DARIAH AAI 1.0 und 2.0 und was das mit Hochschulkooperation zu tun haben könnte

Ähnliche Dokumente
SWITCHaai Die Authentifizierungs- und Autorisierungs- Infrastruktur der Schweizer Hochschulen

Grundlagen AAI, Web-SSO, Metadaten und Föderationen

How to access licensed products from providers who are already operating productively in. General Information Shibboleth login...

Sicherheit für Web-Anwendungen mit SAML2 und OAuth2

p^db=`oj===pìééçêíáåñçêã~íáçå=

DFN-AAI und DFN-Cloud. Thomas Gebhardt, tubit TU Berlin Steffen Hofmann, ZEDAT der FU Berlin

Raoul Borenius, DFN-AAI-Team

Word-CRM-Upload-Button. User manual

Einführung in Shibboleth. Raoul Borenius, DFN-AAI-Team

Einführung in Shibboleth. Raoul Borenius, DFN-AAI-Team

OpenID Connect Kurzer Überblick, Vergleich mit SAML2

DARIAH Technische Infrastruktur Sicherheit, Datenhaltung, Nachhaltigkeit

Intra- und Inter-Föderation mit der DFN-AAI

Dexatek's Alexa Smart Home Skills Instruction Guide

Grundlagen. AAI, Web-SSO, Metadaten und Föderationen. Wolfgang Pempe, DFN-Verein

Exercise (Part XI) Anastasia Mochalova, Lehrstuhl für ABWL und Wirtschaftsinformatik, Kath. Universität Eichstätt-Ingolstadt 1

Shibboleth Identity Provider im Thüringer Codex-Projekt

Seminarvortrag Shibboleth

Digicomp Microsoft Evolution Day ADFS Oliver Ryf. Partner:

Federated Identity Management

Anleitung Händlerbewerbung und File-Exchange- Server. Instruction How To Become a Dealer and File-Exchange-Server

VGM. VGM information. HAMBURG SÜD VGM WEB PORTAL - USER GUIDE June 2016

Setup Manual Anleitung zur Konfiguration

Raoul Borenius, DFN-AAI

VGM. VGM information. HAMBURG SÜD VGM WEB PORTAL USER GUIDE June 2016

Microsoft Azure Fundamentals MOC 10979

Die Funktionsweise und Installation von Shibboleth 46. DFN-Betriebstagung Forum AAI, Franck Borel - UB Freiburg

Creating OpenSocial Gadgets. Bastian Hofmann

NEWSLETTER. FileDirector Version 2.5 Novelties. Filing system designer. Filing system in WinClient

Organisationsübergreifendes Single Sign On mit shibboleth. Tobias Marquart Universität Basel

Die neue Metadaten- Verwaltung für die DFN-AAI

p^db=`oj===pìééçêíáåñçêã~íáçå=

Einführung in Shibboleth 2

Order Ansicht Inhalt

VO Sprachtechnologien, Informations- und Wissensmanagement

Das Projekt NDS-AAI. ZKI-AK Verzeichnisdienste, Hamburg, Peter Gietz, CEO, DAASI International GmbH

OAuth 2.0. Ralf Hoffmann 03 /

Technische Universität München. SAML/Shibboleth. Ein Vortrag von Florian Mutter

SAML2 und OAuth in der Cloud

Installation Guide/ Installationsanleitung. Spring 16 Release

Sicherung der Kommunikation zwischen OAM und WebGate

edugain Eine Meta-Infrastruktur verbindet heterogene AAI-Welten Torsten Kersting

Mash-Up Personal Learning Environments. Dr. Hendrik Drachsler

Grundlagen AAI, Web-SSO, Metadaten und Föderationen

uapprove Ein Blick unter die Motorhaube inklusive Tuning-Tipps Lukas Hämmerle AAI Forum, Berlin, März 2014

General info on using shopping carts with Ogone

Cameraserver mini. commissioning. Ihre Vision ist unsere Aufgabe

Enterprise Web-SSO mit CAS und OpenSSO


Neues zu den Verlässlichkeitsklassen in der DFN-AAI

Föderiertes Identity Management

AZURE ACTIVE DIRECTORY

Dezentrales Identity Management für Web- und Desktop-Anwendungen

Upgrading Your Skills to MCSA: Windows Server 2016 MOC 20743

WebLogic goes Security!

Titelbild1 ANSYS. Customer Portal LogIn

JTAGMaps Quick Installation Guide

4. RADAR-WORKSHOP RADAR APPLICATION PROGRAMMING INTERFACE KARLSRUHE, 25./26. JUNI Matthias Razum, FIZ Karlsruhe

Customer Support Info PP 80x

vcdm im Wandel Vorstellung des neuen User Interfaces und Austausch zur Funktionalität V

Einbindung von Lokalen Bibliothekssystemen in das Identity Management einer Hochschule

!"#$"%&'()*$+()',!-+.'/',

Identity and Access Management for Complex Research Data Workflows

Die Authentifizierungs- und Autorisierungsinfrastruktur (AAI) für die Schweizerischen Hochschulen Ueli Kienholz

OpenID Connect. im Einsatz auf Föderationsebene. Wolfgang Pempe, DFN-Verein

Security of Online Social Networks

10 Jahre DFN-AAI. 67. DFN-Betriebstagung Berlin, 26. September Bernd Oberknapp Universitätsbibliothek Freiburg

Erstellung einer Studie zu Open Source IdM-Produkten für die Universität Wuppertal: Methoden und Ziele

Authentifizierung und Autorisierung in einem Portal-basierten Grid (C3-Grid)

LevelOne. Quick Installation Guide. EAP series Enterprise Access Point. Default Settings. IP Address

How-To-Do. Communication to Siemens OPC Server via Ethernet

Stand der Entwicklung von Shibboleth 2

ONLINE LICENCE GENERATOR

WebLogic goes Security

Zugang zu Föderationen aus Speicher-Clouds mit Hilfe von Shibboleth und WebDAV

VPN-Client Apple macos El Capitan (10.11)

Gestaltung eines Antrags- und Berechtigungs-Workflow

Personalisierung mit Shibboleth

Documentation TYC. Registration manual. Registration and Login. issued 1. April 2013 by EN changed 11. June 2015 by EN version 1 status finished

Can I use an older device with a new GSD file? It is always the best to use the latest GSD file since this is downward compatible to older versions.

Implementing a Software- Defined DataCenter MOC 20745

VPN-Client Apple macos El Capitan (10.11)

Abteilung Internationales CampusCenter

Magic Figures. We note that in the example magic square the numbers 1 9 are used. All three rows (columns) have equal sum, called the magic number.

Web Single Sign-On (WebSSO)

Quick Reference Guide Schnellstart Anleitung

1. General information Login Home Current applications... 3

Tube Analyzer LogViewer 2.3

Überblick über das IBM Support Portal

CNC ZUR STEUERUNG VON WERKZEUGMASCHINEN (GERMAN EDITION) BY TIM ROHR

Exercise (Part II) Anastasia Mochalova, Lehrstuhl für ABWL und Wirtschaftsinformatik, Kath. Universität Eichstätt-Ingolstadt 1

Exercise (Part VIII) Anastasia Mochalova, Lehrstuhl für ABWL und Wirtschaftsinformatik, Kath. Universität Eichstätt-Ingolstadt 1

PoE Kit Mounting Instructions SG/XG 210/230/310/330/430/450

DAS IDENTITY MANAGEMENT DER ZUKUNFT

DARIAH-DE Technische Infrastrukturkomponenten und kollaboratives Arbeiten

Userstory Einrichten eines öffentlichen GitHubs. aber gemeint waren wohl eher

Produkt-Download für NX

Transkript:

DARIAH AAI 1.0 und 2.0 und was das mit Hochschulkooperation zu tun haben könnte ZKI AK Verzeichnisdienste Heinrich-Heine-Universität Düsseldorf, 13.9.2018 Peter Gietz, DAASI International peter.gietz@daasi.de

Agenda Kurzeinführung DARIAH DARIAH-AAI 1.0 EduGain-Logins und eigene Accountdatenbank gleichzeitig verwalten Probleme mit edugain Terms of Use DARIAH-AAI 2.0 AARC Blue Print Architecture und das Proxy-Modell Vereinfachungen für DARIAH Service Provider DARIAH-AAI und Hochschulkooperationen 1. 2 / 31

DARIAH Kurzeinführung DARIAH: Digital Research Infrastructure for the Arts and Humanities Im Rahmen der ESFRI (European Strategy Forum on Research Infrastructures) mit einem ERIC seit 2014 Schwesterprojekt zu CLARIN DARIAH-EU ist eine europäische Infrastruktur für die Geisteswissenschaftler*innen, die Algorithmen für den Erkenntnisgewinn einsetzen (Digital Humanists) Infrastruktur im weitesten Sinne: technische Infrastruktur: Basisdienste, Software, Verwaltung Methodensammlung, Input für DH Curricula, etc. Ein Netzwerk von Menschen Gemeinsame Aktivität von Techniker*innen und geisteswissenschaftlichen Forscher*innen, die mit virtuellen Forschungsumgebungen arbeiten DARIAH-DE ist die deutsche Aktivität im Rahmen von DARIAH 3 / 31

Virtuelle Forschungsumgebungen in den Geisteswissenschaften 4 / 31

DARIAH AAI 1.0 5 / 31 Seit 2006 betreibt DARIAH-DE eine produktive AAI, die es Forscher*innen aus der ganzen Welt erlaubt, sich an DARIAHDiensten anzumelden Entweder mit dem Account Ihrer Heimatorganisation Oder über einen dedizierten DARIAH-Account Features: Gruppenbasierte Authorisierung über verschiedene Dienste Single Sign-On DARIAH-DE Dienste sind alle angeschlossen Im Rahmen der DARIAH-EU WG FIM4D werden Dienste aus anderen DARIAH-Ländern angeschlossen

DARIAH AAI 1.0 MPCDF 6 / 31

DARIAH AAI 1.0 ACHTUNG: Kooperation! (zwischen Max-Planck-Rechenzentren) Gesellschaft für wissenschaftliche Max Plack Computing and Data Facility Datenverarbeitung, Göttingen (früher RZ Garching) 7 / 31

Föderation Sammlung (Mitgliederverzeichnis) von Organisationen Genauer Sammlung von Zertifikaten aller Server, die in der Föderation agieren: Identity Provider (IdP) und Service Provider (SP) Erlaubt Teilen von Resourcen über Organisationsgrenzen hinaus mit SSO als Zusatzfeature Basiert heute auf SAML (Security Assertion Markup Language) Nachfolgertechnologie wird gerade spezifiziert (OIDC Fed) Switch.ch 8 / 31

Interföderation edugain DFN-AAI edugain Metadata Switch-AAI HAKAI 9 / 31

Interföderation edugain 10 / 31

DARIAH AAI Ziele Benutzer*innen von DARIAH-Diensten (SPs) sollen sich über ihre Heimatorganisation (campus IdP) authentifizieren Alle DARIAH-Dienste sollen zentral verwaltete Autorisierungsinformationen bekommen, z.b.: memberof: geobrowser-administrators, memberof: dariah-de-coordination-office DARIAH benötigt Informationen über die einzelnen Benutzer*innen: Hat DARIAH Terms of Use bestätigt Hat service-spezifische Terms of Use bestätigt Ist Teil der Forschungscommunity (durch Domain der E-Mail-Adresse, oder Nachweis) Name (Autorenschaft von Beiträgen) und Kontaktdaten Informationen, die nicht von Campus-IdPs geliefert werden, müssen nachträglich erhoben werden Hat die Benutzer*in keine Heimatorganisation, die Teil der Föderation ist, oder dessen IdP noch nicht einmal eine SP-übergreifende ID (eppn oder eppi), sondern nur epti ausgeben, wird ein dedizierter DARIAH-Account angelegt 11 / 31 Leider augenblicklich die Regel eppn: eppi: epti: edupersonprinciplename edupersonpersistantid edupersontargetedid

DARIAH AAI 1.0

Warum DARIAH AAI 2.0? Der Aufwand, einen Dienst anzuschließen war wegen der vielen Aufgaben des SPs kompliziert Weiterleitung zum Discovery Service Attribut-Aggregation Attributcheck, Terms-of-Use-Check Weiterleitung zum Registrierungsdienst Zukünftige Anforderungen, wie z.b. Account-Linking Im Rahmen des EU-Projekts AARC wurde eine Blueprint-Architektur entwickelt, um AAIs zu homogenisieren und den Betrieb zu vereinfachen 13 / 31 Zentrales Element ist hierbei ein Proxy Proxy übernimmt zentral Funktionen, die bisher beim SP angesiedelt waren Dies macht den Anschluss eines Dienstes and die DARIAH-AAI wesentlich einfacher Aus einer epti wird eine SP-übergreifende ID!

DARIAH AAI 2.0 Proxy SP Proxy IdP Resource Resource SP SP Resource SP

DARIAH AAI 2.0 15 / 31

DARIAH AAI 2.0 Das Proxy-Modell ist konform mit der AARC JRA1 Blueprint Architecture Ist seit July 2018 produktiv Schon vor dem Proxy waren viele Dienste angeschlossen Jetzt, da es wesentlich einfacher ist, rechnen wir mit vielen weiteren Diensten Zukünftige Anforderungen werden einfacher, weil zentral, lösbar: Account-Llinking SRTIFY/SNCTiFY Der Proxy macht es auch einfacher mit anderen Infrastrukturen, wie z.b. EGI zu interagieren EGI interoperation PoC läuft bereits DARIAH-AAI bereit für EOSC! Über den Proxy können wir auch mit edupersontargetedid auskommen 16 / 31

Anschluss von Diensten Fast jede SAML Service Provider Programmbibliothek kann verwendet werden Oder Anschluss an einen Shibboleth SP über HTTP Environment-Variablen Der SP muss nicht mehr in der Föderation angemeldet werden, in der Föderation ist nur der Proxy Es müssen also nur Metadaten mit dem Proxy ausgetauscht werden Allerdings müssen Policy-Versprechungen, die der Proxy in der Föderation macht, auch vom einzelnen SP eingehalten werden! Der Proxy sorgt für: Weiterleitung zum IdP Discovery Verbindung nach edugain Sammelt alle Attribute für die SPs 17 / 31 von (Campus-) IdP(s) Registrierte Attribute vom DARIAH IdP Terms-of-Use-Informationen und Gruppenmitgliedschaften

DARIAH AAI Proxy-Innereien 18 / 31 Der DARIAH AAI Proxy basiert auf der Open Source Software Shibboleth (sowohl IdP als auch SP): IdP Komponente ist verbunden mit allen DARIAH Diensten, bzw. deren SP SP Komponente ist verbunden mit allen IdPs in edugain. Diese beiden Komponenten sind so zusammengefügt, dass der AAI Proxy alle Daten von edugain IdPs an alle DARIAH SPs weiter gibt

Nicht nur ein Proxy Der DARIAH AAI Proxy macht auch noch mehr als Attributweitergabe: Checken ob der edugain user im DARIAH-LDAP registriert ist und falls nicht an das DARIAH Self-Service weiterleiten Checken, ob die DARIAH Nutzungsbedingungen akzeptiert wurde aber auch etwaige dienstspezifische Nutzungsbedingungen 19 / 31 Schlägt auch an, wenn es eine neue Version der Bedingungen gibt Anreicherung der Attribute mit Mitgliedschaftsinformationen zu Autorisierungsgruppen, die vom Dienst für Zugriffskontrolle genutzt werden kann

Terms of Use Check 20 / 31

DARIAH Self-Service Erweiterungen Registrierungg von Benutzer*innen, die sich über sie edugain metaföderation ( Campus IdP) authentifizieren Beantragen eines DARIAH-Accounts, falls kein IdP bei der eigenen Organisation vorhanden Ermöglicht das akzeptieren der Nutzungsbedingungen Verwaltung der eigenen Daten Zentrale Gruppenverwaltung: 21 / 31 Editieren der Mitgliedschaften, wenn Nutzer*in Owner der Gruppe ist Wenn bereits Mitglied: Mitgliedschaft austragen Wenn noch kein Mitglied, abhängig von der Gruppe entweder Mitgliedschaft Beantragen (muss genehmigt werden), oder Mitgliedschaft eintragen (muss nicht genehmigt werden)

DARIAH Self-Service: Account beantragen 22 / 31

DARIAH Self-Service: Registrierung Targeted / Persistent ID 23 / 31

DARIAH Self-Service: Eigene Daten verwalten 24 / 31

DARIAH Self-Service: Gruppenverwaltung 25 / 31

Benutzerzahlen August 2018 26 / 31 > 4630 DARIAH-Nutzer > 390 DARIAH-Nutzer von 72 IdPs aus edugain 322 Benutzergruppen Ca. 85 Projekte

Was hat das jetzt mit Hochschulkooperation zu tun? Leider nur wenig, aber: Hochschulen kooperieren miteinander in Forschungsprojekten, so auch in DARIAH-DE DARIAH-DE arbeitet zusammen mit CLARIN-D an einer nachhaltigen Infrastruktur für die Geisteswissenschaften Hier hilft Forschungsprojektförderung nicht 27 / 31 Alternativen müssen her, z.b. Finanzierung nicht über FTEs Rechenzentren müssen in der Lage sein, Rechnungen für Ihre Dienste zu stellen Weiterentwicklung geht mit Projektförderung, Betrieb nicht Alle schauen auf die NFDI (Nationale Forschungsdaten Infrastruktur)

Beispiel DARIAH Repository 28 / 31

Beispiel DARIAH Repository Die Infrastruktur ist so angelegt, dass auch gleiche Dienste (DARIAH Storage API) in verschiedenen Instanzen von verschiedenen Rechenzentren betrieben werden sollen Datenreplikationsverbund Es müssen SLAs definiert werden 29 / 31 Verschiedene Bausteine solcher komplexen Infrastrukturen werden von verschiedenen Hochschulen betrieben Dienste müssen gebrokert werden können DARIAH einfrastructure Service Unit (DeISU)

DeISU Vertragsmodell 30 / 31

Mehr Infos: https://www.dariah.eu/ https://de.dariah.eu/ https://www.daasi.de peter.gietz@daasi.de

Central Policy Decision Point If more than one system trusts an access policy it makes sence to have a central policy decision point Manage the access rules only once Policy Enforcement Point doesn t have to deal with managing and evaluating access policy Just needs to get access decisions from the PDP via simple and standardized protocols DARIAH uses the RBAC compliant open-source PDP didmos Decision Point in combination with apis OAuth2 Authorization Server

DARIAH PDP 33 / 31

PDP - Flow 0: Session mit einem OAuth2-fähigen Dienst besteht 1: Redirect mit SAML-Login am OAuth2 AS 2: AS erfragt Consent, und schickt Redirect mit Token (evtl AuthZ Code noch davor) zurück zum Dienst 3. Dienst setzt Token ein, Resource: StorageAPI 4. StorageAPI holt sich UserID aus Token 5. StorageAPI fragt PDP: checkaccess(userid,read/write/operationabc,dateixyz) 6. Interne Token-Validierung (PDP beim AS) Auslieferung der DateiXYZ an Dienst 34 / 31

Connect the SP to the DARIAH AAI

Set up Trust with the AAI Proxy Download the DARIAH AAI Proxy's Metadata file like this (mind the capital "-O") wget https://aaiproxy.de.dariah.eu/idp -O / etc/shibboleth/dariah-proxy-idp.xml Locate the MetadataProvider section in /etc/shibboleth/shibboleth2.xml and add a row: <MetadataProvider type="xml" file="dariahproxy-idp.xml"/> 36 / 31 Send your own SP's metadata to register@dariah.eu (from https://your.sp.edu/shibboleth.sso/metadata)

Further SP Configuration In /etc/shibboleth/shibboleth2.xml, set the SP to direct login using <SSO entityid="https://aaiproxy.de.dariah.eu/idp"> Use the following ID preference order REMOTE_USER="eppn unique-id" Enable edupersonuniqueid in /etc/shibboleth/attribute-map.xml: <Attribute name="urn:oid:1.3.6.1.4.1.5923.1.1.1.13" id="unique-id"> <AttributeDecoder xsi:type="scopedattributedecoder"/> </Attribute> 37 / 31

Attributes in the DARIAH AAI Released by default: eppn, affiliation, unscoped-affiliation, entitlement Add and use unique-id for personalization (see previous slide) Configure in /etc/shibboleth/attribute-map.xml, by uncommenting: cn (CommonName), givenname, sn (surname), displayname, preferredlanguage, o (Organization), mail, schaccountryofcitizenship DARIAH-specific Attributes, by adding: <Attribute name="urn:oid:1.3.6.1.4.1.5923.1.5.1.1" id="ismemberof"/> <Attribute name="urn:oid:1.3.6.1.4.1.10126.1.52.5.2" id="dariahrole"/> <Attribute name="urn:oid:1.3.6.1.4.1.10126.1.52.4.15" id="dariahtermsofuse"/> 38 / 31

Attributes from Campus IdPs Adapt attribute-policy.xml to accept any scope Remove the Scope Checking stanza for affiliation and eppn <afp:attributerule attributeid="affiliation"> <afp:permitvaluerule xsi:type="and"> <RuleReference ref="edupersonaffiliationvalues"/> <!-- accept any scope <RuleReference ref="scopingrules"/> --> </afp:permitvaluerule> </afp:attributerule> [...] <!-- accept any scope for legacy users <afp:attributerule attributeid="eppn"> <afp:permitvaluerulereference ref="scopingrules"/> </afp:attributerule> --> 39 / 31

Terms of Use for Service Generally DARIAH AAI ToU must be accepted by anyone using the DARIAH AAI The AAI proxy checks the ToU acceptance A DARIAH Service can have additional ToU Upload your ToU document to the DARIAH Repository, cf. DARIAH ToU: https://repository.de.dariah.eu/1.0/dhcrud/21.11113/0000-000b-cb44-4 40 / 31

Terms of Use for Service (2) 41 / 31 Then request an authorization group attached with your service's ToU: Log in to the SelfService, and choose Manage Groups "+ new group" (at the bottom of the page) Choose a group name, e.g. myservice-users Put the link to your ToU in the "Remarks" box DARIAH staff will create the group for you

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback