Bibliotheken in Thüringen und Codex Meta Directory

Ähnliche Dokumente
Meta Directory in Thüringen

Erfahrungen bei der Implementierung mit Staging-Tabellen von HISSOS/SVA und dem Dokumentenmodell von DirXML

Infoveranstaltung Verbundzentrale des GBV (VZG) Till Kinstler und Gerald Steilen / Digitale Bibliothek

Abschlussvortrag zur Diplomarbeit Aufbau und Analyse einer Shibboleth/GridShib-Infrastruktur

Authentifizierung, Autorisierung und Rechtverwaltung Aufbau einer verteilten Infrastruktur

Einbindung von Lokalen Bibliothekssystemen in das Identity Management einer Hochschule

Codex-Kooperation Teilprojekt IdM 2.0

Integration von Informationsdiensten in einer bundesweiten AA-Infrastruktur

Shibboleth Identity Provider im Thüringer Codex-Projekt

Einführung in Shibboleth 2

Die Funktionsweise und Installation von Shibboleth 46. DFN-Betriebstagung Forum AAI, Franck Borel - UB Freiburg

Einführung in Shibboleth. Raoul Borenius, DFN-AAI-Team

Einführung in Shibboleth. Raoul Borenius, DFN-AAI-Team

Raoul Borenius, DFN-AAI-Team

Workshop c3m-ii. Identitätsmanagement. Dr. Gunnar Dietz. Projekt MIRO, Universität Münster

Federated Identity Management

1. SaxIS-Shibboleth. Shibboleth-Workshop. Chemnitz, 15. Dezember Dipl. Wirt.-Inf. Lars Eberle, Projekt SaxIS und BPS GmbH

Von der Datenbank zum LDAP-Server schnell und einfach mit Oracle Virtual Directory. DOAG Konferenz Nürnberg

Identity Management in den Hochschulrechenzentren eine Aufgabe zwischen Basisdienst und Projektgeschäft

OpenCA & Shibboleth Universität Konstanz, Rechenzentrum Gruppe Kommunikationsinfrastruktur

Shibboleth - Infrastruktur für das Grid -

Stand der Entwicklung von Shibboleth 2

Vom Verzeichnisdienst zu Bibliotheksdiensten

IDM DER THÜRINGER HOCHSCHULEN

edugain Eine Meta-Infrastruktur verbindet heterogene AAI-Welten Torsten Kersting

Identitätsmanagement - HIS-Schnittstellen Folke-Gert Stümpel

Shibboleth föderiertes Identitätsmanagement

Identity as a Service

Enterprise Web-SSO mit CAS und OpenSSO

SWITCHaai Die Authentifizierungs- und Autorisierungs- Infrastruktur der Schweizer Hochschulen

Anwendungsintegration an Hochschulen am Beispiel Identity Management. Münster, 7. Sept. 2006

Identity Management an den hessischen Hochschulen

Grundlagen AAI, Web-SSO, Metadaten und Föderationen

Blockchain-basiertes Föderiertes Identity Management am Beispiel von Ethereum Smart Contracts

Identity Management an der Universität Oldenburg

Identitätsverwaltung und Nachweis mit der KommDB an der Universität Tübingen. Dietmar Kaletta Zentrum für Datenverarbeitung Universität Tübingen

LDAP-Server ganz einfach mit Oracle Virtual Directory. DOAG Konferenz Nürnberg

Grundlagen der entfernten Authentifizierung und Autorisierung: Kerberos

10 Jahre DFN-AAI. 67. DFN-Betriebstagung Berlin, 26. September Bernd Oberknapp Universitätsbibliothek Freiburg

Multifunktionale Chipkarte thoska+

Die Authentifizierungs- und Autorisierungsinfrastruktur (AAI) für die Schweizerischen Hochschulen Ueli Kienholz

Identity & Access Management in Extranet Portal Projekten

Grundlagen. AAI, Web-SSO, Metadaten und Föderationen. Wolfgang Pempe, DFN-Verein

Seminar Telekommunikation. Federated Identity Management mit Shibboleth

Seminarvortrag Shibboleth

DFN-AAI und DFN-Cloud. Thomas Gebhardt, tubit TU Berlin Steffen Hofmann, ZEDAT der FU Berlin

DAS IDENTITY MANAGEMENT DER ZUKUNFT

Dezentrales Identity Management für Web- und Desktop-Anwendungen

Verbundzentrale des GBV (VZG) Till Kinstler / Digitale Bibliothek

Grid-Systeme. Betrachtung verschiedener Softwareplattformen zur Realisierung von Grids und Vorstellung des Globus Toolkit Grid Systeme 1

Anwendungsintegration an Hochschulen am Beispiel von Identity Management. Norbert Weinberger - Sun Summit Bonn

Dr. Thomas Lux XIONET empowering technologies AG Bochum, 20. Oktober 2005

Von der Datenbank zum LDAP-Server schnell und einfach mit Oracle Virtual Directory. DOAG Konferenz Nürnberg

WebLogic goes Security!

Inhalt Einführung Was ist SAML Wozu braucht man SAML Wo wird SAML verwendet kleine Demo SAML. Security Assertion Markup Language.

Interoperable Middleware-Architektur für sichere, länderübergreifende Identifizierung und Authentifizierung

Verzeichnisdienst: Firmenkonzepte. Universität Duisburg-Essen

Humboldt-Universität zu Berlin Wintersemester 2012/2013. OpenID

Ein Identity Management Prototyp für Hochschulen unter Benutzung von IBM Tivoli Identity Manager und IBM Tivoli Directory Integrator

Umfassende Sicherheit mit Oracle - von der Applikation bis zu den Daten -

Einführung in das Verfahren Shibboleth Schwerpunkt Iden:ty Provider

Identitätsmanagement für Hybrid-Cloud-Umgebungen an Hochschulen

Authentifizierung und Autorisierung in einem Portal-basierten Grid (C3-Grid)

Public Key Service. Schnittstellenbeschreibung LDAP-Service. Version: 2.1 Stand: Status: Freigegeben

WebLogic goes Security

Organisationsübergreifendes Single Sign On mit shibboleth. Tobias Marquart Universität Basel

(c) 2014, Peter Sturm, Universität Trier

Single Sign-On Step 1

ZKI Workshop Verzeichnisdienste

Zentrale Datenbank-Nutzerverwaltung

Geplante Architektur der Geodienste der kantonalen Verwaltung SG mittels ArcGIS Server (Datensicherheit, Zugriffssicherheit, Ausfallsicherheit)

Iden%ty & Access Management: Das Rückgrat der Hochschul- IuK- Infrastruktur

Single Sign-On / Identity Management

FreeIPA. Eine Einführung. Robert M. Albrecht. Presented by. Fedora Ambassador CC-BY-SA. Freitag, 20. Juli 12

ZKI AK Verzeichnisdienste Oktober an der Friedrich Schiller Universität Jena

Authentifizierung und. Chipkarte und digitaler Signatur am Beispiel des RUBICon-Frameworks

Best-Practice -Beispiele UB Freiburg

Zentrale IT-Dienste für dezentralen Organisationen

Aufbau einer AAI im DFN. Ulrich Kähler, DFN-Verein

Anlage Systembeschreibung und Daten

Personalisierung mit Shibboleth

!"#$"%&'()*$+()',!-+.'/',

Ein technischer Überblick

Ablösung eines IdM-Systems

go:identity Identity Management Lösung als IDM-Appliance ITConcepts Professional GmbH Marcus Westen

Inhalt. Einführung RFC-Funktionsbausteine in ABAP Funktionsbausteine zum Lesen Aufruf per srfc 108

für E-Learning in Bayern

Workplace Portal G8. Dipl.-Wirt. Ing. Thomas Bruse

Identity Management Service-Orientierung Martin Kuppinger, KCP

Universität Konstanz Identity Management 1.0. Universität Konstanz

Single Sign-On / Identity Management

Stefan Zörner. Portlets. Portalkomponenten in Java. ntwickier

IT-Symposium. 2E04 Synchronisation Active Directory und AD/AM. Heino Ruddat

Moodle BelWü LDAPS Authentifizierung

Shibboleth und der föderative Ansatz

Einführung in Shibboleth , Stuttgart Franck Borel - UB Freiburg

Identitätsmanagement an der Heinrich-Heine-Universität Düsseldorf. Heide Unteregge, Zentrum für Informations- und Medientechnologie 1

Transkript:

Bibliotheken in Thüringen und Codex Meta Directory Jena Erfurt Schmalkalden Weimar CODEX Nordhausen Ilmenau Jörg Deutschmann Universitätsrechenzentrum Technische Universität Ilmenau 10. Mai 2006 J.D. 1

Gliederung CODEX Codex Meta Directory Szenario und aktueller Stand Schemaspezifikation vom 31. Dezember 2005 Konnektivität zu PICA Technologische Näherung Weiterentwicklung der Architektur durch föderierte Ansätze Zusammenfassung und Ausblick 10. Mai 2006 J.D. 2

Codex Meta Directory Szenario und Stand Hochschulverwaltung und Bibliothek HISSOS HISSVA THUAPOS PICA Synchronisation Identitäts- und Rollen-Management Authentifizierung, Autorisierung Single Sign On Portale elearning, email, egroup VPN und Dial-In Provisioning Bereitstellung von Ressourcen Benutzer Mailbox Adresse ADS, NDS, NIS+ Verzeichnisse Sicherheit Selbstauskunft Adressbuch Telefonbuch Public Key Infrastructure 10. Mai 2006 J.D. 3

Personal Studierende Bibliothek THUAPOS extend SVA SOS PICA Meta Directory Replica PIX-Firewall Meta Directory Replica Meta Directory Produktives Testsystem Multimaster-Betrieb Operational Store für die Selbstauskunft Application Server Framework für die Workflows Selbstauskunft extend Portal A1-System 10. Mai 2006 J.D. 4

Produktiver Testbetrieb des Meta Directory Multimaster-Betrieb Lesender und schreibender Zugriff auf das Meta Directory innerhalb und außerhalb des administrativen Netzes -> nur ein Loch in der PIX Operational Store für die Selbstauskunft Keine Anmeldung der Benutzer am Meta Directory Sicherheit durch mehrstufige Indirektion HTTP AJP LDAP DirXML extend Application Server Framework für die Prozesse Prozessunterstützung durch das Meta Directory (ExteNd-Integration in Novell Identity Manager 3) 10. Mai 2006 J.D. 5

(+ 1 Assoziation) 18 Erweiterungen 8 Standard thueduperson 1 <>Identifier (cn) <>StudentNumber <>LibraryCodeNumber <>DateOfBirth <>NameExtension <>{Academic}Title <>PostalAddress{Extension} <>PostalCode <>PostalCity / Country <>Salutation <>DateOfMatriculation <>SimplePassword <>Status <>{Primary}RoleDN eduperson{primary}affiliation employeenumber surname givenname organizationalname mail / uid N (+ 3 Assoz.) 5 Standard 13 Erweiterungen Spezifikation 31.12.05 thuedurole <>RoleType <>StartDate <>ExpiryDate <>CourseOfStudy <>SemesterOfCourseStudy <>StudentType <>Qualification <>CostAllocation <>JobType <>Function <>House/RoomIdentifier <>Status cn roleoccupant organizationalunitname {Facsimile} Telephone Number 10. Mai 2006 J.D. 6

Offene Fragen / Probleme beim PICA-Konnektor Organisatorisch-technisch Regeln für die Datenerfassung und Speicherung Titel, akademischer Grad, Namenszusätze etc. Eindeutige Zuordnung von Adressen thoska(+)-organisation, Datenflüsse Standortbestimmung für externe Bibliotheksbenutzer Einheitliche Belegung der frei definierbaren Felder in LBS4 Technologisch aufgrund Schema und Dateischnittstelle Preprocessing notwendig 10. Mai 2006 J.D. 7

Lösungsansatz am Beispiel Codex-HIS Java-Klassen HIS-GX Konnektor Input 1. Initial-ADD Source Post Processor 2. REF-Management 3. Preprocessing ADD/MOD/DEL 4. Daily Update ADD/MOD/DEL Staging Initialbefüllung (ADD-Events) nur für Personen mit Rollen Verwaltung von Referenzeinträgen in Java-Zwischenstruktur Überprüfung von Einträgen der HIS (Preprocessing) Rückfragen in der Datenbank (Call-backs) Komplette Überprüfung des Datenbestandes einmal täglich Unterstützung von Informix, PostgreSQL und ODBC sowie der HIS- GX Versionen 6, 7 und 8 10. Mai 2006 J.D. 8

Authentifizierung, Autorisierung, Rechteverwaltung Motivation Eingeschränkter Zugriff, Personalisierte Services Stark differenzierte Lizenzierungen, Konsortialverträge mit kompliziertem Regelwerk Hoher Aufwand für die Benutzerverwaltung Mehrfache Anmeldung / Benutzerkennung, Nutzung nur innerhalb der Einrichtungsgrenzen Föderierte Ansätze als Lösungsmöglichkeit Web Services/Security, Liberty Alliance, Shibboleth Integration mit SAML v2.0 AAR ein Projekt der UB Freiburg / Regensburg 10. Mai 2006 J.D. 9

Shibboleth Begriff (Wikipedia) Schibboleth (mit Shin: בּ ל ת,שׁ mit Samech: בּ ל ת (ס ist ein hebräisches Wort und bedeutet wörtlich 'Getreideähre', wird aber in der Bedeutung von 'Kennwort' oder 'Codewort' verwendet. Hintergrund ist eine Stelle aus dem Alten Testament, Buch Richter Kapitel 12 Vers 5ff. Dort heißt es: (...) Und wenn ephraimitische Flüchtlinge (kamen und) sagten: Ich möchte hinüber! fragten ihn die Männer aus Gilead: Bist du ein Ephraimiter? Wenn er nein sagte, forderten sie ihn auf: Sag doch einmal Schibboleth". Sagte er dann Sibboleth", weil er es nicht richtig aussprechen konnte, ergriffen sie ihn und machten ihn dort an den Fluten des Jordan nieder. So fielen damals zweiundvierzigtausend Mann am Ephraim. Ausspracheweisen dienten hier dazu, Personen in die Dichotomie Feind - Nichtfeind zu kategorisieren. 10. Mai 2006 J.D. 10

Shibboleth (Internet2, MACE) unterstützt die autorisierte Bereitstellung von Web- Ressourcen über Einrichtungsgrenzen hinweg durch Architektur, Regelwerk und Technologie. Die Zugriffskontrolle erfolgt über Attribute der digitalen Identität des jeweiligen Benutzers. Der Identity Provider (Origin) einer Einrichtung stellt die Attribute seiner Benutzer dem Service Provider (Target) einer anderen Einrichtung zur Verfügung. Absolute Grundlage ist, dass sich die Einrichtungen gegenseitig vertrauen. Zuständig für die Authentifizierung der Benutzer ist der Identity Provider (Single SignOn). 10. Mai 2006 J.D. 11

Shibboleth Einführung Der Identity Provider (Origin) und der Benutzer (Privacy) kontrollieren, welche Attribute dem Service Provider (Target) übermittelt werden. Zur Übertragung der Informationen kommt die standardisierte Open Security Assertion Markup Language (OASIS SAML v1.1) zum Einsatz. Eine erste Menge von Attributen ist durch den eduperson-standard definiert. Das gegenseitige Vertrauen und die anerkannten Regeln sind nicht auf bilaterale Werke beschränkt. Entwicklungsziele und Vorteile sind die Vereinfachung des Managements, die Erhöhung der Sicherheit und die Interoperabilität auf der Basis von Standards. 10. Mai 2006 J.D. 12

Shibboleth Architektur ( SWITCH) 5 WAYF 4 3 2 Identity Provider 6 7 1 Service Provider Credentials User DB HS AA Handle 9 Attributes 8 Handle 10 ACS Handle AR Attributes Ressource Manager Ressource 10. Mai 2006 J.D. 13

Shibboleth technische Komponenten Where Are You From (WAYF) Service Provider Assertion* Consumer Service (ACS) Attribute Requester (AR) Attribute Acceptance Policies Ressource Manager Identity Provider Handle Service (HS) Attribute Authority (AA) Shibboleth Applications = Web-Ressourcen Sessions über Cookies und Security Context *Erklärung, Behauptung, 10. Mai 2006 J.D. 14

Zusammenfassung und Ausblick Föderierte Ansätze zeigen einen Weg für den autorisierten Zugriff auf Ressourcen über Einrichtungsgrenzen hinweg auf. Bibliotheken haben aufgrund ihrer spezifischen Aufgaben ein besonderes Interesse an diesen Lösungen. Codex Meta Directory befindet sich in der produktiven Testphase und schafft die wichtigste Voraussetzung für einen föderierten Ansatz Identity Provider. 10. Mai 2006 J.D. 15

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback