DFN-AAI: Spezifikation von Attributen für den Bereich E-Learning

Transkript

1 DFN-AAI: Spezifikation von Attributen für den Bereich E-Learning DFN-Betriebstagung, AAI-Forum Peter Gietz, CEO DAASI International GmbH 0-1

2 Agenda Motivation und Voraussetzungen für Föderationen Atributspezifikationen in der DFN-AAI Zielsetzung und Strategie bei Spezifikation der E-Learning- Attribute Die einzelnen Attribute

3 Motivation einer Hochschul-Föderation Im Rahmen des Bologna-Prozesses werden auch in Deutschland die Studiengänge verschiedener Hochschulen kompatibler Die Mobilität der Studierenden erhöht sich Studierende wollen immer öfter auch auf geschützte Ressourcen von Hochschulen, an denen sie nicht immatrikuliert sind Auch die Forschung ist zunehmend vernetzt und Ressourcen werden miteinander geteilt Bibliotheken handeln organisationsübergreifend Lizenzen mit Verlagen aus Ohne Föderationen ist manches hiervon gar nicht möglich, oder nur durch Externer-Accounts in den Benutzerverwaltungen 0-3

4 Was ist eine Föderation Eine Föderation ist ein Zusammenschluss von Organisationen zu einem bestimmten Zweck ist ein Vertrauensbund, der es ermöglicht, verteilte Ressourcen gemeinsam zu nutzen Vertrauen wird durch Verträge gewährleistet Einhaltung von Sicherheitspolicies wird versprochen ist ein System von miteinander gekoppelten Softwarekomponenten implementiert Federated Identity Management 0-4

5 Federated Identity Management FIdM ist Identity Management, welches über die Grenzen einer Organisation hinweg Identitätsinformationen zur Verfügung stellt und im Rahmen von Föderationen zum Zwecke der Authentifizierung und Autorisierung nutzt. Hierbei werden die lokalen IdM-Systeme bzw. Authentifizierungsdienste genutzt, sodass nicht jeder Benutzer in jeder Organisation einen Account benötigt Voraussetzung ist ein Vertrauensbund zwischen den Organisationen, der über Verträge hergestellt wird Es kommen hierbei moderne Standards zum Einsatz, insbesondere SAML (Security Assertion Markup Language) Technologien sind z.b.: Liberty Alliance, Shibboleth, WS- Security 0-5

6 Grundbausteine einer Föderation Eine Föderation besteht aus drei Bausteinen: Föderationsverwaltung zentraler Vertragspartner für Föderationsmitglieder Verwaltet Zugangsdaten zu den einzelnen Bausteinen ( Metadaten ) betreibt zentrale Infrastrukturkomponenten Identity Provider (IdP) Benutzerverwaltung der Heimatorganisation verantwortlich für Authentifizierung und Attribute Service Provider (SP) Verantwortlich für Ressourcen Entscheidet aufgrund von Aussagen des IdP 0-6

7 Voraussetzungen für einen IdP Zugehörigkeit zur Community Aktualität und Vollständigkeit der Benutzerdaten am besten mittels eines IdM-Systems Unterstützung des Attributschemas mindestens durch ein Mapping Unterstützung eines sicheren Authentifizierungsmechanismus (Passwörter nur über verschlüsselte Verbindungen) Implementierung der geforderten Föderationssoftware Registrierung bei der Föderation und Lieferung der Metadaten Erhebung und Speicherung von Logdaten Einhaltung des Datenschutzes 0-7

8 Voraussetzungen für Service Provider Zugehörigkeit zur Community Implementierung der geforderten Föderationssoftware Registrierung bei der Föderation und Lieferung der Metadaten Muss die Föderationsrichtlinien, insbesondere bezüglich des Datenschutzes befolgen Muss die Dienste zur Verfügung stellen und Zugriffskontrolle aufgrund der vereinbarten Regeln und Attribute ausüben Einhaltung des Datenschutzes 0-8

9 Notwendigkeit einer Attributempfehlung Innerhalb einer Föderation werden Attribute spezifiziert: Damit Anwender (IdPs) und Anbieter (SPs) eine Verhandlungsgrundlage haben Anwender können rechtzeitig Ihre IdM-Systeme anpassen Anbieter können entscheiden aufgrund welcher der spezifizierten Attribute Autorisierungsentscheidungen treffen möchte Es besteht die Notwendigkeit eines gemeinsamen Verständnisses deer Attribute innerhalb der DFN-AAI 0-9

10 Attributspezifikationen in der DFN-AAI Zur Zeit zwei Attributspezifikationen in der DFN-AAI: Attribut-Spezifikation für anwendungsübergreifende Attribute Attribut-Spezifikation für anwendungsspezifische Attribute im Bereich E-Learning Für weitere Bereiche könnten weitere anwendungsspezifische Attribute spezifiziert werden. 0-10

11 Anwendungsübergreifende Attribute Entwickelt von einer Autorengruppe in 2006, überarbeitet in 2008 Beteiligte aus den Einrichtungen AWI Bremenhaven, Universität Freiburg, DFN und DAASI International GmbH Spezifiziert Attribute: für Autorisierungszwecke die Kontaktdaten enthalten Die Attribute werden eingeteilt in: Grundlegende Attribute (sollte jedes IdM unterstützen) Ergänzende Attribute (für spezielle Fälle) 0-11

12 Anwendungsübergreifende Attribute Es werden Attribute spezifiziert aus Standardobjektklassen (person, inetorgperson) aus Objektklasse eduperson Wurde für den Einsatz in Hochschulföderationen entwickelt Enthält wichtige Attribute zur Autorisierung 0-12

13 Anwendungsspezifische E-Learning Attribute DFN-AAI-Treffen mit E-Learning-Experten im Hochschulbereich, u.a. von Landesinitiativen Virtuelle Hochschule Bayern BPS Bildungsportal Sachsen Nds-AAI (Niedersachsen) Gesamtarbeitsgruppe mit ca. 30 Mitgliedern, fast alle Bundesländer vertreten Reflektiert den aktuellen Bedarf existierender LMS, die hochschulübergreifend eingesetzt werden Ziel: Spezifikation eines gemeinsamen Satzes von Attributen für verschiedene Learning Management Systeme 0-13

14 Anwendungsspezifische E-Learning Attribute Bildung einer Autorengruppe mit Mitarbeitern aus verschiedenen E-Learning-Umgebungen: Jörg Deutschmann, TU Ilmenau Peter Gietz, DAASI International GmbH Wolfgang Hommel, Leibniz-Rechenzentrum Renate Schroeder, DFN-Verein Jens Schwendel, BPS Bildungsportal Sachsen Tobias Thelen, Universität Osnabrück 0-14

15 Anwendungsspezifische E-Learning Attribute Es wurde insbesondere darauf geachtet, dass die Attribute prinzipiell mit angemessenem Aufwand in Hochschul- Identity-Management-Systeme aufgenommen werden können Für einige Attribute wurden bewusst zwei alternative Lösungswege festgelegt, die die aktuelle Praxis in diesem Bereich wiedergeben Es wurden neben der Standardobjektklasse inetorgperson referenziert: die vom europäischen Schema Harmonization Committee (SCHAC) der TERENA TF-EMC2 definierten Attribute eigene DFN-Attribute einer neu definierten Objektklasse dfneduperson Alle Attribute sind als optional spezifiziert 0-15

16 Anwendungsspezifische E-Learning Attribute Die Attribute fallen in die beiden Bereiche: Autorisierung, z.b.: Studiengangsinformationen, um E-Learning-Inhalte aus lizenzrechtlichen Gründen nur einer eingeschränkten Menge von Studierenden zur Verfügung zu stellen Personalisierung, z.b.: Geschlecht und Anrede des Benutzers ergänzt, um die typischerweise starke Personalisierung der web-basierten und community-orientierten LMS unterstützen zu können Da es sich zum Teil um unmittelbar personenbezogene Daten handelt, spielt der Datenschutz eine essentielle Rolle Die Implementierung eines Attributfreigabeverfahrens wird empfohlen (Switch-Software: ArpViewer) Der Text geht auf grundlegende Aspekte des Datenschutzes ein 0-16

17 Attribute zur Personalisierung Wird benötigt für die Ausstellung von Leistungsnachweisen: Geburtsdatum: schacdateofbirth Geschlecht: schacgender Matrikelnummer: schacpersonaluniquecode Beispiel: urn:mace:terena.org:schac:personaluniquecode:de:lmu.de:matrikelnummer: Bevorzugte Sprache: preferredlanguage Akademischer Titel: personaltitle Abteilung vs. Kostenstelle [Abteilung: departmentnumber] Kostenstelle: dfnedupersoncostcenter 0-17

18 Attribute für Studieninformation Es gibt verschiedene Klassifikationssysteme für Studienfächer In Deutschland am meisten verbreitet ist die dreigliedrige numerische Klassifikation des Statistischen Bundesamtes: Internet/DE/Content/Klassifikationen/BildungKulturStude ntenpruefungsstatistik,property=file.pdf Fächergruppe: dfnedupersonstudybranch1 z.b.: 01 = Sprach- und Kulturwissenschaften Studienbereich: dfnedupersonstudybranch2 z.b.: 13 = Außereuropäische Sprach- und Kulturwissenschaften Studienfach: dfnedupersonstudybranch3 z.b.: 001 = Ägyptologie Studienfachbezeichnung laut Hochschule dfnedupersonfieldofstudystring 0-18

19 Attribute für Studieninformation Studienart: dfneduperson-typeofstudy Erststudium, Aufbaustudium, etc. Studienfach und Abschluss: dfnedupersonbranchanddegree z.b.: Baltistik im Magisterstudiengang: dfnedupersonbranchanddegree: 016 $ 02 Studienfach und Fachtyp: dfnedupersonbranchandtype z.b.: Indologie als Hauptfach und Geschichte und Religionswissenschaft als Nebenfächern: dfnedupersonbranchandtype: 078 $ HF dfnedupersonbranchandtype: 068 $ NF dfnedupersonbranchandtype: 136 $ NF z.b.: Studiengang Publizistik, bei dem 20 Leistungspunkte zu erreichen sind: dfnedupersonbranchanddegree: 016 $

20 Attribute für Studieninformation Fachsemester: dfnedupersontermsofstudy z.b.: Baltistik im 6. Semester: dfnedupersontermsofstudy: 016 $ 6 Studienabschluss: z.b. Magisterstudiengang: dfnedupersonfinaldegree: 02 Gesamtstudiumsinformation: dfnedupersonfinaldegree dfnedupersonfeaturesofstudy 0-20

21 Attribute für Studieninformation Gesamtstudiumsinformation: dfnedupersonfeaturesofstudy Das Attribut enthält einen komplexen Wert, der sich aus folgenden durch '$' getrennte drei Werte zusammensetzt: numerischer Wert des Studienabschlusses numerischer Wert des Studientyps komplette Spezifikation der Studienfächer Der letztere Wert ist wiederum komplex und besteht aus mit '#' getrennten Spezifikationen der einzelnen Fächer aus durch '!' voneinander getrennten Werten: numerischer Wert der Fächergruppe numerischer Wert des Studienbereichs numerischer Wert des Studienfachs Bezeichner der Fachart ('HF', 'NF', oder die Anzahl der zu erreichenden Leistungspunkte) Fachsemester 02$1$04!37!105!HF!1#04!38!079!NF!1 0-21

22 Objektklasse dfneduperson Text enthält eine OpenLDAP-kompatible Spezifikation #Objectclass dfneduperson objectclass ( dfnedupersonclasses:1 NAME 'dfneduperson' SUP top AUXILIARY MAY ( dfnedupersoncostcenter $ personaltitle $ dfnedupersonstudybranch1 $ dfnedupersonstudybranch2 $ dfnedupersonstudybranch3 $ dfnedupersonfieldofstudystring $ dfnedupersonfinaldegree $ dfnedupersontypeofstudy $ dfnedupersontermsofstudy $ dfnedupersonbranchanddegree $ dfnedupersonbranchandtype $ dfnedupersonfeaturesofstudy ) ) 0-22

23 Vielen Dank für Ihre Aufmerksamkeit! Kontakt und weitere Informationen: DAASI International GmbH Wilhelmstr. 106 D Tübingen Web: Mail: Bei späteren Fragen: Mail: 0-23