für den Zugriff auf e-ressourcen die wichtigste Technologie sein wird. Die tatsächliche Ermöglichung des im Projektantrag geforderten ortsunabhängigen Zugriffs auf elektronische Ressourcen wird damit vorbereitet. Die Umsetzung wird jedoch auch davon abhängig sein, wie die Lizenzen gestaltet sind sowie von der Einführung von Shibboleth/SWITCHaai durch weitere Verlage. Realistischerweise ist davon auszugehen, dass die bisherige Autorisierung via IP-Bereichs-Kontrolle noch eine Reihe von Jahren weiterbestehen wird, auch wenn inzwischen die grössten Verlage alternativ dazu die Autorisierung via Shibboleth/SWITCHaai anbieten. Weiter geht das Projektteam von der Annahme aus, dass die Aggregation der Ressourcen mit einem nationalen Portal fortschreiten wird. Daraus folgt die Empfehlung, dass es umso wichtiger sein wird, übereinstimmende bibliotheksübergreifende Rollen- und Berechtigungsmodelle zu entwickeln und einzuführen. Es ist daher sehr wichtig, dass e-lib.ch in seiner Rolle als zukunftsweisendes Gesamtprojekt sich auch diesen Fragen stellt und die Umsetzungsmöglichkeiten in Betracht zieht. Obwohl diese Thematik nicht explizit aus dem Projektantrag hervor ging, hat sich das Projektteam damit auseinandergesetzt und eine Empfehlung erarbeitet, wie längerfristig bibliotheksübergreifende Rollen- und Berechtigungskonzepte für eine moderne Bibliothekslandschaft aussehen könnten. Mit der Erarbeitung solcher Konzepte sollte schon relativ bald begonnen werden, so dass diese auch als Grundlage für die Formulierung von Anforderungen genutzt werden können, wenn Bibliothekssysteme abgelöst werden. Ein Single Sign On kann nur so gut und kundenfreundlich sein, wie die beteiligten Partner solche modernen Infrastrukturen auch unterstützen. Die Bibliothekswelt ist hier bereits um einiges weiter als die Verlagswelt. SSO für e-lib.ch Evaluationsbericht

5 INHALT Management Summary Einleitung Auftrag Ziele der Evaluation Vorgehen Abgrenzung Struktur Analyse / IST-Zustand Dienstleistungen / Ressourcen Arten von Benutzern / Kunden Technische Lösungen (Authentisierung) Bedürfnisse / Anforderungen Begriffsbestimmung Stufenmodell Stufe 0: Anonyme Verwendung (Ausgangslage) Stufe 1: Einloggen mit Login Home Library Stufe 2: Zusätzlich SSO mit Home Library Stufe 3: Zusätzlich SSO mit allen Bibliotheken ( Dritt-Bibliotheken ) Lösungskonzept Gemeinsamer Authentisierungsmechanismus (Frage 1) Bereitstellung IDP für Privatpersonen (Frage 2) Zusammenführung Hochschul- und Bibliothekslogin (Frage 3) Wie AAI in das Bibliotheksportal bzw. -system integrieren (Frage 4) Wie Kundenidentitäten im Bibliothekssystem anlegen (Frage 5) Gemeinsame Rollen und Berechtigungen (Frage 6) Umsetzung Empfehlung Anhang Zeitplan der Evaluation Fragebogen der Umfrage Liste der Umfrage-Teilnehmer Zusammenfassung der Antworten zur Frage Tabellarische Beschreibung der einzelnen Module M1: Integration SWITCHaai im Webportal e-lib.ch M2: Aufbau Privatkunden-IDP SSO für e-lib.ch Evaluationsbericht

6 7.5.3 M3: Zusammenlegen Hochschul- und Bibliotheks-Login M4: Integration AAI in Bibliothekssystem(e) M5: Ermöglichen Neueinschreiben per Login M6a: Konzept gemeinsame Rollen und Berechtigungen M6b: Umsetzung Rollen- und Berechtigungskonzept in Bibliothek(en) M7: Integration SWITCHaai in e-lib.ch-projekt-websites Empfohlenes Vorgehen: Umsetzung Privatkunden-IDP Literatur: ABBILDUNGSVERZEICHNIS TABELLENVERZEICHNIS GLOSSAR und ABKÜRZUNGSVERZEICHNIS IMPRESSUM SSO für e-lib.ch Evaluationsbericht

7 1 Einleitung Dieses Dokument enthält den Bericht der Evaluation 2 SSO für e-lib.ch und sein Webportal. Die Inhalte dieses Berichts wurden durch ein Projektteam bestehend aus W. Lierz, G. Padovan, S. Schneider, und U. Sujata (ETH-Bibliothek) sowie P. Oser und M. Schröder (ELCA) in den Monaten Juli bis November 2011 erarbeitet. 1.1 Auftrag Aus dem Projektantrag Elektronische Bibliothek Schweiz e-lib.ch 1 geht hervor, dass der Cluster 1 Portale und Metasuchen die Planung, Entwicklung und Instandhaltung der technischen Infrastruktur für e-lib.ch sowie den Aufbau einer Portaloberfläche für das Gesamtprojekt beinhaltet. Darunter fallen insbesondere die beiden folgenden Punkte: Bereitstellung der technischen Infrastruktur für e-lib.ch: Aufbau, Betrieb und Pflege von Hard- und Software sowie der für den Betrieb notwendigen Infrastruktur; Entwicklung und Einsatz von Single Sign On (SSO) Lösungen für den Zugang und den Zugriff auf die über das Portal angebotenen Ressourcen (einmalige Authentisierung und Autorisierung (AAI) zu jeder Zeit und von jedem Ort unter Berücksichtigung des Standes der Technik; LDAP, SWITCHaai; etc.) Der am 27. August 2007 genehmigte Projektantrag für das Projekt Webportal e- lib.ch 2 enthält zu Personalisierung und SSO folgende Projektziele: Single Sign On; Off-Campus-Access: Den e-lib.ch-nutzern wird der Zugriff auf die vorhandenen elektronischen Ressourcen und Dienstleistungen 3 ortsunabhängig (off-campus-access) angeboten. Eine Single Sign On-Lösung soll für alle Nutzer (interne Nutzer sowie externe Kunden) angestrebt werden. Der Stand der Technik, die Implementierung über die Shibboleth-Technologie, LDAP etc. im Rahmen des AAI-Projektes soll dabei berücksichtigt werden. 1 Projektantrag Elektronische Bibliothek Schweiz E-lib.ch, 2. Version vom 18. Juni 2007, unterzeichnet von W. Neubauer, U. Niederer; S Antrag für Einzelvorhaben im Rahmen des nationalen Projektes Elektronische Bibliothek Schweiz E-lib.ch Webportal E-lib.ch, Version vom 27. August 2007 durch die CRUS im Dezember 2007 genehmigt mit Mittelstreichung und Auflagen bezüglich Kooperation mit Partnern: Enge Kooperation mit swissbib, Nutzung von Synergien mit lokalem Portalprojekt der ETH-Bibliothek, SWITCH (v.a. in Belangen AAI) und Swiss Virtual Campus. 3 Darunter werden folgende Dienstleistungen aufgezählt: Personalisierungsfunktion (bietet dem Nutzer die Möglichkeit, Suchstrategien zu speichern, auf frühere Suchergebnisse zurückzugreifen, Profildienste zu speziellen Fragestellungen, Alert Dienste einzurichten sowie individuelle inhaltliche und formale Anpassungen vorzunehmen). Spezielle Funktionen für Lerngruppen können darüber hinaus im Rahmen des E-Learning clusters für Forschungs- und Lernumgebungen, E-Learning im universitären Bereich sinnvoll sein und werden bei der Umsetzung ebenso berücksichtigt. Die Nachnutzung bzw. Weiterentwicklung von Systemelementen, technischer Infrastrukturen und Funktionalitäten aus anderen Projekten [ ] soll geprüft werden. SSO für e-lib.ch Evaluationsbericht

8 1.2 Ziele der Evaluation Aus den Projektanträgen wurde als Ziel der Evaluation abgeleitet, die technischen Bedingungen für Lösungsmöglichkeiten für ein SSO im Webportal e-lib.ch herauszuarbeiten. Ausserdem sollte eine Aussage möglich sein, welche SSO-Lösung unter welchen Voraussetzungen (Anpassungen an vorhandene Infrastruktur und/oder Aufbau notwendiger zentraler/dezentraler Infrastruktur) umsetzbar ist, mit einer groben Schätzung zu Aufwand und Kosten. Im Verlauf der Evaluation wurden jedoch auch Prozessfragen und die Ausdehnung auf Fragen zur Autorisierung aufgeworfen. Das Projektteam hat sich deshalb entschlossen, auch solche Fragen in die Lösungskonzepte einzubeziehen, auch wenn diese nicht ausdrücklich erwähnt worden sind. 1.3 Vorgehen Diese Evaluation wurde im Rahmen des SSO-Vorprojektes an der ETH-Bibliothek durchgeführt. Um die Komplexität zu reduzieren und das Vorgehen zu beschleunigen, wurden zwei voneinander getrennte und leicht zeitversetzte Evaluationen durchgeführt: Evaluation 1 hatte SSO im Wissensportal der ETH-Bibliothek zum Thema, Evaluation 2 SSO im Webportal e-lib.ch. Die Evaluation 2 wurde Anfang Juli 2011 gestartet (siehe Zeitplan im Anhang). Zur personellen Unterstützung der internen Projektmitarbeiter wurde ein externes Unternehmen engagiert. Die Wahl fiel auf die Firma ELCA Informatik AG, ein Unternehmen, das breite Erfahrungen im Bereich Single Sign On Lösungen mitbringt und ein strukturiertes Vorgehen für die Evaluation vorgeschlagen hat, welches das Projektteam überzeugt hat. Das Wissen, das sie sich in der ersten Evaluation angeeignet haben, konnte für die zweite Evaluation gewinnbringend eingesetzt werden. Untersuchtes Gebiet Zielgruppe des Webportals e-lib.ch sind zunächst alle teilnehmenden Projekte von e- lib.ch sowie die Hochschulbibliotheken der Schweiz (nachfolgend als Provider bezeichnet). Diese Provider haben eine dem Projektteam teilweise noch nicht bekannte technische Infrastruktur für die Authentisierung und Autorisierung. Man musste davon ausgehen, dass abgesehen von dem im Hochschulbereich vorhandenen Standard, SWITCHaai-Login, das durch SWITCH koordiniert wird, die weitere Infrastruktur sowie die Prozesse zur Verwaltung der Kundeninformationen örtlich sehr verschieden sind. Insbesondere die Einfügung von SWITCHaai in die übrige technische Infrastruktur würde vermutlich zu einem unterschiedlichen Grad fortgeschritten sein. Die Einbindung von Metadaten aus integralen Verbünden im Webportal e-lib.ch würde zudem bedeuten, dass auch öffentliche Bibliotheken zu Providern sowie zu interessierten Zielgruppen für ein SSO würden. Es war klar, dass diese weder Teil einer Hochschulinfrastruktur sind noch eine SWITCHaai-Anbindung aufweisen. Deren ebenfalls unterschiedliche eigene Lösungen müssten also für ein SSO Konzept mitberücksichtig werden. Das Projektteam ist aufgrund der Ausgangslage wie folgt vorgegangen: 1. Anhand einer Umfrage unter den Projektpartnern von e-lib.ch sowie einigen SSO für e-lib.ch Evaluationsbericht

9 assoziierten Teilnehmern (Bibliotheken, die über das Projekt swissbib indirekt an e-lib.ch teilnehmen, d.h. eine prototypische Auswahl von Partnern von NEBIS) sollten die getroffenen Annahmen und Vorkenntnisse überprüft werden. 2. Aus den Resultaten sowie aus den im Projektantrag von e-lib.ch und vom Webportal e-lib.ch formulierten Anforderungen wurden in drei Workshops Fragestellungen herauskristallisiert und zu diesen die möglichen Lösungsansätze erarbeitet und bewertet. 3. Ein weiterer Workshop diente der Validierung der Lösungsansätze, der Ausarbeitung einer Empfehlung zur Umsetzung und der Überprüfung des Entwurfs dieses Berichts. Abbildung 1 Untersuchte Gebiete 1.4 Abgrenzung Die Evaluation hat sich dahingehend erstreckt, die Landschaft der Anwendungen der Projektpartner zu erheben und mögliche Umsetzungsmodelle vorzuschlagen. Zu den Projektpartnern wurden die Projekte von e-lib.ch sowie die Datenlieferanten vom Projekt swissbib gerechnet. Während die Zahl der Projekte stabil geblieben ist, einige davon aufgrund der durchgeführten Befragung sich als abgeschlossen und als nicht zur Zielgruppe gehörig herausgestellt haben, war bei swissbib das Gegenteil der Fall: Eine Erweiterung in Richtung Aufnahme von zusätzlichen Datenlieferanten fand und findet dynamisch statt. Das Projektteam der Evaluation hat sich aufgrund der wichtigsten Vorgabe, der Zeitlimitierung, entschieden, den Rahmen der Umfrageteilnehmer nicht zu erweitern, auch wenn während dieser Phase eine Erweiterung stattgefunden hat. Diese Entscheidung wurde insbesondere dadurch gerechtfertigt, da es sich um Bibliotheken gehandelt hat, die das Aleph-System nutzen und schon durch andere Vertreter in der Befragung repräsentiert waren (siehe Tabelle der Umfrageteilnehmer im Anhang). Evaluation 1 SSO an der ETH Bibliothek als Basis Weiter baute die Evaluation 2 auf den Erfahrungen der Evaluation 1 auf, die für die ETH-Bibliothek zeitversetzt etwas früher begonnen worden war. In dieser Evaluation 1 haben sich Fragestellungen sowie Umsetzungsreifegrade bezüglich Infrastruktur zu SSO von Hochschule und Bibliothek heraus kristallisiert, die als typisch gelten können. Modellhaft war z.b., dass die ETH-Bibliothek als Hochschulbibliothek in die IT- Infrastruktur der Hochschule eingebunden, aber nicht vollständig integriert ist. Für Single Sign On der ETH-Bibliothekskundschaft bedeutet dies, dass idealerweise das von der Hochschule vorgegebene Login mit dem Bibliothekslogin zusammengebracht werden sollte. SSO für e-lib.ch Evaluationsbericht

10 Welche Ausgangslage nun in den anderen Hochschulbibliotheken vorhanden ist, wurde durch die Befragung zwar abgeklärt, jedoch hätte es den Rahmen gesprengt, die technischen Details, die in den jeweiligen Institutionen vorherrschen, zu erfassen. Diese Abklärungen werden auch erst dann nötig sein, wenn Single Sign On für Hochschulund Bibliothekslogin erwünscht/gefordert werden. Die Umsetzung liegt jedoch ausserhalb des für das Projekt Webportal e-lib.ch gesteckten Rahmens. Der im Projektantrag geforderte ortsunabhängige Zugriff auf lizenzierte Ressourcen kann mit der Einführung von SWITCHaai wohl vorbereitet werden, jedoch ist die tatsächliche Verfügbarkeit dieser ortsunabhängigen Identifikation auch von der Einführung dieser Infrastruktur durch die Verlage abhängig. Ausserdem beruht die Zugriffsmöglichkeit auch auf den Lizenzbedingungen: Je nachdem ob und für welchen Kundenkreis die jeweilige Hochschule/Bibliothek die elektronische Ressource lizenziert hat, kann der einzelne Kunde diese über SWITCHaai nutzen oder eben nicht. Im heutigen Projektauftrag des Gesamtprojekts e-lib.ch und dem Projekt Webportal e-lib.ch sind Lizenzierungsfragen ausgeklammert. Abgrenzung im Detail Die folgende Abbildung visualisiert die Abgrenzung der einzelnen Themen im Detail. Verwaltung Hochschullogins Detailabläufe im Webportal e-lib.ch Zusammenführen Hochschul- und Bibliothekslogins Verwaltung Bibliothekslogins Abbildung 2: Systemabgrenzung Authentisierung im Webportal e-lib.ch Bereitstellung Identitäten / Logins Personalisierung im Webportal e-lib.ch Übergreifende Abläufe (Aspekte SSO) Abläufe in Bibliotheken (Aspekte SSO) System 1: Kern der Evaluation Übergreifende Berechtigungen Detaillierte Abläufe in Bibliotheken System 2: Grundlagen / Konsequenzen im Umfeld Detaillierte Berechtigungen in Bibliotheken Zugriff auf lizenzierte Ressourcen In der Evaluation wurden unterschieden: System 1: Kern der Evaluation; Eingriffe und Veränderung möglich/erwünscht Authentisierung im Webportal e-lib.ch Bereitstellung der dazu nötigen Identitäten und Logins Übergreifende Abläufe (Aspekte SSO) SSO für e-lib.ch Evaluationsbericht

11 System 2: Grundlagen sowie Konsequenzen im Umfeld; Eingriffe im Sinne von Empfehlungen Zusammenführen Hochschul- und Bibliothekslogins Abläufe in den Bibliotheken (eingeschränkt auf die Aspekte, die für SSO nötig sind) Übergreifende Berechtigungen Out-of-scope: Wird nicht gestaltet, jedoch als Schnittstelle relevant Konkrete Ausgestaltung auf Ebene Bibliotheken/Projekte: z.b. Verwaltung der Logins, detaillierte Abläufe und Berechtigungen, Zugriff auf Ressourcen Konkrete Ausgestaltung von Funktionalitäten im Webportal e-lib.ch: Detailabläufe, Personalisierung, weitergehende Funktionalitäten etc. 1.5 Struktur Dieser Bericht ist wie folgt strukturiert: Kap. 1: Einleitung (Auftrag, Ziele, Abgrenzung) Kap. 2: Analyse / IST-Zustand (Zusammenfassung Umfrage) Kap. 3: Bedürfnisse / Anforderungen (Abläufe und Nutzen pro Stufe) Kap. 4: Lösungskonzept (Varianten und Beurteilung) Kap. 5: Umsetzung (Module, Abhängigkeiten und Szenarien der Umsetzung) Kap. 6: Empfehlung mit grobem Zeitplan Kap. 7: Anhang (weiter gehende Details) SSO für e-lib.ch Evaluationsbericht

12 2 Analyse / IST-Zustand Das Webportal e-lib.ch ist unter anderem ein Katalog von Metainformationen zu Ressourcen, die von den Projekten und von Bibliotheken zur Verfügung gestellt werden. Diese Lieferanten werden hier als Provider bezeichnet. Der Kontext des Webportals e-lib.ch wird in Abbildung 3 generisch dargestellt. Webportal e-lib.ch Institution 1 Bibliothek 1 Institution 2 Bibliothek 2 Bibliothek 3... Projekt 1 Projekt 2 Abbildung 3: Generischer Kontext des Webportals e-lib.ch Verwaltung von Identitäten Verwaltung von Ressourcen (Bücher, Bilder etc.) In der praktischen Ausprägung wird dieser theoretische Kontext in der nächsten Abbildung dargestellt. Es handelt sich um eine high level Ansicht. Abbildung 4: High-level Gesamtsicht der praktischen Ausprägung von e-lib.ch Ausgangslage für Single Sign On ist, dass das Webportal e-lib.ch keine eigene Kundenverwaltung hat und auch nicht haben sollte. In Zukunft werden jedoch Funktionalitäten angeboten, die Authentisierung und Autorisierung erfordern. Dies bedeutet, dass das Webportal e-lib.ch auf vorhandene Kundenverwaltungen und die damit zusammenhängenden Logins (Identifikationen) zurückgreifen muss. SSO für e-lib.ch Evaluationsbericht

13 Aufgrund der Verbreitung von SWITCHaai, das praktisch in allen Schweizer Hochschulen 4 schon angewendet wird, kann SSO auf diesem Standard aufbauen. Ob jedoch das SWITCHaai in der Institution (Hochschule/Fachhochschule) das einzige Login oder Standardlogin ist, war abzuklären. Ein Teil der Zielgruppe ist hingegen nur Kunde einer Bibliothek und hat infolgedessen nur ein Bibliothekslogin und gehört keiner Institution an. Die Bibliothekslogins basieren in der Schweiz heute i.d.r. nicht auf SWITCHaai. Hier bestünde folglich Handlungsbedarf. Im Rahmen einer Umfrage unter den teilnehmenden Bibliotheken und Projekten wurde der IST-Zustand aus fachlicher und technischer Sicht erhoben. Die folgenden Unterkapitel fassen die zentralen Erkenntnisse daraus zusammen. Die Umfrageresultate spiegeln den Stand bei Abschluss der Umfrage, d.h. von Mitte August 2011 und können daher bei Drucklegung des Berichts davon abweichen. Der vollständige Fragebogen ist im Anhang 7.1 abgedruckt. 2.1 Dienstleistungen / Ressourcen Die im vorliegenden Konzept SSO für e-lib.ch relevanten Zusammenhänge zwischen Dienstleistungen, Ressourcen und Provider sind in Abbildung 5 dargestellt. Dienstleistungen und Ressourcen Provider von Projekten von Bibliotheken Ressourcen (inkl. Dienstleistungen) Katalogdaten auf frei zugängliche Ressourcen freie Daten anmeldepflichtige Daten für alle Kunden (Bestellung / Ausleihe) für ausgewählte Kunden (z.b. E- Ressourcen nur im IP-Range) etc. Abbildung 5: Verschiedene Provider und ihre spezifischen via Webportal e-lib.ch zugänglich gemachten Ressourcen Die Dienstleistungen und Ressourcen der Provider lassen sich in freie und anmeldepflichtige unterscheiden. Die im Webportal e-lib.ch teilnehmenden Projekte liefern heute und voraussichtlich auch in der weiteren Zukunft meist bibliographische Daten zu frei zugänglichen Ressourcen. Hingegen werden von den Bibliotheken bibliographische Daten zu freien wie anmeldepflichtigen Ressourcen geliefert. Wobei die Anmeldepflichtigen für unterschiedliche Kundengruppen unterschiedlich zugänglich sind: z.b. sind E-Ressourcen heute i.d.r. immer noch nur über die Erkennung der Zugehörig- 4 Einzige wesentliche Ausnahme ist die private FH Kaleidos, die als einzige Schweizer Hochschule z.z. nicht an SWITCH und damit auch nicht an SWITCHaai angeschlossen ist. SSO für e-lib.ch Evaluationsbericht

14 keit zum IP-Bereich der jeweiligen Hochschule nur für die Hochschulangehörigen (inkl. Studierende) zugänglich. Für den Bibliothekskunden einer Hochschulbibliothek besteht sodann die Möglichkeit diese E-Ressourcen als Walk-in-user zu nutzen (d.h. vor Ort an einer Publikumsstation der Bibliothek). 2.2 Arten von Benutzern / Kunden Im weiteren Verlauf der Evaluation hat sich herausgestellt, dass eine Unterscheidung zwischen Personen, die das Webportal e-lib.ch anonym nutzen und solchen, die sich anmelden, um eine Dienstleistung zu nutzen, wichtig ist. In der Konsequenz wird zwischen anonymen Benutzern und Kunden unterschieden. Kunden werden sodann, teilweise abhängig von den Gebühren oder Zugangsrechten, in verschiedene Gruppen unterteilt. Aus den Umfrageergebnissen haben sich grob drei Benutzer- bzw. Kundengruppen herauskristallisiert, die für das SSO relevant sind: 1. Die Angehörigen einer Hochschule, die zugleich auch Angehörige der entsprechenden Hochschulbibliothek sind. 2. Kunden, die von einer anderen Hochschule kommen und eine weitere Bibliothek nutzen. 3. Privatpersonen (inkl. solchen, die als Vertreter von Firmenkunden agieren), die sowohl Kunden von Hochschulbibliotheken wie auch von öffentlichen Bibliotheken sind. Tabelle 1 zeigt als Matrix die unterschiedlichen Gruppen von Benutzern auf, die für die Provider relevant sind. Die einzelnen Bibliotheken unterscheiden für ihre eigenen Dienstleistungen teilweise viel mehr oder aber auch weniger differenzierte Gruppen von Benutzern (teilweise auch Kunde genannt; vgl. Glossar). Art von Provider von e-lib.ch Benutzerarten Hochschulbibliotheken Tabelle 1: Arten von Providern mit Benutzertypisierung Öffentliche Bibliotheken Projekte Anonyme Benutzer X X X Angehörige der eigenen Hochschule Angehörige anderer Hochschulen Privatpersonen X X X X Über diese drei Benutzergruppen hinaus wurden u.a. weiter unterschieden: Angehörige anderer Verbünde Studierende SSO für e-lib.ch Evaluationsbericht

15 2.3 Technische Lösungen (Authentisierung) Das Webportal e-lib.ch ermöglicht einerseits die Authentisierung basierend auf Aleph (NEBIS/IDS) sowie künftig auf SWITCHaai/Shibboleth. In der Umfrage wurden deshalb verschiedene Fragen betreffend die eingesetzten Systeme und die technischen Anmeldeverfahren gestellt. Ausserdem wurde erfragt, ob schon Single Sign On in Bibliotheken und den Institutionen, denen diese zugehören, besteht. Die Resultate zu den einzelnen Fragen sind tabellarisch im Anhang zusammengefasst. Die folgenden Abbildungen geben einen Überblick über Authentisierungsmechanismen: Abbildung 6 Authentisierungsmechansimen Abbildung 7 Bibliotheken mit AAI-Login oder geplantem AAI-Login SSO für e-lib.ch Evaluationsbericht

16 Abbildung 8 Bibliotheken, die Biblotheks- und Hochschullogin zusammengelegt haben/- legen werden SSO für e-lib.ch Evaluationsbericht

17 3 Bedürfnisse / Anforderungen 3.1 Begriffsbestimmung Das Projektteam hat als Arbeitsgrundlage die folgenden beiden Definitionen für Single Sign On verwendet: Pragmatische Definition Single Sign On bedeutet, dass ein Benutzer für sämtliche Logins die gleiche Authentisierung verwenden kann (typischerweise Username/Password) Strenge Definition Single Sign On bedeutet, dass ein Benutzer nach einer einmaligen Authentisierung auf alle Dienste, für die er berechtigt ist, zugreifen kann, ohne sich jedes Mal (innerhalb derselben Browser-Session) neu anzumelden. Im Kontext der Authentisierung im Webportal e-lib.ch können zwei Arten von Bibliotheken unterschieden werden. Zum besseren Verständnis werden die beiden Arten anderes bezeichnet. Die folgende Abbildung illustriert dies. Webportal e-lib.ch Home Library Dritt-Bibliothek Abbildung 9: Home Library und Dritt-Bibliotheken im Kontext der Authentisierung im Webportal e-lib.ch. Home Library Die Bibliothek (inkl. Verbundbibliotheken mit gemeinsamer Benutzerverwaltung mit der Home Library), deren Authentisierungsinformation ein Benutzer zur Anmeldung im Webportal e-lib.ch verwendet. Dritt-Bibliothek Eine Bibliothek, welche nicht Home Library ist. SSO für e-lib.ch Evaluationsbericht

18 3.2 Stufenmodell Es sind verschiedene Umsetzungen von SSO im Webportal e-lib.ch denkbar. Im Rahmen der vorliegenden Evaluation wurde das in der folgenden Abbildung gezeigte Stufenmodell erarbeitet. Stufe 0 Anonyme Verwendung Stufe 1 + Einloggen mit Login Home Library Stufe 2 Abbildung 10: Stufenmodell von SSO im Webportal e-lib.ch + SSO mit Home Library Stufe 3 + SSO mit allen Bibliotheken Dieses Stufenmodell ist wie folgt zu interpretieren: Ausgangslage ist die heutige Situation ohne Login im Webportal e-lib.ch (Stufe 0). Bei jeder Stufe kommt eine bestimmte Funktionalität bzw. ein bestimmter Prozessablauf dazu. Die Stufen bedingen sowohl auf Ebene Webportal e-lib.ch wie auch auf Ebene Bibliothek Anpassungen, beispielsweise o Stufe 1 bedingt seitens Webportal e-lib.ch die Verwendung des Login- Mechanismus und seitens Bibliotheken die Identitätsbereitstellung. o die Stufen 2 und 3 stellen Anforderungen an die jeweiligen Bibliotheken. Zu beachten: Das Stufenmodell ist ein Entwicklungs-/Maturitätsmodell für die einzelnen Bibliotheken, nicht für das Webportal e-lib.ch als Ganzes. In der Umsetzung können sich verschiedene Bibliotheken auf unterschiedlichen Stufen befinden. SSO für e-lib.ch Evaluationsbericht

19 Bibliothek A e-lib.ch 3.3 Stufe 0: Anonyme Verwendung (Ausgangslage) Stufe 0 entspricht der Ausgangslage ohne Authentisierung im Webportal e-lib.ch. Globales Suchen Selektieren lokales Exemplar sichten Login A ID=A313 Exemplar bestellen Abbildung 11: Ablauf mit anonymer Verwendung des Webportals e-lib.ch Der Benutzer findet im Webportal e-lib.ch die gesuchte Ressource und bezieht sie dann bei der jeweiligen Bibliothek (mit der dortigen ID). Im Webportal e-lib.ch ist nur anonyme Suche und ggfs. ein temporäres e-shelf als Gast möglich. Beispielszenario (Stufe 0): Frau Bettina Muster ist Studentin an der Uni Bern. Im Webportal e-lib.ch recherchiert sie nach Informationen zu ihrem Diplomthema. Findet sie dort ein gewünschtes Dokument, wird sie beim Auswählen in das jeweilige Bibliothekssystem weitergeleitet. Will sie das Dokument ausleihen, so muss sie sich dort entsprechend anmelden: Wenn sie bereits Kundin der betreffenden Bibliothek ist, mit ihrem entsprechenden Login; falls sie noch nicht Kundin ist, muss sie den dort üblichen Ablauf für eine Neueinschreibung durchlaufen (anschliessend ist sie Kundin dieser Bibliothek und verfügt über ein entsprechendes, ggf. zusätzliches Login). SSO für e-lib.ch Evaluationsbericht

20 Bibliothek A (Home Library) e-lib.ch 3.4 Stufe 1: Einloggen mit Login Home Library Auf Stufe 1 kann sich der Benutzer bereits im Webportal e-lib.ch mit dem Login aus seiner Home Library einloggen ( authentisieren ). Login A Suchen ID=A313 Selektieren eshelf lokales Exemplar sichten Login A ID=A313 Exemplar bestellen Abbildung 12: Ablauf mit Verwendung Login Home Library Web-Portal e-lib.ch Institution 1 Bibliothek 1 Institution 2 Bibliothek 2 Bibliothek 3... Projekt 1 Projekt 2 Abbildung 13: Visualisierung Kontext unter Verwendung Login Home Library Der Benutzer loggt sich im Webportal e-lib.ch mit dem Login/der Identität seiner Home Library ein. Bei einem Wechsel in die Home Library muss er sich dort (mit den gleichen Login-Daten) erneut anmelden. Zusatznutzen: Individualisierung des Webportals e-lib.ch unter Verwendung der Kundenverwaltungen der beteiligten Bibliotheken: o Speichern von Referenzen/e-Shelf etc. im Webportal e-lib.ch unter dieser ID. o Denkbar wäre: Persönliche Einstellungen (z.b. Sprache). Spezifische Berechtigungen können bei der Suche berücksichtigt werden. Beim Übergang in seine Home Library verwendet der Benutzer den gleichen Benutzernamen und das gleiche Passwort ( SSO im pragmatischen Sinn ). Beispielszenario (Stufe 1): Neu kann sich Bettina Muster im Webportal e-lib.ch einloggen und es personalisieren. Dazu kann sie das gleiche Passwort verwenden, wie im Bibliothekssystem der Uni Bern. Sucht und findet sie nun hier ein bestimmtes Dokument der Uni-Bibliothek Bern, so kann sie die entsprechende Referenz darauf in ihrem e-shelf im Webportal e-lib.ch dauerhaft speichern. Wechselt sie anschliessend ins Bibliothekssystem der Uni Bern, muss sie sich jedoch erneut anmelden immerhin mit dem gleichen Login. SSO für e-lib.ch Evaluationsbericht

21 Bibliothek A (Home Library) e-lib.ch 3.5 Stufe 2: Zusätzlich SSO mit Home Library Auf Stufe 2 erfolgt nun zusätzlich der Übergang in die Home Library nahtlos, d.h. es ist kein neuerliches Login nötig. ID=A313 Login A Suchen Selektieren eshelf lokales Exemplar sichten ID=A313 Zugriff / Bestellen Web-Portal e-lib.ch Institution 1 Bibliothek 1 Institution 2 Bibliothek 2 Bibliothek 3... Projekt 1 Projekt 2 Abbildung 14: Ablauf und Visualisierung Kontext mit Login der Home Library und anschliessendem nahtlosen Übergang zurück in diese Zusatznutzen: Nahtloser Übergang in die Home Library ( SSO im strengen Sinn ). Weiter denkbar (wenn der Zugriff nahtlos möglich ist): o Übernahme persönlicher Einstellungen (z.b. Sprache, Interessensgebiete) vom jeweiligen Bibliothekssystem. o Zugriff auf Konto-Informationen (z.b. Ausleihen) vom jeweiligen Bibliothekssystem. Beispielszenario (Stufe 2): In Ergänzung zum Beispielszenario, Stufe 1, muss sich Bettina Muster in ihrer Home Library jetzt nicht erneut anmelden. SSO für e-lib.ch Evaluationsbericht

22 Verlag Bibliothek B (Dritt- Bibliothek) Bibliothek A (Home Library) e-lib.ch 3.6 Stufe 3: Zusätzlich SSO mit allen Bibliotheken ( Dritt-Bibliotheken ) Stufe 3 ist analog Stufe 2, nur dass der Wechsel jetzt nicht zur Home Library sondern zu einer Dritt-Bibliothek erfolgt. ID=A313 Login A Suchen Selektieren Prüfung ggfs. Neueinschreibung lokales Resultate sichten ID=A313 Zugriff / Bestellen ID=A313 Zugriff e- Ressource Web-Portal e-lib.ch Institution 1 Bibliothek 1 Institution 2 Bibliothek 2 Bibliothek 3... Projekt 1 Projekt 2 Abbildung 15: Ablauf und Visualisierung Kontext mit Übergang in Dritt-Bibliothek mit Login der Home Library und anschliessendem Bestellen einer Ressource Zusatznutzen: Analog zu Stufe 2 jedoch übergreifend von der Home Library zur Dritt- Bibliothek Je nach Umsetzungsszenario (siehe im Lösungskonzept in Kap. 4.5) zusätzlich: o Verknüpfung von Identitäten (Variante 5-B) o Verwendung externer Identitäten (Variante 5-C) o Verwendung übergreifender generischer Rollen (siehe Kap. 4.6) Beispielszenario (Stufe 3): Bettina Muster findet nach Anmeldung im Webportal e-lib.ch ein Dokument bei einer Bibliothek des Rero-Verbunds, bei welcher sie noch nicht Kundin ist. Nachdem sie das entsprechende Dokument selektiert hat und in das zugehörige Bibliothekssystem gewechselt hat, erkennt dieses Bettina Muster ohne erneute Anmeldung als Frau Bettina Muster inklusive ihrem persönlichen Set von Attributen (Adresse, Kontaktangaben etc.), stellt jedoch gleichzeitig fest, dass sie noch keine Kundin ist. Das Bibliothekssystem der Rero-Bibliothek zeigt daraufhin die übliche Anmeldemaske für neue Kunden: Bettina Muster willigt in die Benutzerordnung und die Datenschutzbestimmungen ein, woraufhin das System sie als Kundin anlegt und sie die Bestellung des Buches ausführen lässt. SSO für e-lib.ch Evaluationsbericht

23 4 Lösungskonzept Die einzelnen Entwicklungsstufen von SSO im Webportal e-lib.ch bedingen verschiedene Voraussetzungen. Tabelle 2 zeigt diese differenziert nach betroffenen Beteiligten und führt zugehörige Fragestellungen auf. Diese Fragestellungen werden in den darauffolgenden Unterkapiteln beantwortet. Stufe Voraussetzung Seitens Webportal e-lib.ch Seitens Home Library Seitens Dritt- Bibliothek 1. Einloggen mit Login Home Library Verwendung eines gemeinsamen Authentisierungsmechanismus im Webportal e-lib.ch Frage 1: Welcher gemeinsame Authentisierungsmechanismus? Teilnahme am gemeinsamen Authentisierungsmechanismus und Bereitstellung der Identitäten Frage 2: Bereitstellung IDP für Privatpersonen? Verbinden mit Bib.-Login? Frage 3: Zusammenbringen Hochschul- und Bib.- Login? (keine, da das Login bei einem Wechsel weg vom Webportal e-lib.ch ohnehin wiederholt werden muss) 2. SSO mit Home Library Integration AAI in das Bibliotheksportal bzw. -system Frage 4: Wie technisch machbar? Tabelle 2: Umsetzungsvoraussetzungen für die einzelnen Entwicklungsstufen 3. SSO mit Dritt-Bibliotheken (keine, da bereits gelöst) AAI-Enablen des Bibliotheksportals bzw. -systems (analog Frage 4) Frage 5: Anlegen/Matchen der Kundenidentitäten im Bib.-system? Frage 6: Gemeinsame Rollen und Berechtigungen? SSO für e-lib.ch Evaluationsbericht

24 Die folgende Abbildung gibt eine Übersicht über Entwicklungsstufen, zu klärende Fragestellungen mit den möglichen Varianten und Untervarianten der Umsetzung und einer groben Bewertung. Stufe 3 + SSO mit Drittbibliotheken Stufe 2 + SSO mit Home Library Stufe 1 + Einloggen im Webportal mit Login Home Library Abbildung 16: Übersicht über Entwicklungsstufen mit zu klärenden Fragen, möglichen Varianten und erstem Bewertungsfazit ( empfohlen; nicht empfohlen; interessant; technische Umsetzungsempfehlungen; wäre ideal, doch techn. nicht machbar heute). Die folgenden Unterkapitel gehen auf die Fragen und möglichen Lösungsvarianten im Detail ein. SSO für e-lib.ch Evaluationsbericht

25 4.1 Welcher gemeinsame Authentisierungsmechanismus (Frage 1) Da schon verschiedene Authentisierungsmechanismen bestehen, sollte auf einem der vorhandenen aufgebaut werden. Drei Typen wurden identifiziert, die als gemeinsamer Authentisierungsmechanismus in Frage kämen: 1A: Bibliothekslogins 1B: Institutionslogins 1C: SWITCHaai Die folgende Tabelle vergleicht und bewertet diese Varianten. Beschreibung Stärken / Chancen Schwächen / Risiken Fazit Variante 1A Bibliothekslogins z.b. klassisiches Shared User File (SUF) des IDS Gewisse Autonomie der Bibliotheken Ohne jede übergeordnete Integration Technisch aussterbende Insellösung Nicht empfohlen (keine Option) Variante 1B Institutionslogins Bestehende Standardverzeichnisdienste wie z.b. Active Directory (AD) und LDAP In einigen Hochschulen schon vorhanden Verwendung in einer Verbundlösung / in Föderierung nicht vorgesehen (genau für diesen Zweck wurde SWITCHaai geschaffen) Nicht empfohlen (keine Option) Variante 1C SWITCHaai Von SWITCH koordinierte, auf Shibboleth basierende institutionsübergreifende Authentisierungs- und Autorisierungslösung Etablierter Standard im Hochschul- und Bibliotheksumfeld (Verlage) in der Schweiz und auch international Bei sämtlichen Hochschulen der Schweiz und bereits bei einigen Bibliotheken im Einsatz Identitätsbereitstellung und Integration nicht ganz trivial (aber entsprechende Lösungen verfügbar) Empfohlen Tabelle 3: Varianten für die gemeinsame Authentisierung im Webportal e-lib.ch Zur Wahl des gemeinsamen Authentisierungsmechanismus: Die Wahl von SWITCHaai ist auf Grund der Vorteile der weiten Verbreitung im internationalen und nationalen Bibliotheks- und im Verlagswesen sowie den bereits durchgeführten und geplanten Vorhaben offenbar nur eine Formsache. Für die weiteren Fragestellungen im vorliegenden Lösungskonzept wird deshalb von gemeinsamer Authentisierung mit SWITCHaai ausgegangen. SSO für e-lib.ch Evaluationsbericht

26 4.2 Bereitstellung IDP für Privatpersonen (Frage 2) Die Bereitstellung der Identitäten von Privatpersonen könnte prinzipiell auf folgenden Varianten aufgebaut werden: 2A: Verwaltung der Daten der Privatkunden in der gleichen Datenbasis wie die jeweiligen Hochschulangehörigen. 2B: Aufbau eines oder einiger weniger Privatkunden-Identity Provider (IDP) basierend auf einer Lösung von SWITCH 2C: Verwendung eines öffentlichen IDP (OpenID, SuisseID) Die folgende Tabelle vergleicht und bewertet diese Varianten. Variante 2A Verwaltung in Datenbasis Hochschulangehörige Variante 2B Aufbau Privatkunden- IDP (+versch. Sub-Varianten) Variante 2C Öffentlicher IDP (OpenID, SuisseID etc.) Beschreibung Die Privatkunden werden genau gleich behandelt und verwaltet wie die Angehörigen der jeweiligen Hochschule. Die Daten der Privatkunden werden weiterhin im Bibliothekssystem gehalten und über einen dedizierten Privatkunden-IDP bereitgestellt. Die Privatkunden pflegen ihre Daten selber in einem öffentlichen IDP (z.b. O- penid, SuisseID) Stärken / Chancen Nutzung bestehender Services (Verwaltung Personendaten, Hochschul-IDP) Erweiterung eines Standard-Serviceangebots von SWITCH Relativ günstig Kontrolle Einfacher Ausbau des/der IDP um weitere Attribute (z.b. Rollen) Verwaltung muss nicht selber gemacht werden Identität kann vom Benutzer zentral gepflegt werden Wenn ein qualitativ hochstehender IDP vorhanden, sehr zukunftssicher Schwächen / Risiken Vermischung hochschulinterner und externer Personen (nicht erwünscht) Nicht kurzfristig umsetzbar Nicht erweiterbar auf Nicht- Hochschulbibliotheken Dediziert aufzubauen Fehlende Verbreitung qualitativ guter und zugleich günstiger Angebote Derzeit kein vertrauenswürdiges Rechtsverhältnis vorhanden AAI-Integration offen Sicherheitsrisiken Fazit Nicht empfohlen (keine Option) Empfohlen (versch. Subvarianten) Könnte in 2-3 Jahren interessant sein, heute noch nicht bereit. Tabelle 4: Varianten für die Identitätsbereitstellung für Privatkunden SSO für e-lib.ch Evaluationsbericht

27 Für die Variante 2B Aufbau Privatkunden-IDP sind die in folgender Tabelle gezeigten und bewerteten Subvarianten denkbar. Variante 2B Aufbau Privatkunden-IDP Variante 2Bi Ein zentraler Privat- IDP Variante 2Bii Verbundorientiert Variante 2Biii Dezentral Beschreibung Es gibt einen zentralen IDP für die Bibliotheken der ganzen Schweiz, in welchem die dezentralen Daten vereinigt werden. Pro heutiger Gruppierung / Verbund (Technologie) gibt es einen IDP, z.b.: - CH-IDP-1: IDS, NEBIS - CH-IDP-2: RERO, NB - CH-IDP-3: weitere Dezentral werden einzelne Privat-IDP aufgebaut und betrieben (z.b. NEBIS) Stärken / Chancen Synergien beim Aufbau und Betrieb Benutzer hat nur einen IDP zur Auswahl bei Anmeldung (WAYF) Zentraler, CH-weiter Privatkundenindex als Basis für zukünftige Erweiterungen Abbildung von heutigen Strukturen: Governance kann sich an heutigen Trägern ausrichten Reduktion technischer Schnittstellen (pro IDP eine Technologie) Virtuelle Gruppierung zu CH-weitem Privatkundenindex denkbar Nachträgliche Vereinigung zu einem zentralen IDP einfach möglich Einfachste Governance Virtuelle Gruppierung zu CH-weitem Privatkundenindex denkbar Nachträgliche Vereinigung zu verbundorientierten bzw. einem zentralen IDP möglich Schwächen / Risiken Komplexe Governance (Trägerorganisation offen) Verschiedene, technisch sehr unterschiedliche Schnittstellen Skalierung bei sehr vielen Daten abzuklären Gewisse Redundanz (Betrieb) Sehr grosse Redundanzen (Betrieb); können sich dies alle Provider leisten? Risiko der Verzettelung Fazit Empfohlen, falls von Governance und Technik machbar Empfohlen (Sinnvoller Ausgleich von Synergien und Machbarkeit) Nicht empfohlen (zu teuer, zu ungesteuert) Tabelle 5: Subvarianten für den Aufbau von Privatkunden-IDP Der Nutzen eines CH-weiten Privatkundenindex könnte die übergreifende Kundenbereinigung bzw. das CH-weite Sperren von Kunden sein. Zudem könnte für die Kunden die Auswahl im WAYF (Where are you from) einfacher gestaltet werden. SSO für e-lib.ch Evaluationsbericht

28 4.3 Zusammenführung Hochschul- und Bibliothekslogin (Frage 3) Die Identitätsbereitstellung für SWITCHaai (sog. Identity Provider IDP) für Hochschulangehörige ist bis auf wenige Ausnahmen bereits für sämtliche Schweizer Hochschulen umgesetzt. Die entsprechenden Personendaten werden typischerweise im entsprechenden Personendatenverwaltungssystem der Personalabteilung oder des Rektorats der jeweiligen Hochschule verwaltet und über einen IDP bereitgestellt. Die Bereitstellung eines AAI-Logins auf Basis Hochschul-Login stellt zwar ein Login für das Webportal e-lib.ch bereit, dieses ist jedoch typischerweise noch nicht mit dem Login des Bibliothekssystems zusammengeführt. Denkbare Varianten für die Zusammenführung sind (vgl. Evaluation SSO an der ETH- Bibliothek, welche im Sommer 2011 durchgeführt wurde): Bereitstellung über Batch-Prozesse Für Aleph in Form des Patron Loaders verfügbar; bereits für die EPFL im Einsatz und für die ETH-Bibliothek der ETH Zürich geplant, relativ günstig in Umsetzung und Betrieb und potentiell auch für weitere Kundengruppen einsetzbar. Einzige (jedoch akzeptierbare) Schwäche ist, dass der Abgleich der Daten nicht in Echtzeit sondern nur einige Male pro Tag erfolgt. Just-in-time Provisioning im Bibliothekssystem Diese Variante könnte für alle AAI IDP-Provider eingesetzt werden (Umsetzung Stufe 2+3) und würde real time /aktuelle Daten verwenden. Sie würde jedoch einen meist aufwändigen Umbau der jeweiligen proprietären Bibliothekssystem-Software bedingen und wird daher auf Grund der deutlich grösseren Kosten und Risiken sowie der begrenzten Restlaufzeit der heutigen Bibliothekssystem-Software weniger empfohlen. Die generelle Empfehlung, dass die Zusammenführung von Hochschul- und Bibliothekslogin am besten über die Bereitstellung mittels Batch-Prozessen geschieht, kann nur für Aleph-Software nutzende Bibliotheken abgegeben werden. Für alle anderen Bibliotheken müsste das jeweilige System genauer analysiert werden. Solange Hochschul- und Bibliothekslogin getrennt bleiben, wird für die jeweiligen Hochschulangehörigen somit höchstens die Stufe 1 erreicht werden können. SSO für e-lib.ch Evaluationsbericht

29 4.4 Wie AAI in das Bibliotheksportal bzw. -system integrieren (Frage 4) Stufe 2 ergänzt zu Stufe 1 den nahtlosen Übergang ( SSO im strengen Sinne ) in die Home Library bzw. konkret in das dortige Bibliotheksportal bzw. -system, in welchem der Benutzer dann die entsprechenden berechtigungspflichtigen Aktionen durchführen bzw. auf Ressourcen zugreifen kann. Damit dies funktioniert, muss AAI integriert sein. Die Umsetzung ist je nach Produkt des Bibliothekssystems unterschiedlich: Innerhalb der ExLibris-Produkte (Primo und Aleph mit AAI) wird dies unterstützt durch Patron Directory Services ( PDS ; wird bei der ETH-Bibliothek 2012 eingeführt; vgl. Evaluation SSO an der ETH-Bibliothek, welche im Sommer 2011 durchgeführt wurde). Für weitere Bibliothekssysteme z.b. VTLS/Virtua ist dies zu analysieren. SSO für e-lib.ch Evaluationsbericht

30 4.5 Wie Kundenidentitäten im Bibliothekssystem anlegen (Frage 5) Stufe 3 ( SSO mit Drittbibliothek ) ergänzt nun den nahtlosen Übergang in eine Dritt- Bibliothek, d.h. in eine Bibliothek, welche nicht der Home Library entspricht, mit deren Login sich der Anwender im Webportal e-lib.ch angemeldet hat 5. Für die Umsetzung sind verschiedene Ebenen zu unterscheiden: Authentisierung Vertrauenswürdige Überprüfung der Identität des Anwenders. Dies ist genau gleich zu lösen wie beim Übergang in die Home Library. Siehe Antworten auf Frage 2. im vorhergehenden Unterkapitel Anlegen / Verknüpfen Kundenverhältnis Festlegen des Kundenverhältnisses des Anwenders. Der Anwender muss neu als Kunde der Dritt-Bibliothek angelegt bzw. mit einer dort bestehenden Identität verknüpft werden. Siehe Varianten/Antworten auf Frage 5. folgend Autorisierung Bewilligen des Anwenderzugriffs auf geschützte Transaktionen oder Ressourcen. Siehe Varianten/Antworten auf Frage 6. im Folgenden Erläuterung im Kontext des Beispielszenarios: Authentisierung: Bettina Muster weist nach, dass sie wirklich Bettina Muster ist. Die Idee des SWITCHaai-Logins ist, dass sie dies mit Username/Password tut und sich anschliessend nicht mehr erstmalig mit z.b. ihrer Identitätskarte ausweisen muss in der Dritt-Bibliothek, in der sie noch nicht Kundin ist. Anlegen / Verknüpfen Kundenverhältnis: Die Dritt-Bibliothek weiss zwar, dass Bettina Muster wirklich Bettina Muster ist, eine Kundin der Dritt-Bibliothek ist sie jedoch nicht automatisch. Hierzu muss sie z.b. die spezifische Benutzungsordnung der Dritt-Bibliothek akzeptieren und in die elektronische Speicherung ihrer Daten einwilligen. Autorisieren: Auf welche Ressourcen B. Muster zugreifen kann (z.b. welche Dokumente sie ausleihen darf), muss in einem weiteren Schritt definiert werden. Denkbar wäre, dass die Dritt-Bibliothek (im Szenario von Seite 22 der Rero-Verbund) Fremdkunden grundsätzlich wie eigene behandelt. Dies sollte jedoch im Rahmen eines übergreifenden Rollen- und Berechtigungskonzepts definiert sein (vgl. Kap. 4.6). Prinzipiell sind die folgenden Varianten denkbar: Variante 5A: Neuanlegen Variante 5B: Matching Variante 5C: Externe Verwendung der Identitäten 5 Wichtig ist, dass es sich bei Dritt-Bibliotheken um Bibliotheken handelt, welche sich auch nicht innerhalb eines Verbundes mit gemeinsamer Benutzerbasis mit der Home Library befinden (siehe auch 17). Denn in diesen ist der Benutzer ja bereits über andere technische Mechanismen als Kunde bekannt. SSO für e-lib.ch Evaluationsbericht

31 Variante 5A Neuanlegen Variante 5B Matching Variante 5C Externe Verwendung der Identitäten Beschreibung Kunden werden bei erstmaligem Einloggen grundsätzlich neu angelegt. Dies kann manuell durch das Bibliothekspersonal (mit zeitlicher Verzögerung) oder automatisch im Bibliothekssystem erfolgen. Teil des Prozesses dürfte sein: Akzeptieren Benutzerordnung, Einwilligen Datenhaltung Bei erstmaligem Einloggen wird nach einer bestehenden Identität gesucht und bei einer Übereinstimmung (z.b. für einen bestimmten Merkmalssatz) eine Verknüpfung erstellt. Falls kein Match, Ablauf wie bei Variante 5-A. Das Bibliothekssystem der Dritt-Bibliothek verwendet die Identität extern, d.h. ohne Neuanlegen im eigenen System (bzw. nur unter Verwendung einer Kopie der Personendaten; der Master bleibt in der Home Library) Stärken / Chancen Von der Logik sehr einfach Bildet den heutigen Ablauf mit dem BiblioPass elektronisch ab (reines Authentisierungsmittel) Matching von Mehrfacheinschreibungen in verschiedenen Bibliotheken / Vermeidung von Dubletten Wäre ein Schritt in Richtung CH-Identität im Bibliothekswesen Von der Logik sehr einfach Weitergehender Nutzen: Verwendung gemeinsamer Rollen und Berechtigungen (siehe Kap. 4.6); dadurch nahtlose Verwendung verschiedener Bibliotheken mit einem Login/Identität Schwächen / Risiken Potentiell viele Dubletten Mutationen sind in allen Bibliothekssystem nachzuführen Zeitliche Verzögerung Technisch und prozessseitig komplizierter und aufwändiger in der Umsetzung Voraussetzungen: - Gegenseitiges Vertrauen in Identitäten - Für vollen Nutzen: gemeinsame Rollen und Berechtigungen nötig In der Umsetzung potentiell sehr komplex; keines der bisherigen Bib.systeme unterstützt dies. Fazit Derzeit die einzige realistische Variante Auf Grund der Komplexität nicht empfohlen Wünschenswerte Anforderung für künftige Bibliothekssysteme Tabelle 6: Varianten für die gemeinsame Authentisierung im Webportal e-lib.ch Erläuterung im Kontext des Beispielszenario: Variante 5B: Das Bibliothekssystem des Rero-Verbunds stellt beim erstmaligen Einloggen von Bettina Muster fest, dass bereits eine solche an gleicher Wohnadresse Kundin einer Schweizer Bibliothek ist. Daraufhin fragt das Bibliothekssystem Bettina Muster, ob die beiden Logins verknüpft werden sollen (oder separat zu behandeln sind). Falls sie ersteres bejaht, kann sie anschliessend mit ihrem bisherigen Login von Bern bei Rero das gewünschte Dokument beziehen. SSO für e-lib.ch Evaluationsbericht

32 4.6 Gemeinsame Rollen und Berechtigungen (Frage 6) Generische Rollen sind die Grundlage für die Definition von generischen Berechtigungen ( Autorisierung : was darf die Person machen?). Rollen basieren auf überprüfbaren Eigenschaften der Person (z.b. ist die Person X Angehöriger der Hochschule A?) und es ist nötig, dass diese Attribute analog der Authentisierung sicher und unveränderbar übertragen werden (mit SAML/Shibboleth stehen Standards für genau diesen Zweck zur Verfügung). Der Ablauf wird exemplarisch in Abbildung 17 gezeigt. Abbildung 17: Ablaufmit einer übergreifenden generischen Rolle Erläuterungen zum in Abbildung 17 gezeigten Ablauf: Voraussetzung: X ist Angehöriger der Hochschule A und der zugehörigen Bibliothek; über den Hochschul-IDP von A wird seine Identität bereitgestellt. Schritt 1: X loggt sich mit seiner Identität von A im Webportal e-lib.ch ein; dabei werden seine ID (A313) und seine generische Rolle (in diesem Beispiel CH- Hochschulangehöriger ) mit bereitgestellt. Schritt 2: Beim Absprung werden diese Informationen an Bibliothek B weitergereicht. Schritt 3: Innerhalb des Bibliothekssystems B hat X die zur generischen Rolle gehörenden generischen Berechtigungen (z.b. Zugriff auf bestimmte lizenzierte Ressourcen); dies erfolgt ohne dass ein neuerlicher Einschreibeschritt nötig ist. Generische Rollen Mögliche generische Rollen sind: Einfach Kunde einer teilnehmenden Bibliothek Gemäss SWITCHaai-Standard Hochschulangehöriger : Student/Doktorand, Angestellter Privatperson (letzteres wird zur Zeit erarbeitet) Gemäss IDS-Standard Sonderrollen: anonymer Benutzer vor Ort / common-lib-terms SSO für e-lib.ch Evaluationsbericht

33 Identifizierter Benutzer Kunde CH-Bibliothek Generische Berechtigungen (Berechtigungsmatrix) Die übergreifenden Berechtigungen verknüpfen nun die generischen Rollen mit der Autorisierung bestimmter Aktionen bzw. dem Zugriff auf bestimmte Ressourcen 6. Eine mögliche generische Berechtigungsmatrix ist in Tabelle 7 gezeigt. Rolle Funktionen Suchen / Selektieren Zugriff freie e-ressourcen Tabelle 7: Mögliche generische Berechtigungsmatrix E-Shelf führen Bestellen / Ausleihen Zugriff liz. e-ressourcen Typ 1 Typ 2 Typ 3 Anonymer Benutzer Nicht-Kunde Privatperson Privatperson, vor Ort Hochschulangehöriger, sonstige Hochschule Hochschulangehöriger, Hochschule Verweis auf mögliche Umsetzung: Obige Vorschläge stellen erste illustrative Ausgestaltungen dar. In einem separaten Vorhaben ist unter breiter Beteiligung der entsprechenden Anspruchsgruppen ein entsprechendes Konzept zu erstellen. 6 Bei lizenzierten elektronischen Ressourcen wurden in dieser Tabelle generische Typen beispielhaft unterschieden. SSO für e-lib.ch Evaluationsbericht

34 5 Umsetzung Die Umsetzung der gemäss Kapitel 4 am ehesten in Frage kommenden Varianten für die einzelnen Teilfragen kann mittels der folgenden Module erfolgen: M1: Integration SWITCHaai im Webportal e-lib.ch M2: Aufbau Privatkunden-IDP M3: Zusammenlegen Hochschul- und Bibliotheks-Login M4: Integration AAI in Bibliothekssystem(e) M5: Ermöglichen Neueinschreiben per Login M6a: Konzept gemeinsame Rollen und Berechtigungen M6b: Umsetzung Rollen- und Berechtigungskonzept in Bibliothek(en) M7: Integration SWITCHaai in e-lib.ch-projekt-websites Die folgende Abbildung positioniert diese Module im Kontext der Entwicklungsstufen. Modul M7: Integration SWITCHaai in e-lib.ch-projekt-websites ist dabei unabhängig von den Entwicklungsstufen der Bibliotheken. Stufe 3 + SSO mit Drittbibliotheken Stufe 2 + SSO mit Home Library M5: Ermöglichen Neueinschreiben per Login M6: Gemeinsame Rollen und Berechtigungen Stufe 0 Anonyme Verwendung Stufe 1 + Einloggen im Webportal mit Login Home Library M1: Integration SwitchAAI im Webportal e-lib.ch M2: Aufbau Privatkunden-IDP M3: Zusammenlegen Hochschulund Bibliotheks-Logins M4: Integration AAI in Bibliothekssystem(e) Abbildung 18: Positionierung der Module im Kontext der Entwicklungsstufen Bezüglich der Abhängigkeit und des genauen Zeitpunkts der Umsetzung der einzelnen Module können folgende Aussagen gemacht werden: Die Umsetzung der einzelnen Module ist grundsätzlich von Bibliothek zu Bibliothek unabhängig. Vor der Planung und Umsetzung von Modulen für einzelne Bibliotheken ist jeweils eine vertiefte Analyse für die jeweilige Bibliothek durchzuführen. Eine Kombinationen von Modulen wie auch andere Reihenfolgen sind durchaus denkbar. Bei sämtlichen Modulen, welche unter der dezentralen Führung der Projekte und Bibliotheken umgesetzt werden, sind technische Synergien denkbar. SSO für e-lib.ch Evaluationsbericht

35 Folgende Module sollten übergreifend koordiniert umgesetzt werden: M1: Integration SWITCHaai im Webportal e-lib.ch Zentral im Webportal e-lib.ch umzusetzen M2: Aufbau Privatkunden-IDP Hier ist eine übergreifende Koordination sinnvoll: Je nach Variante in verbundorientierter oder sogar in Form zentraler Umsetzung. Auf jeden Fall sollten die verwalteten Attribute koordiniert bzw. standardisiert werden. M5: Ermöglichen Neueinschreiben per Login Eine Absprache hinsichtlich des Prozesses Neueinschreibung wird empfohlen mit dem Ziel, aus Kundensicht einen einheitlichen Ablauf umzusetzen (vgl. heutige Ausgestaltung BiblioPass). M6: Gemeinsame Rollen+Berechtigungen Das zugehörige Konzept (M6a) ist per definitionem übergreifend, die Umsetzungen (M6b) hingegen sind dezentral. Die folgende Abbildung illustriert vereinfachend die unterschiedlichen Umsetzungsgeschwindigkeiten, die die einzelnen Bibliotheken wählen können, in Form einer beispielhaften Roadmap. Abhängigkeiten müssten lokal berücksichtigt werden. Das Modul 6 fehlt in dieser Darstellung, weil dies durch eine übergeordnete Organisation geplant werden sollte etc. etc. Webportal e-lib.ch M1: SwitchAAI im Webportal e-lib.ch Bibliothek 1 M2: Privatkunden-IDP M3: Zusammenlegen Hochschul-/Bib.Logins Privatpersonen auf Stufe 1 Hochschulangeh. auf Stufe 1 M4: AAI-Enablen des Bibliothekssystems Bibliothek 1 auf Stufe 2 M5: Ermöglichen Neueinschreiben per Login Bibliothek 1 auf Stufe 3 Bibliothek 2 M2: Privatkunden-IDP Privatpersonen auf Stufe 1 M3: Zusammenlegen Hochschul-/Bib.Logins Hochschulangeh. auf Stufe 1 M4: AAI-Enablen des Bibliothekssystems Bibliothek 2 auf Stufe 2 M5: Ermöglichen Neueinschreiben per Login Bibliothek 2 auf Stufe 3 Abbildung 19: Illustrative Umsetzungs-Roadmap SSO für e-lib.ch Evaluationsbericht

36 Aus Benutzersicht kann die unterschiedlich schnelle Entwicklung verschiedener Bibliotheken folgende Konsequenzen haben: Der Benutzer kann sich erst im Webportal e-lib.ch mit seinem Bibliothekslogin einloggen, wenn seine Bibliothek seine Daten in einem IDP bereitstellt (Erreichen von Stufe 1 durch die Home Library) Im oben skizzierten Szenario, wo Bibliothek A auf Stufe 3 ist, Bibliothek B jedoch erst auf Stufe 1, ergeben sich folgende Konsequenzen: o Benutzer mit Home Library B haben SSO mit Bibliothek A. o Benutzer mit Home Library A haben jedoch kein SSO mit Bibliothek B. Die folgende Tabelle führt pro Modul qualitativ Nutzen und Aufwand einer Umsetzung auf. Beim Nutzen wird zwischen heutiger Situation (bezogen auf Kunden, Häufigkeit, Effizienz etc.) und einer möglichen zukünftigen Situation mit e-services (z.b. e- Lending) unterschieden. Modul Aufwand Nutzen M1: Integration SWITCHaai im Webportal e-lib.ch M2: Aufbau Privatkunden- IDP M3: Zusammenlegen Hochschul- und Bibliotheks- Login M4: Integration AAI in Bibliothekssystem(e) M5: Ermöglichen Neueinschreiben per Login M6: Gemeinsame Rollen und Berechtigungen M7: Integration SWITCHaai in e-lib.ch-projekt- Websites Niedrig Niedrig bis mittel Mittel Mittel bis hoch Hoch Hoch Niedrig Heute: Mittel: e-lib.ch-login möglich Heute: Mittel: e-lib.ch-login möglich sowie ggfs. Login Publikumsstation Zukünftig mit e-services: Hoch: Grundlage für Zugriff Heute: Mittel: Komfortabler und moderner Zugang für Benutzer, Entlastung in der Verwaltung Heute: Niedrig bis mittel: nahtloser Übergang für Benutzer Heute: Niedrig bis mittel: im Einzelfall hoch, jedoch sehr selten Zukünftig mit e-services: Mittel: im Einzelfall hoch, mit e-lib.ch zunehmend Heute: Niedrig Zukünftig mit e-services: Hoch: Grundlage für übergreifenden Zugriff (z.b. konsortiale Erwerbungen e-ressourcen oder e- Lending) Heute: Niedrig: bei keinem Projekt von e-lib.ch ein Thema Zukünftig: Könnte im Einzelfall ein Thema sein Tabelle 8: Aufwand- und Nutzen-Überlegungen der einzelnen Module SSO für e-lib.ch Evaluationsbericht

37 Die folgende Abbildung visualisiert Aufwand und Nutzen der einzelnen Module als Gesamtportfolio. Aus dieser Positionierung und den in der Tabelle aufgeführten Erläuterungen leiten sich die im Management Summary zusammengefassten Empfehlungen zur Umsetzung der Module ab. Abbildung 20: Aufwand-Nutzen-Portfolio für die einzelnen Umsetzungsmodule SSO für e-lib.ch Evaluationsbericht

38 6 Empfehlung Das Projektteam der Evaluation SSO legt aus Sicht Webportal e-lib.ch den Entscheidungsträgern Empfehlungen vor, die für die Umsetzung sowohl das Weportal e-lib.ch wie auch die Bibliotheken einbeziehen. Das Projektteam hat versucht auf Basis der Kenntnisse eine Aussage zu machen, welche Teile der Infrastruktur zentral umzusetzen sind und welche dezentral. Aufwand und Kosten wurden weiter oben summarisch geschätzt Diese müssten zu Projektbeginn als erstes veranschlagt werden. Direkt umzusetzen ist das Modul 1: Integration von SWITCHaai in das Webportal e-lib.ch Die Umsetzung dieses Moduls sollte durch das Projekt Webportal e-lib.ch 2012 möglichst rasch vorangetrieben werden. Ebenfalls möglichst rasch umzusetzen empfiehlt das Projektteam das Modul 2: Aufbau eines oder mehrerer Privatkunden-IDP Eine zentrale Koordinationsstelle sollte dafür verantwortlich sein, dass eine einheitliche Struktur der IDPs gewährleistet wird, sowohl technisch wie betreffend die Definition der Attribute und auch betreffend die Ausgestaltung des Zugangs für die Nutzer (WAYF). Sinnvollerweise werden mit diesem Schritt auch die Module 5 und 6a angegangen: Ermöglichen Neueinschreiben per Login Gemeinsame Rollen und Berechtigungen Wird nur ein IDP für die Bibliotheken der gesamten Schweiz aufgesetzt, so kann die Koordination der Umsetzung durch das Webportal e-lib.ch übernommen werden. Werden hingegen mehrere IDP aufgesetzt (Variante 2b Verbund orientiert), wird die Umsetzung sinnvollerweise an die Verbünde delegiert. Eine zentrale Koordination erscheint jedoch dennoch sinnvoll wie schon oben erwähnt, um die übergeordnete Einheitlichkeit zu gewährleisten. Insbesondere sollte unbedingt ein einheitlicher Attribute Katalog festgelegt und so weit wie möglich an den für die Hochschulangehörigen geltenden angelehnt werden. Für die Implementierung der Schnittstellen von den IDP zu den Bibliotheksystemen ist jeweils wieder die einzelne Bibliothek verantwortlich, die jedoch von der Organisation (Webportal e-lib.ch/verbund) unterstützt werden sollte. Hinsichtlich der folgenden Module Zusammenlegen von Hochschul- und Bibliotheks-Login (M3) Integration von SWITCHaai in die Bibliothekssysteme (M4) empfiehlt das Projektteam, dass diese durch die einzelnen Bibliotheken bzw. Betreiber der Verbundsysteme umgesetzt werden. SSO für e-lib.ch Evaluationsbericht

39 Die folgende Darstellung illustriert das empfohlene Vorgehen in einem idealen Zeitrahmen. Abbildung 21: Umsetzungsempfehlung Obwohl die Module ein gestaffeltes Vorgehen erlauben, empfiehlt das Projektteam ein möglichst konzertiertes Vorgehen der grössten Verbünde und Bibliotheken. Dies bringt den Kunden den grössten Nutzen und stärkt die Effektivität des nationalen Webportals sowie der angebotenen Dienstleistungen der Bibliotheken. Das dem Steuerungsausschuss Webportal empfohlene Vorgehen ist im Anhang 7.6. eingefügt. SSO für e-lib.ch Evaluationsbericht

40 7 Anhang 7.1 Zeitplan der Evaluation 7.2 Fragebogen der Umfrage Die Umfrage wurde Mitte Juli (Kalenderwochen 28 und 29) versendet mit der Bitte um Beantwortung bis zum 5. August. 0 Angaben zum Fragebogen 0.1 Bibliothek / Projekt z.b. "Bibliothek X", "Projekt Z" 0.2 Ansprechpartner [Verantwortliche/-r] [ggfs. Kontaktdaten von Fach-/IT-Personen für Rückfragen] 0.3 Über diesen Fragebogen Antworten jeweils bezogen auf - Ist-Zustand (ggfs. geplante Weiterentwicklungen) - Relevanz für ein Angebot / Integration in e-lib.ch Struktur: 1+2: fachliche Fragen 3: technische Fragen -> ggfs. durch zuständige IT-Person zu beantworten 1 Dienstleistungen 1.1 Welche Ressourcen (z.b. Dokumente, Bilder) bzw. Dienstleistungen (z.b. Ausleihen) bieten Sie online an, für welche eine Benutzeranmeldung ("Authentisierung") notwendig ist? SSO für e-lib.ch Evaluationsbericht

41 z.b. - Zugriff auf Benutzungskonto (Einstellung, aktuelle Ausleihen) - Ausleihe physischer Dokumente - Bestellung von Kopien - Bestellung von hochauflösenden Bildern - Fernzugriff auf lizenzierte elektronische Inhalte - DOI-Vergabe etc. 2 Arten von Benutzer / Kunden 2.1 Welche Arten von Benutzern / Kunden unterscheiden Sie beim Zugriff? z.b. 1. Angehörige der Institution/Hochschule, zu der die Bibliothek / das Projekt gehört 2. Angehörige weiterer Hochschulen 3. Andere Benutzer/Kunden (z.b. Privatpersonen, Angehörige anderer Verbünde) 4. etc. 2.2 Gibt es unterschiedliche Berechtigungen für unterschiedliche Benutzer-/Kundengruppen? Falls ja, welche? z.b. Zugriff auf lizensierte e-dokumente nur für Kunden vor Ort z.b. Bezug gebührenpflichtiger Dienstleistungen 3 Technische Lösung (Authentisierung) Dieser Teil ist eher technisch und ggfs. durch eine zuständige IT-Person zu beantworten 3.1 Welche technischen Anmeldeverfahren ("Authentisierungslösungen") sind für welche (oben aufgelisteten) Dienstleistungen bei Ihnen im Einsatz? Auf welchen Technologien beruhen sie jeweils? z.b. - Bibliothekslogin für Ausleihe: Technologie A - Institutionslogin für allg. Systemlogin (Anmeldung Arbeitsplatz, Mail etc.): Technologie B Technologien sind z.b. LDAP, AD, AAI, RADIUS, in Appl. integriert etc. Falls Authentisierung mit phys. Medium, dieses bitte angeben (z.b. PKI-Karte) 3.2 Gibt es in Ihrer Institution eine "Standard-Authentisierung" für elektronischen Zugriff / Dienstleistungen? Falls ja: auf welcher Technologie basiert diese? 3.3 SWITCHaai: - Für welche Bereiche ist dieses bereits im Einsatz? - Ist ein Single-Sign-On mit der Standard-Authentisierung umgesetzt oder geplant? Tabelle 9: Fragebogen Umfrage 2011 SSO für e-lib.ch Evaluationsbericht

42 7.3 Liste der Umfrage-Teilnehmer Provider Angeschriebene Personen E-Depot e-rara.ch DOI-CH Infonet Economy RODIN Kartenportal.CH infoclio.ch swissbib Michael Ehrismann, Projektltg. E-Depot Konsortium der Schweizer Hochschulbibliotheken Franziska Geisser, Projektltg., e-rara.ch ETH-Bibliothek, Zürich Angela Gastl, Projektltg. DOI-CH ETH-Bibliothek, Zürich Hélène Madinier, Projektltg. InfoNet Economy Hochschule für Wirtschaft Genf Dr. René Schneider, Projektl. RODIN Haute école de gestion de Genève Jost Schmid, Kontakt Kartenportal.CH Zentralbibliothek Zürich Enrico Natale, Projektltg. InfoClio Tobias Viegener, Projektkoord. swissbib Universitätsbibliothek Basel Partner von Swissbib Universitätsbibliothek Basel Universitätsbibliothek Bern Bibliothek der Universität St. Gallen Zentral- u. Hochschulbibliothek Luzern ETH-Bibliothek Bibliothek der EPFL FHNW Hannes Hug Marianne Rubli Supersaxo Edeltraud Haas Ulrich Niederer Dr. Wolfram Neubauer, Walter Lionel Marianne Hertner SSO für e-lib.ch Evaluationsbericht

43 EIARC LIB4RI ZHAW ZHDK Zentralbibliothek Zürich Universität Zürich, Hauptbibliothek Nathalie Jacot Dr. Lothar Nunnenmacher Dr. Wolfgang Giella Jan Melissen Bernhard Hefele Dr. Heinz Dickenmann Sbt c/o Biblioteca Cantonale Lugano Réseau des Bibliothèques de Suisse occidentale, Martigny Schweizerische Nationalbibliothek Tabelle 10: Liste der Umfrageteilnehmer Gerardo Rigozzi Marylène Micheloud skype: marylene.micheloud Marie-Christine Doffey SSO für e-lib.ch Evaluationsbericht

44 Aleph SIGB/ Virtua SWIT- CHaai Windo ws AD LDAP IP (inkl. Proxy/ VPN) 7.4 Zusammenfassung der Antworten zur Frage 3 Zu beachten: Die Antworten sind ab dem 5. August eingetroffen. Die letzten Antworten erhielt das Projektteam am 11. und 18. August. Die Antworten spiegeln daher den Stand zu diesem Zeitpunkt. Seither können sich in den einzelnen Bibliotheken schon Änderungen ergeben haben (z.b. an techn. Lösungen). Ausserdem zu beachten: Nicht alle der nachfolgenden Dienstleistungen werden in jedem Fall von den Bibliotheken der Institutionen erbracht. Frage 3.1. Welche technischen Anmeldeverfahren sind für welche Dienstleistungen im Einsatz und auf welchen Technologien beruhen sie jeweils? Dienstleistung Anmeldeverfahren Zugriff auf Benutzungskonto (Einstellung, aktuelle Ausleihen) Bestellung von Kopien / E- books on demand Bestellung von Fernleihen x x Fernzugriff auf lizenzierte elektronische Inhalte Ausleihe physischer Dokumente Anschaffungsvorschlag/Wünsche Personalisierung OPAC/Portal (Suchen, Sprache, Listen speichern, Alerts) x x x x x x x x x x x x x x x DOI-Vergabe x x Universitäre Lerninhalte Volltextzugriff auf Instit. Repository Medienarchive (ZHdK) Tabelle 11: Anmeldeverfahren und Dienstleistungen x x (x) x x RefWor ks In der nachfolgenden Frage werden die unterschiedlichen Anmeldeverfahren betrachtet (Protokolle) und nicht das darunter liegende Datenbanksystem. Ausserdem werden nur Endbenutzer und nicht das Bibliothekspersonal betrachtet. SSO für e-lib.ch Evaluationsbericht

45 Frage 3.2.: Welche Anmeldeverfahren sind in der Bibliothek vorhanden, und welches ist das Standardlogin (SL) für die Kundengruppe Hochschulangehörige in deren Institution? Bibliotheken Aleph SIGB/Virtua SWITCHaai Windows AD LDAP IP(inkl. Proxy/VPN) EPFL x x (SL) x ETH-Bibliothek x x x x FHNW Olten x x x LIB4RI x x (SL)** x (SL)** x Rero x x Schweizerische Nationalbibliothek** Sistema bibliotecario ticinese (Sbt) Universitätsbibliothek Basel Universitätsbibliothek Bern Universitätsbibliothek St. Gallen Universitätsbibliothek Zürich Zentral- und Hochschulbibliothek Luzern Zentralbibliothek Zürich (ZB) Zürcher Hochschule für angewandte Wissenschaften (ZHAW) Zürcher Hochschule der Künste (ZHdK) Tabelle 12: Anmeldeverfahren pro Bibliothek x x x x** x** x x x x x x x x x (SL) x x x (SL) x x x x x x x (EZproxy) x (nanoo.tv) x (SL) x x x x *Switch-AAI wird von den IT-Diensten der Hochschule administriert. Diese sind organisatorisch nicht der Bibliothek zugehörig. **Ein SL ist geplant. Welche der jeweiligen Technologien dies sein soll, ist noch offen. SSO für e-lib.ch Evaluationsbericht

46 In der nachfolgenden Tabelle wird dargelegt, wo SSO schon umgesetzt ist (Ja) oder nicht (Nein) oder ob etwas geplant ist. Ein leeres Feld bedeutet, dass keine Aussage vorhanden ist. Frage 3.3.: Gibt es in Ihrer Institution eine Standard-Authentisierung für elektronischen Zugriff/Dienstleistungen? Falls ja: auf welcher Technologie basiert diese? SWITCHaai: Für welche Bereiche ist dieses bereits im Einsatz? Ist ein SSO mit der Standard-Authentisierung geplant oder bereits umgesetzt? Bibliotheken Bibliothekssystem SSO SWITCHaai mit Bibliothekslogin SSO SWITCHaai mit Standard- Hochschullog. SSO Hochschulmit Bibliothekslogin EPFL Aleph Ev Ja Ja (mit tequila) ETH-Bibliothek Aleph geplant 2012 Ja geplant 2012 FHNW Olten Aleph Ja LIB4RI Aleph geplant** Rero Virtua geplant Teilweise vorh. Schweizerische Nationalbibliothek Sistema bibliotecario ticinese Universitätsbibliothek Basel Universitätsbibliothek Bern Universitätsbibliothek St. Gallen Universitätsbibliothek Zürich Zentral- und Hochschulbibliothek Luzern Virtua - - Aleph - - Aleph geplant Ja geplant Aleph Nein Nein Nein Aleph Nein Nein Nein Aleph Nein Ja Nein Aleph Nein * * ZB Zürich Aleph Nein - - ZHAW Aleph ZHdK Aleph Nicht geplant Auswertung: # Bibliotheken: 13 Ja/vorh./geplant Nein/- #Aleph 11 #Virtua 2 Tabelle 13: Stand von SSO in den Bibliotheken *Die ZHB Luzern versorgt mehrere Hochschulen (Uni, FH, PHZ usw.) SSO für e-lib.ch Evaluationsbericht

47 7.5 Tabellarische Beschreibung der einzelnen Module M1: Integration SWITCHaai im Webportal e-lib.ch Ziel Beschreibung Abhängigkeiten Lead Aufwand Nutzen Risiken Benutzer können sich im Webportal e-lib.ch mit SWITCHaai authentisieren. Integration des Authentisierungsmechanismus SWITCHaai im Webportal e-lib.ch Die Authentisierung wird nur für Benutzer möglich sein, deren Identität von einem existierenden IDP bereitgestellt wird. Webportal e-lib.ch Niedrig Authentisierung möglich im Web-Portal Usability muss hoch sein bei der Auswahl des jeweiligen IDP (es darf nur eine geringe und klare Auswahl für die Privatkunden geben, Login-Schirm); ansonsten Verwirrung/Benutzungshürde M2: Aufbau Privatkunden-IDP Ziel Beschreibung Abhängigkeiten Für Privatkundenidentitäten wird ein IDP aufgebaut. Aufbau IDP Anbindung an die Benutzerverwaltungen der Bibliothekssysteme Gewählte Variante (zentraler vs. verbundorientierte vs. dezentrale Privatkunden-IDP) Die IDPs sollten mit einem gemeinsamen Set von Attributen aufgebaut werden (Link zu Modul M5: Konzept gemeinsame Rollen + Berechtigungen ). Lead Je nach gewählter Variante (Tabelle 5) Webportal e-lib.ch / Verbund / jeweilige Bibliothek Aufwand Nutzen Risiken Niedrig mittel: Aufwand für Aufbau der Schnittstellen zu den einzelnen Biblitohekssystemen ist nicht generell einschätzbar. Unterstützung kann durch SWITCH geleistet werden. Privatkunden verfügen über ein SWITCHaai-Login (für Login im Webportal e-lib.ch, aber auch für weitere Angebote denkbar) Uneinheitliche Ausgestaltung der Privatkunden-IDP SSO für e-lib.ch Evaluationsbericht

48 7.5.3 M3: Zusammenlegen Hochschul- und Bibliotheks-Login Ziel Beschreibung Abhängigkeiten Lead Aufwand Nutzen Risiken Benutzer können sich im Bibliothekssystem mit ihrem Hochschullogin authentisieren Hochschul- und Bibliothekslogin werden technisch zusammengebracht. Single Sign On muss in Organisation/Institution schon ein Thema sein Jeweilige Bibliothek Mittel, technisch wie organisatorisch sehr unterschiedlich je nach Bibliothekssystem und je nach Identity Management der Hochschule Komfort für die Kunden Einsparungen und Qualitätserhöhung bei der Verwaltung der Kundendaten Inkompatibilität der Systeme Prozessabläufe müssten stark verändert werden M4: Integration AAI in Bibliothekssystem(e) Ziel Beschreibung Abhängigkeiten Lead Aufwand Nutzen Risiken Bestehende Kunden können sich mit SWITCHaai-Login im Bibliothekssystem anmelden. Bibliothekssystem AAI-befähigen (bei Aleph Bibliotheken Einbau von PDS, welches Shibboleth-fähig gemacht werden muss) Anmeldung geht nur für Benutzer, die bereits Kunde sind Jeweilige Bibliothek Mittel-hoch, je nach Alter Bibliothekssystem lohnt sich dies nicht Single-Sign On Webportal e-lib.ch Bibliothek (sowohl in der Rolle als Home Library als auch als Drittbibliothek ) Bibliothekssystem ist zu alt SSO für e-lib.ch Evaluationsbericht

49 7.5.5 M5: Ermöglichen Neueinschreiben per Login Ziel Beschreibung Abhängigkeiten Lead Aufwand Nutzen Risiken Für Benutzer, die noch keine Kunden sind, wird bei erstmaligem Login ein entsprechender Neueinschreibeprozess abgewickelt. Kunden können sich bei Wechsel in eine Dritt-Bibliothek möglichst einfach Einschreiben. Idealerweise wird höchstens das Akzeptieren der jeweiligen Benutzungsordnung verlangt, die persönlichen Daten werden von der Home Library übermittelt. Koordination zwischen Bibliotheken wäre wünschenswert Jeweilige Bibliothek Hoch, Koordination zwischen Bibliotheken ist nötig, technische Implementierung mit heutigen Bibliothekssystemen für eine nahtlose Übergabe der Informationen nur mit sehr hohem Aufwand möglich. Häufigkeit: heute sehr gering Für bestehende Dienstleistungen gibt es Alternativen: Z.B. interbibliothekarischer Leihverkehr Für neue Dienstleistungen (z.b. e-lending) kann der Nutzen hoch sein Nur ein Teil der Bibliotheken beteiligt sich -> intransparente Handhabung für Kunden M6a: Konzept gemeinsame Rollen und Berechtigungen Ziel Beschreibung Abhängigkeiten Lead Aufwand Nutzen Risiken Die Basis ist gelegt, um über bestehende Kundenverhältnisse hinaus auf Ressourcen zugreifen zu können. Definition gemeinsamer Rollen Definition gemeinsamer Berechtigungen Bestehende Berechtigungskonzepte in den Bibliotheken Rechtliche Fragestellungen (z.b. mit Verlagen) e-lib.ch Hoch (Koordination, Konsensfindung) Grundlage für neue übergreifende e-services Langfristig Grundlage für die Weiterentwicklung in Richtung einer virtuellen Bibliothek der Schweiz Rechtliche Hindernisse Silo-Denken SSO für e-lib.ch Evaluationsbericht

50 7.5.7 M6b: Umsetzung Rollen- und Berechtigungskonzept in Bibliothek(en) Ziel Beschreibung Abhängigkeiten Lead Aufwand Nutzen Risiken Umsetzung des Resultats von M6a in den einzelnen Bibliotheken (bzw. Verbünden) Mapping der übergreifenden Rollen und Berechtigungen auf lokale Verhältnisse Sicherstellung der technischen Berücksichtigung bei der Umsetzung von übergreifenden Abläufen Ev. Vorgaben durch Institution/übergeordnete Organisation Jeweilige Bibliothek Mittel bis hoch (je nach Vorbereitung und Flexibilität Bibliothekssystem) Übergreifenden Zugriff ermöglichen. Technische Einschränkungen (z.b. geschlossene Bibliothekssysteme) Resistenz gegen Änderung von Prozessen M7: Integration SWITCHaai in e-lib.ch-projekt-websites Ziel Beschreibung Abhängigkeiten Lead Aufwand Nutzen Risiken Benutzer können sich mit ihrem SWITCHaai-Login auf der Projekt- Website anmelden. Projektwebseiten bieten Inhalte oder Bereiche an, die eine Anmeldung erfordern. Entsprechende Dienstleistungen oder Ressourcen müssen verfügbar sein. Jeweiliges Projekt Niedrig Personalisierung Kollaborative Anwendungen denkbar (Social Web) In dieser generellen Beschreibung sind keine Risiken auszumachen. SSO für e-lib.ch Evaluationsbericht

51 7.6 Empfohlenes Vorgehen: Umsetzung Privatkunden-IDP Präsentation zu Händen des Steuerungsausschusses Webportal e-lib.ch SSO für e-lib.ch Evaluationsbericht

52 SSO für e-lib.ch Evaluationsbericht

53 SSO für e-lib.ch Evaluationsbericht

54 SSO für e-lib.ch Evaluationsbericht

55 SSO für e-lib.ch Evaluationsbericht