Integration von Informationsdiensten in einer bundesweiten AA-Infrastruktur Das Projekt Authentifizierung, Autorisierung und Rechteverwaltung (AAR) Ato Ruppert UB Freiburg
Fragestellung und Motivation Suche nach wissenschaftlicher Information im Internet Quelle wird gefunden, aber Zugang nur gegen Passwort oder Zahlung ->Wiss. Bibliotheken kaufen Nutzungslizenzen für elektronische Informationen. Daher ist der Zugang über die Bibliotheken i.d.r. möglich. 2
Wissenschaftportale 1 vascoda ist ein interdisziplinäres Internetportal für wissenschaftliche Information in Deutschland. vascoda vereinigt Internetdienste zahlreicher leistungsstarker wissenschaftlicher Bibliotheken und Informationseinrichtungen. Mit vascoda wird der Grundbaustein für eine "Digitale Bibliothek Deutschland" gelegt. An vascoda sind heute über 30 Einrichtungen mit fast 30 Angeboten beteiligt. www.vascoda.de 3
Wissenschaftportale 2 Regionale DatenbankInformationen Baden- Württemberg (www.redi-bw.de): Angebot insgesamt: 493 Datenbanken - Nutzung externer Verlagsserver: 147 - Windows-basierte CD-Angebote 337 - Reference-Linking zu den Volltexten Über 60 Teilnehmereinrichtungen 4
Was wollen wir erreichen? Leitsätze zur Nutzung verteilter Informationen im Internet aus Sicht der Nutzer, Einrichtungen und Anbieter Nutzer: Der Zugriff auf lizenzierte Inhalte soll unabhängig vom gewählten Arbeitsplatz und dem Zugriffsweg möglich sein. Alle lizenzierten Inhalte sollten nach nur einmaliger Authentifizierung und Autorisierung (Single Sign-On) zur Verfügung stehen. Einrichtungen (etwa Hochschulen): Die Einrichtung soll ein beliebiges Authentifizierungssystem wählen dürfen. Der Aufwand der Rechteverwaltung soll möglichst gering sein. Anbieter: Die lizenzpflichtigen Inhalte der Anbieter sollen vor unberechtigten Zugriff geschützt werden. Demo: 5
Was ist AAR? AAR ist eine Infrastruktur zur Authentifizierung, Autorisierung und Rechteverwaltung AAR ist ein Single Sign-on System, mit dem verschiedene Ressourcen mit einem einzigen Login genutzt werden können ( Reference Linking ) AAR basiert auf einem föderativen Ansatz: Die Einrichtung verwaltet und authentifiziert ihre Mitglieder und der Anbieter kontrolliert den Zugang zu seinen Ressourcen AAR baut auf Shibboleth (Internet2-Projekt) auf AAR ergänzt Shibboleth um einen Rechteserver 6
Woher kommt Shibboleth? (Zitat http://www.spiritproject.de/orakel/magie/lyrik/bibel/richter.htm) Hintergrund ist eine Stelle aus dem Alten Testament, Buch Richter Kapitel 12 Vers 5ff: Und die Gileaditer nahmen ein die Furt des Jordans vor Ephraim. Wenn nun sprachen die Flüchtigen Ephraims: Laß mich hinübergehen, so sprachen die Männer von Gilead zu ihm: Bist du ein Ephraiter? Wenn er dann antwortete: Nein, so hießen sie ihn sprechen: Schiboleth, so sprach er: Siboleth, und konnte es nicht recht reden. So griffen sie ihn und schlugen ihn an der Furt des Jordans, daß zu der Zeit von Ephraim fielen zweiundvierzigtausend. Das Wort Shibboleth ist somit wohl das erste biometrische Autorisierungsverfahren gewesen 7
Wie funktioniert AAR? (Erstkontakt) Benutzerin (3) (1) Lokalisierungsdienst WAYF (2) Benutzerin bekannt? nein (5) (6) (4) Benutzerin berechtigt? ja (7) ja (9) gestattet Zugriff (8) nein verweigert Heimateinrichtung Anbieter 1 8
Wie funktioniert AAR? (Folgekontakt gleicher Anbieter) (1) (2) Benutzerin bekannt? nein Benutzerin ja Benutzerin berechtigt? ja (9) gestattet Zugriff nein verweigert Heimateinrichtung Anbieter 1 9
Wie funktioniert AAR? (Folgekontakt neuer Anbieter) Benutzerin (1) Lokalisierungsdienst (6) (2) Benutzerin bekannt? nein ja (4) Benutzerin berechtigt? (7) ja (9) gestattet Zugriff (8) nein verweigert Heimateinrichtung Anbieter 2 10
Wie funktioniert AAR? AAR verwendet Shibboleth V 1.3 (später 2.0) Shibboleth baut auf folgende Standards auf: HTTP/HTTPS XML XML Schema (XSD) XML Signatur (XMLDisg) SOAP SAML 1.1 (später 2.0) HTTP/HTTPS SOAP Nachricht SOAP Header SOAP Body SAML Anfrage/Antwort 11
Rechteserver Der Rechteserver ist nicht Bestandteil von Shibboleth. Er soll die Attribute (der Autorisierung) auf R die Nutzungsbedingungen der Anbieter abbilden Z.B.: moving wall, Embargos, Zeiteinschränkungen Der Rechteserver kann zentral oder dezentral (beim Anbieter) eingesetzt werden Die Kommunikation basiert auf dem Standard XACML Der Rechteserver ist Teilprojekt unserer Projektpartner in der UB Regensburg. 12
Was ist eine Föderation? Eine Föderation ist ein Zusammenschluss von Einrichtungen und (auch kommerziellen) Anbietern auf Basis gemeinsamer Richtlinien. Eine Föderation schafft das für Shibboleth notwendige Vertrauensverhältnis zwischen Einrichtungen und Anbietern und einen organisatorischen Rahmen für den Austausch von Benutzerinformationen. DFN und AAR bauen gemeinsam eine deutschlandweite Föderation auf. 13
Teilnehmer der Föderation und ihre Rollen Mitglieder (Unis, FHs, etc): Einrichtung = Identity Provider Anbieter (etwa elearning-angebote) Partner Anbieter (auch kommerzielle!) Steuerungsgremien Überwachung und Entscheidung Operator Koordinationsdienst für die Föderationsverwaltung 14
Dienste des Föderationsoperators Status Vorgabe von Richtlinien (Policies) Verwaltung Metadaten der Mitglieder Betrieb eines Lokalisierungsdienstes Betrieb einer Zertifizierungsstelle Betrieb einer Testumgebung Technischer Support in Arbeit: DFN, AAR in Arbeit: DFN, AAR verfügbar: AAR verfügbar: DFN verfügbar: AAR verfügbar: AAR Mehr zu diesem Thema morgen im Forum Mobile IT 15
Shibboleth-Standardattribute Shibboleth/InCommon-Standardattribute basieren auf dem eduperson-schema: http://www.incommonfederation.org/docs/policies/federatedattributes.html Kommerzielle Anbieter kommen meistens mit einigen wenigen Attributen aus, die in der Shibboleth-Software bereits vorkonfiguriert sind: Beispiele: edupersonscopedaffiliation (member@..., staff@...) edupersontargetedid (r12345z@...) edupersonprincipalname (ruppert@uni-freiburg.de) 16
Anwendungsmöglichkeiten Portale: vascoda, ReDI esience-projekte elearning-systeme Repositories, z.b. MyCoRe Grid-Computing 17
Stand und Ausblick zum Dienstangebot von AAR und DFN Alle Komponenten von Shibboleth sind in einer Testumgebung verfügbar Gespräche mit Dienstanbietern entwickeln sich sehr positiv (im Rahmen von Kaufverhandlungen, etwa 100 kommerzielle Service Provider) Am 23. März 2006 wird ein Workshop für Anbieter in Freiburg stattfinden (Schwerpunkt: Service Provider) Der Rechteserver wird bis Mitte 2006 als Prototyp zur Verfügung stehen. 18
Danke für Ihre Aufmerksamkeit! AAR ist ein Projekt der UB Freiburg und UB Regensburg. Gefördert vom BMBF (PT-NMB+F ) aar.vascoda.de info@aar.vascoda.de ruppert@ub.uni-freiburg.de 19