Who are you? Where are you from? Identitätsmanagement, Authentifizierung, Autorisierung mit Shibboleth und Single SignOn Ato Ruppert, Universitätsbibliothek Freiburg AKMB Tagung Kunst- und Museumsbibliotheken im Aufbruch Nürnberg, 29. und 30. Oktober 2009
Gliederung Motivation Begriffsklärung Identitätsmanagement Shibboleth, Single Sign-On, Attribute, Rechte, Rollen Föderation DFN-AAI Beispiele aus Freiburg Rückblick & Ausblick 2
Fragestellung und Motivation Suche nach wissenschaftlicher Information im Internet Quelle wird gefunden, aber Zugang nur gegen Passwort oder Zahlung Wiss. Bibliotheken kaufen Nutzungslizenzen für elektronische Informationen. Daher ist der Zugang über die Bibliotheken i.d.r. möglich. 3
Ato Ruppert, UB Freiburg, 30.10.2009 4
Ato Ruppert, UB Freiburg, 30.10.2009 5
Ato Ruppert, UB Freiburg, 30.10.2009 6
Motivation Was treibt uns um? - Portal ReDI mit - Über 60 Teilnehmereinrichtungen - Über 150 Dienstanbieter - Über 750 Datenbanken - Bis April 2006 proprietäre Authentifizierungsverfahren - ReferenceLinking über LinkResolver möglich, jedoch bei Anbietern auf IP-Kontrolle beschränkt. Was ist das Ziel? - wir wollen es unseren NutzerInnen (und uns selbst) das Recherchieren leichter machen! 7
In medias res: Einige Begriffe Authentifizierung: Wer ist da? - Personalausweis, Pass - Login/Passwort, IP-Adresskontrolle? - Level of Assurance Autorisierung (Rollen): Welche Rolle hat Wer? - Visum, Dienstausweis -> Credentials Rechteverwaltung: Was lasse ich zu? - Berechtigung und Rechtsanspruch Single SignOn: Eine A&A für alle Dienste Personalisierung: Mein Service 8
Worauf benötigen wir also Antworten? Wie beschreiben wir eine digitale Identität? - Identitätsmanagement (IdM) Wie beschreiben wir eine Rolle? - Z.T. ebenfalls im Identitätsmanagement (IdM) Wie bilden wir Rollen auf Rechte ab? - Rechteserver - Trennung der Rechteverwaltung in Rechteserver und Applikation 9
Identitätsmanagement (IdM) Zentrales System, in dem eine einheitliche Authentifizierung und Autorisierung durch die Einrichtung erfolgen kann. Dazu: - Sammlung der Daten aus unterschiedlichen Quellen (Studierende, MitarbeiterInnen, etc) - Zusammenführen in einem einheitlichen Schema - Technische Schnittstelle für die unterschiedlichen Anwendungen (LDAP) 10
Authentifizierung - LDAP 11
Anforderungen an IdM Qualitätsanforderungen - Verlässlichkeit: Sicherheitsstufen, Missbrauchsverhinderung - Aktualität: zeitnahe Änderung - Nachvollziehbarkeit: Dokumentation, Logging - Ausfallsicherheit: Back-up-Systeme Einklang mit rechtlichen Vorgaben - Datenschutzgesetz 12
Wird von Internet2 entwickelt http://shibboleth.internet2.edu http://www.aai.dfn.de 13
Warum Shibboleth? verteilte Authentifizierung und Autorisierung von Nutzern gegen lokale Benutzerdatenbanken, Single SignOn Vermittlung des Zugangs zu Angeboten zu externen Diensten für berechtigte Nutzer unabhängig von der IP-Adresse Reference Linking: Vermittlung der Nutzer vom Zitat in einer Datenbank zum Volltext auf einem Verlagsserver z.b. über den ReDI-Linkresolver Personalisierung von Angeboten Und das nicht nur für Bibliotheksdienste! 14
Woher kommt Shibboleth? Hintergrund ist eine Stelle aus dem AltenTestament, Buch Richter Kapitel 12 Vers 5ff: - Und die Gileaditer nahmen ein die Furt des Jordans vor Ephraim. Wenn nun sprachen die Flüchtigen Ephraims: Laß mich hinübergehen, so sprachen die Männer von Gilead zu ihm: Bist du ein Ephraiter? Wenn er dann antwortete: Nein, so hießen sie ihn sprechen: Schiboleth, so sprach er: Siboleth, und konnte es nicht recht reden. So griffen sie ihn und schlugen ihn an der Furt des Jordans, daß zu der Zeit von Ephraim fielen zweiundvierzigtausend. (Zitat http://www.spiritproject.de/orakel/magie/lyrik/bibel/richter.htm) (vergl. auch: http://www.thebricktestament.com/judges/42000_ephraimites_killed/jg12_04.html) Das Wort Shibboleth ist somit wohl das erste biometrische Autorisierungsverfahren gewesen! Shibboleth s heute: Awwer hache derfst misch net! 15
Wie funktioniert Shibboleth? Erstzugriff Anbieter 1 Shibboleth-Sitzung vorhanden? Benutzerin 3 2 Discovery-Service nein 4 6 Login 5 Authentifizierungsabfrage 8 AuthN & Attribute 7 ja nein Zugriff Heimateinrichtung 16
Wie funktioniert Shibboleth? Zweitzugriff, gleicher Anbieter 1 Anbieter Shibboleth-Sitzung vorhanden? 2 ja Benutzerin ja nein Zugriff Heimateinrichtung 17
Wie funktioniert Shibboleth? Benutzerin Zweitzugriff, anderer Anbieter 1 Discovery-Service Anbieter Shibboleth-Sitzung vorhanden? 2 nein 3 Authentifizierungsabfrage 4 6 AuthN & Attribute 5 ja nein Zugriff Heimateinrichtung 18
Die wichtigsten Attribute (Realbetrieb) edupersonscopedaffiliation:member@uni-freiburg.de - Ermöglicht grundlegende Rollen: member, faculty, staff, employee, student, alum, affiliate und librarywalk-in edupersontargetedid (ab Shib 2.x NameIdentifier): - Eindeutiges, persistentes Pseudonym z.b. zur Personalisierung - Ruppert,EBSCO wird durch MD5 zu: be83f47a1e56731eceddde08e8a76fa3 edupersonentitlement:common-lib-terms - Frei definierbar, URN/URI-Syntax (Absprachen zwischen IdP und SP erforderlich) edupersonprincipalname: ruppert@uni-freiburg.de - Eindeutiger, persistenter Identifier (Datenschutz beachten!) 19
Die deutsche Wissenschaftsföderation DFN-AAI http://www.aai.dfn.de 20
Die Föderation DFN-AAI Wo ist das Problem? - Anbieter muss dem Anwender vertrauen. - Es geht um Geld. - Vertrauen heißt im Geschäftsleben: Vertrag. - Es müssen belastbare vertragliche Regelungen getroffen werden. - Es müssen Regeln für den technischen Betrieb existieren. DFN-AAI ist ein Dienst des DFN-Vereins für Wissenschaftseinrichtungen und (auch für kommerzielle) Anbieter von (Informations)-Ressourcen. DFN-AAI schafft das für notwendige Vertrauensverhältnis und einen organisatorischen, technischen Rahmen für den Austausch von Nutzerinformationen zwischen vielen Anwendern und vielen Anbietern. 21
Aufgaben der DFN-AAI Vorgabe von Richtlinien (Policy) Vertragsgestaltung und -abschluss Public Relations & internationale Vertretung zentrale betriebliche Aufgaben (technisch) - Metadatenverwaltung - WAYF-Server (Discovery-Service) - Testsystem - Web-Portal - Schulung, Beratung übernimmt nicht die Lizenzverträge. 22
Beispiel Universität Freiburg: mylogin 23
Der Dienst mylogin mylogin ist der zentrale Authentifizierungs- und Autorisierungsdienst der Universität Freiburg Idee hat sich im Laufe der Umstellung von Anwendungen auf Shibboleth herauskristallisiert Gemeinsame Entwicklung von UB, Rechenzentrum (RZ), Klinikrechenzentrum (KRZ) und Rektorat Absprachen und Planung ab Anfang 2006 Implementierung ab Anfang 2007 (basierend auf Datenbankportal ReDI) Inbetriebnahme am 1. Oktober 2007 Beitritt der Universität Freiburg zur DFN-AAI mit mylogin als Identity-Provider im November 2007 Seit März 2008 hochverfügbar (Linux-HA Cluster) 24
Ziele von mylogin Ein Login für alle Anwendungen, Single SignOn Eine einheitliche Authentifizierungs- und Autorisierungsschnittstelle, sowohl für Universitätsinterne als auch für externe Anwendungen/Anbieter Ablösung von - lokalen Authentifizierungslösungen - direkten LDAP-Zugriffen (Datenschutz!) - IP-Kontrolle Abdeckung aller Nutzergruppen in der Universität: - Mitglieder und Angehörige der Universität (LDAP des RZ) - Mitarbeiter des Klinikums (LDAP des KRZ) - externe Nutzer der UB (BiBer-Ausleihsystem der UB) - Walk-In Patrons (BiBer-Ausleihsystem der UB mit IP- Beschränkung) 25
Auswahl und Login 1. Auswahl des IdM-Systems RZ-LDAP KRZ-LDAP UB-BiBer Walk-In Patrons nur an bestimmten Arbeitsplätzen Rektorat HIS-SOS/SVA Klinikum SAP 26
Auswahl und Login 2. Einmalige Authentifizierung gegen das gewählte IdM-System RZ-LDAP KRZ-LDAP UB-BiBer Walk-In Patrons nur an bestimmten Arbeitsplätzen Rektorat HIS-SOS/SVA Klinikum SAP 27
Absprachen, Beteiligungen Lokaler Personalrat: Abstimmung wg. PVG Rektorat (und Senat):Rollen und Rechte Datenschutz: Verfahrensanmeldung DFN-AAI: Föderationsverträge Und natürlich: - Lizenzverträge mit Anbietern - Absprachen mit Anbietern über Attribute 28
Fazit oder wem nützt was? Die Nutzer haben deutlich vereinfachte Verfahren beim Zugang zu lizenzierten Diensten Die Daten der Nutzer liegen nur noch an einer Stelle (bei der Heimateinrichtung ) Sichere Übertragungswege mit einem weltweit einheitlichen Verfahren Die vertrauenswürdige Infrastruktur der Föderation unterstützt auch die Bedürfnisse der (externen) Anbieter Einheitliche Authentifizierung und Autorisierung innerhalb einer Einrichtung 29
Online-Demo ReDI Datenbankdienst Interne Seiten UB Freiburg (TYPO3) Serverüberwachung UB Freiburg Direkter Aufruf Springer-Link Direkter Aufruf OVID Bearbeitung Systematiken UB Freiburg Microsoft, ASKnet, HISinOne, 30
Rückblick & Ausblick Start des Projektes AAR an UB Freiburg im Januar 2005 Erster Kontakt mit DFN im Januar 2006 Betriebsaufnahme der DFN-AAI im November 2007 DFN-AAI nur begrenzt interessant für nicht wissenschaftliche Bibliotheken (Preis) Daher: Im April 2009 Kontaktaufnahme mit DiviBIB GmbH (Tocher EKZ) mit dem Ziel einen Föderationsdienst für öffentliche und Spezialbibliotheken aufzubauen 31
Föderationen weltweit 32
Vielen Dank für Ihre Aufmerksamkeit! Fragen? ruppert@ub.uni-freiburg.de 33