Themenkreis IV: ITC Managment Authentication and Authorisation



Ähnliche Dokumente
edugain Eine Meta-Infrastruktur verbindet heterogene AAI-Welten Torsten Kersting

Aufbau einer AAI im DFN. Ulrich Kähler, DFN-Verein

SWITCHaai Die Authentifizierungs- und Autorisierungs- Infrastruktur der Schweizer Hochschulen

Autorisierung. Sicherheit und Zugriffskontrolle & Erstellen einer Berechtigungskomponente

Web Services stellen eine Integrationsarchitektur dar, die die Kommunikation zwischen verschiedenen Anwendungen

ICS-Addin. Benutzerhandbuch. Version: 1.0

Beschreibung Regeln z.b. Abwesenheitsmeldung und Weiterleitung

Task: Nmap Skripte ausführen

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

RT Request Tracker. Benutzerhandbuch V2.0. Inhalte

Man liest sich: POP3/IMAP

Content Management System mit INTREXX 2002.

Online Schulung Anmerkungen zur Durchführung

Anleitung Thunderbird Verschlu sselung

Verbundzentrale des GBV (VZG) Till Kinstler / Digitale Bibliothek

Gefahren aus dem Internet 1 Grundwissen April 2010

Lizenzierung von System Center 2012

Konfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version Deutsch

mysql - Clients MySQL - Abfragen eine serverbasierenden Datenbank

Inkrementelles Backup

Windows 8 Lizenzierung in Szenarien

Secure Mail der Sparkasse Holstein - Kundenleitfaden -

Metadaten. Organisationsstrukturen und Sicherheit in Shibboleth. Authentifizierung, Autorisierung und Rechteverwaltung

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:

Einrichten eines Postfachs mit Outlook Express / Outlook bis Version 2000

Sichere Anleitung Zertifikate / Schlüssel für Kunden der Sparkasse Germersheim-Kandel. Sichere . der

oder ein Account einer teilnehmenden Einrichtung also

Beschreibung und Bedienungsanleitung. Inhaltsverzeichnis: Abbildungsverzeichnis: Werkzeug für verschlüsselte bpks. Dipl.-Ing.

Second Steps in eport 2.0 So ordern Sie Credits und Berichte

Abamsoft Finos im Zusammenspiel mit shop to date von DATA BECKER

Ein Hinweis vorab: Mailkonfiguration am Beispiel von Thunderbird

Benutzerkonto unter Windows 2000

Gruppe: swp Gruppenleiter: U. Seiler Aufgabenstellung 3. Lastenheft

Web-Single-Sign-On in der LUH

Verschlüsselung

Version Deutsch In diesem HOWTO wird beschrieben wie Sie Ihren Gästen die Anmeldung über eine SMS ermöglichen.

Neue Kennwortfunktionalität. Kurzanleitung GM Academy. v1.0

DFN-AAI Sicherheitsaspekte und rechtliche Fragen

robotron*e count robotron*e sales robotron*e collect Anmeldung Webkomponente Anwenderdokumentation Version: 2.0 Stand:

Installation des Authorware Webplayers für den Internet Explorer unter Windows Vista

Lizenzierung von SharePoint Server 2013

Identity Propagation in Fusion Middleware

Multicast Security Group Key Management Architecture (MSEC GKMArch)

Nachfolgend wird beispielhaft die Abfolge des Zugriffs auf Angebote von OVID, Elsevier und Springer via mylogin von zu Hause dargestellt

Anleitung zur Installation und Nutzung des Sony PRS-T1 ebook Readers

Anleitung zur Installation und Nutzung des Sony PRS-T1 ebook Readers

Urlaubsregel in David

1. SaxIS-Shibboleth. Shibboleth-Workshop. Chemnitz, 15. Dezember Dipl. Wirt.-Inf. Lars Eberle, Projekt SaxIS und BPS GmbH

Agentur für Werbung & Internet. Schritt für Schritt: -Konfiguration mit Apple Mail

ANYWHERE Zugriff von externen Arbeitsplätzen

Anleitung zum Online-Monitoring für Installateure

Update und Konfiguraton mit dem ANTLOG Konfigurations-Assistenten

Bedienungsanleitung: Onlineverifizierung von qualifiziert signierten PDF-Dateien

Kommunikations-Management

BMW ConnectedDrive. connecteddrive. Freude am Fahren BMW CONNECTED DRIVE. NEUERUNGEN FÜR PERSONALISIERTE BMW CONNECTED DRIVE DIENSTE.

SCHRITT FÜR SCHRITT ZU IHRER VERSCHLÜSSELTEN

Arbeiten mit dem Outlook Add-In

Leitfaden für den -Dienst

Das -Postfach für Studierende. Informationen und Anleitung zur Nutzung

Benutzerhandbuch. Leitfaden zur Benutzung der Anwendung für sicheren Dateitransfer.

Umzug der abfallwirtschaftlichen Nummern /Kündigung

Anleitung für den Elektronischen Lesesaal der Martin-Opitz Bibliothek

Handbuch für Nutzer von Zertifikaten der Zertifizierungsstellen (CAs) des Bayerischen Behördennetzes (BYBN) zur Sicherung von s Teil D2:

Was meinen die Leute eigentlich mit: Grexit?

Intranet Moodle

Einleitung: Frontend Backend

Datensicherung. Beschreibung der Datensicherung

Anleitung zum neuen Überaumbuchungssystem der Hochschule für Musik und Tanz Köln

Speicher in der Cloud

Anleitung zur Installation von Thunderbird

Lizenzen auschecken. Was ist zu tun?

Kundeninformationen zur Sicheren

Kurzanleitung: Abonnenten-Import

Outlook Erstellen einer aus einer HTML - Vorlage INHALT

Leichte-Sprache-Bilder

Adobe Volume Licensing

Inhalt. 1 Einleitung AUTOMATISCHE DATENSICHERUNG AUF EINEN CLOUDSPEICHER

Steganos Secure Schritt für Schritt-Anleitung für den Gastzugang SCHRITT 1: AKTIVIERUNG IHRES GASTZUGANGS

Sich einen eigenen Blog anzulegen, ist gar nicht so schwer. Es gibt verschiedene Anbieter. ist einer davon.

Installationsanleitung CLX.PayMaker Home

Guide DynDNS und Portforwarding

Installationsanweisung Gruppenzertifikat

Infrastruktur: Vertrauen herstellen, Zertifikate finden

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Bedienungsanleitung für den SecureCourier

Barrierefreie Webseiten erstellen mit TYPO3

.htaccess HOWTO. zum Schutz von Dateien und Verzeichnissen mittels Passwortabfrage

CNAME-Record Verknüpfung einer Subdomain mit einer anderen Subdomain. Ein Alias für einen Domainnamen.

FritzCall.CoCPit Schnelleinrichtung

Suche schlecht beschriftete Bilder mit Eigenen Abfragen

Registrierung am Elterninformationssysytem: ClaXss Infoline

Abschlussvortrag zur Diplomarbeit Aufbau und Analyse einer Shibboleth/GridShib-Infrastruktur

Externe Abfrage von für Benutzer der HSA über Mozilla-Thunderbird

Homebanking-Abkommen

Hinweise zur Nutzung des E-Learning System 'Blackboard' (Teil 1): Die Anmeldung in Blackboard bzw. einem Kurs

Gesetzliche Aufbewahrungspflicht für s

SICHERN DER FAVORITEN

Transkript:

Themenkreis IV: ITC Managment Authentication and Authorisation Kersting, Torsten, MSc. Inf. Rauschenbach, Jürgen, Dr. DFN-Verein Telefon: 030 884299-56, 030 884299-46 Email: kersting@dfn.de, jrau@dfn.de Stresemannstr. 78 10963 Berlin

edugain verbindet Föderationen Torsten Kersting, Jürgen Rauschenbach DFN-Verein GS-Berlin Stresemannstr. 78 10963 Berlin kersting@dfn.de jrau@dfn.de Abstract: Ein Grossteil der europäischen Forschungsnetze verfügt bereits über eigene Authentifizierungs- und Autorisierungs-Infrastrukturen oder baut diese gerade auf, um so zum einen den Angehörigen dieser Netze einen komfortablen Zugang zu geschützten Ressourcen zu ermöglichen und zum anderen um Anbietern von Ressourcen eine komfortable Zugriffsverwaltung zu bieten. Innerhalb der Forschungsnetzcommunity werden diese Infrastrukturen auf nationaler Ebene in so genannten Föderationen organisiert. Im Umfeld des von der EU geförderten GN2- Projektes wurde das im folgenden beschriebene Konzept edugain entwickelt, das bereits existierende Authentifizierungs- und Autorisierungs-Infrastrukturen der nationalen Forschungsnetze integrativ, in einer so genannten Konföderation, so organisiert, dass die Nutzer einzelner Föderationen auch Ressourcen anderer Föderationen nach vergleichbaren Regeln nutzen können. 1 Einleitung Hochschulen und Forschungseinrichtungen verfügen über eine Vielzahl geschützter Ressourcen, auf die unter festgelegten Bedingungen zugegriffen werden darf. Zum Beispiel sollen Mitarbeiter und Studierende einer bestimmten Hochschule im Rahmen einer speziellen Lizenzvereinbarung auf Fachinformation zugreifen können oder ein elearning-system ausschließlich von BWL-Studenten genutzt werden können. Um den Zugriff auf diese geschützten Ressourcen für die involvierten Teilnehmer zu verbessern und zu vereinfachen, ist eine Authentifizierungs- (Wer greift zu?) und Autorisierungs- (Worauf darf er zugreifen) Infrastruktur (AAI) hilfreich. Den Nutzern soll der Zugriff unabhängig vom Ort und dem Zugriffsweg ermöglicht werden und der Zugriff auf mehrere Anbieter von Ressourcen soll möglichst nach nur einmaliger Authentifizierung erfolgen. Für die Anbieter der Ressourcen soll der Schutz vor unberechtigtem Zugriff mit möglichst geringem Aufwand realisiert werden. Für die Einrichtungen soll der berechtigte Zugriff ihrer Nutzer mit möglichst geringem Aufwand umgesetzt werden.

Grundlage für eine solche Infrastruktur ist ein Identity Management System (IDM), über das die Identitäten der Nutzer mit ihren Attributen verwaltet werden. Anhand dieser Attribute, wie z.b. der Rolle innerhalb einer Einrichtung, den besonderen Befugnissen, dem Status, fällt der an das AAI System angeschlossene Service Provider seine Autorisierungsentscheidungen. Dieses Identity Management System muss daher sehr vertrauenswürdig sein, d.h. die bereitgestellte Information muss aktuell, korrekt und sicher vor Manipulationen sein. Eine AAI besteht üblicherweise aus drei Hauptkomponenten, dem Identity Provider, dem Service Provider und einer WAYF (Where are You From) Komponente. Der Identity Provider stellt auf Anfrage die Attribute zu bestimmten Identitäten bereit, diese bekommt er aus dem Identity Management System; der Service Provider kontrolliert den Zugriff auf Ressourcen; der WAYF dient zur Lokalisierung des zu verwendenden Identity Providers. Um Ressourcen nicht nur innerhalb einer sondern mehrerer Einrichtungen nutzen zu können müssen die einzelnen AAI Systeme der Einrichtungen kompatibel zusammengeschlossen werden. Dieser Zusammenschluss wird als Föderation bezeichnet. Innerhalb einer solchen Föderation, wie beispielsweise der DFN-AAI, wird die kompatible Nutzung üblicherweise durch die Einigung auf Nutzung einer einheitlichen Software realisiert, im Fall von DFN-AAI ist dies Shibboleth. Folgendes Beispiel sowie Abbildung 1 sollen dies verdeutlichen: Ein Nutzer dessen digitale Identität bei einem Identity Provider seiner Einrichtung gespeichert ist, versucht auf Ressourcen einer anderen Einrichtung zuzugreifen (1). Der Service Provider, der diese Ressource schützt, stellt nun fest, dass der Nutzer noch nicht bekannt ist und fordert ihn auf sich zu authentifizieren. Hierzu wird er an den in einer Föderation zentralen WAYF weitergeleitet (2), diesem WAYF sind alle Teilnehmer- Organisationen der Föderation mit all ihren Service- und Identity Providern bekannt. Er wird dort aufgefordert den Identity Provider auszuwählen, bei dem seine Identität verwaltet wird, woraufhin er an genau diesen weitergeleitet wird (3). Der Nutzer meldet sich mit einem von der eigenen Einrichtung festgelegten Verfahren an, üblicherweise Nutzername und Passwort (4), und wird nach erfolgreicher Authentifizierung zurück an den Service Provider geleitet, auf dessen Ressourcen er zugreifen möchte (5). Zusammen mit der Weiterleitung an diesen Service Provider werden diverse Attribute, seine Person bestimmend, übertragen. Anhand dieser Attribute ist der Service Provider nun in der Lage eine Autorisierungsentscheidung zu fällen (6). Für weitere Grundlagen zu AAI siehe [EC07] sowie [LOP04]

Bild 1: Föderation Wenn auf Ressourcen außerhalb der eigenen Föderation zugegriffen werden soll, stößt das Konzept der Föderation an seine Grenzen. Der Service Provider oder der zu verwendende Identity Provider sind dem WAYF der eigenen Föderation nicht bekannt und die Software zum Aufbau der AAI innerhalb der anderen Föderation ist im allgemeinen nicht mit der Software der eigenen Föderation kompatibel. Dies kann sowohl die Art der Identitätsverwaltung, die semantische Bedeutung der Attribute als auch das verwendete Nachrichtenprotokoll betreffen. Um derartige Grenzen zu überwinden werden in edugain verschiedene Föderationen zusammengeschlossen. Dieser Zusammenschluss wird als Konföderation bezeichnet. edugain stellt die nachfolgend beschriebenen Elemente bereit, die notwendig sind, um unterschiedliche Föderationen zu einer Konföderation zusammen zu schließen und kompatibel untereinander nutzbar zu machen.

2 Architektur Zielstellung bei der Entwicklung von edugain war es, eine Architektur zu schaffen, die es gestattet, die Interoperabiliät zwischen bereits bestehenden als auch zukünftigen AAIs zu unterstützen ohne dass Eingriffe in diese nötig sind. Die Architektur besteht im Wesentlichen aus einem WFAYF (Which Federation Are You From), einem Metadaten Service sowie diverse Bridging Elemente. Beim WFAYF handelt es sich um eine Erweiterung des WAYF Konzeptes der Föderation, mit dem Unterschied, dass statt des Identity Providers, die Föderation in der dieser beheimatet ist ausgewählt wird und das die Informationen über alle teilnehmenden Entitäten nicht mehr von diesem selber sondern vom Metadaten Service verwaltet werden. Die Bridging Elemente bilden die Protokolle und die den Identity Providern zu Grunde liegenden Attributsschemata auf ein Konföderationsformat ab. Da dies für die Föderationen völlig transparent geschieht, sind keinerlei Eingriffe in diesen notwendig um an der Konföderation teilzunehmen. Folgendes Beispiel sowie Abbildung 2 sollen den geänderten Ablauf im Gegensatz zur Föderation verdeutlichen: Im ersten Schritt versucht ein Nutzer mit seinem Browser auf eine Ressource außerhalb seiner eigenen Föderation zuzugreifen. Ein deutscher Student, dessen Heiminstitution an DFN-AAI angeschlossen ist, versucht beispielsweise auf ein spanisches, per PAPI (eine AAI Entwicklung aus Spanien) geschütztes, Wiki zuzugreifen (1). Da der spanische Service Provider über keine Authentifizierungsinformationen des Nutzers verfügt, der Nutzer somit also nicht bereits authentifiziert ist, wird dieser an den WAYF Service der PAPI Föderation weitergeleitet (2). Hier kann er nun auswählen, dass der Identity Provider, den er zur Authentifizierung benutzen möchte, aus einer anderen Föderation stammt und er per edugain authentifiziert werden möchte. Daraufhin wird er an den WFAYF Service weitergeleitet, der im Remote Bridging Element beheimatet ist und wählt dort die Föderation aus in der sein Identity Provider beheimatet ist(3), dieser Schritt soll in einer späteren Entwicklungsstufe durch eine Abfrage des WFAYF beim Metadataservice (4) automatisiert ablaufen. Das Bridging Element nimmt die Auswahl der Föderation entgegen und bildet die lokalen Protokolle auf das edugain Protokoll ab. Der Nutzer wird in an das Home Bridging Element weitergeleitet, wo das edugain Protokoll wiederum in das lokale AAI Protokoll übersetzt wird (5), dieser Schritt erfolgt völlig transparent für den Nutzer. Nachdem dieser vom Home Bridging Element an den WAYF seiner Föderation weitergeleitet wurde (6), muss er nur noch seinen Identity Provider innerhalb der eigenen Föderation auswählen und kann sich nach einer Weiterleitung an diesen (7) dort authentifizieren (8). Je nach verwendeter AAI wird nun beispielsweise lediglich ein so genanntes Handle, das ist eine anonymisierte Referenz auf den Nutzer anhand derer weitere Attribute abgefragt werden können, oder bereits eine komplette Liste von Attributen an den spanischen Service Provider übertragen. Diese laufen dabei ebenfalls über die beiden involvierten Bridging Elemente und werden dort entsprechend abgebildet (lokal - edugain - lokal) (9, 10 und 11). Der Service Provider kann im letzten Schritt entscheiden, ob die erhaltenen Attribute ausreichen, um den Nutzer zu authentifizieren und autorisieren, und somit den Zugriff zu gewähren oder zu verweigern (12).

Bild 2: Konföderation (Ablauf der Authentifizierungs- und Autorisierungsschritte) Nachfolgend werden die einzelnen Komponenten dieser Infrastruktur genauer erläutert: 2.1 Bridging Elemente Die Bridging Elemente sind immer in die AAI-Systeme der teilnehmenden Föderationen integriert und dienen dazu, die Protokolle und Attributsschemata der lokalen Föderation auf das edugain Format abzubilden. Daher ist für jede an edugain angeschlossene AAI ein eigenes Bridging Element nötig. Aktuell sind diese für folgende AAI-Systeme vorhanden: Shibboleth, A-Select, PAPI und simplesamlphp. Da alle verwendeten Protokolle und Attributsschemata offen liegen, ist es durchaus möglich, ein eigenes Bridging Element zu entwickeln, um eine AAI in edugain zu integrieren, die aktuell noch nicht unterstützt wird. Weiterhin publizieren und aktualisieren die Bridging Elemente die Metadaten der Föderation beim Metadata Service. Um eine unrechtmäßige Manipulation der Metadaten zu verhindern, müssen sich die Bridging Elemente gegenüber dem Metadata Service mit Zertifikaten ausweisen. Dieses Zertifikate werden von der zu diesem Zweck gegründeten edugain CA (s.u.) ausgestellt.

2.2 WFAYF Der WFAYF ist eigentlich ein Provisorium im aktuellen Entwicklungsstand von edu- GAIN und kein Bestandteil der finalen Architektur. Er greift, wie bereits erwähnt, das Konzept des WAYF aus der Föderation auf mit dem Unterschied dass statt des Identity Providers selber, die Föderation ausgewählt wird in der dieser beheimatet ist. Diese Auswahl soll in einem späteren Entwicklungsstadium von den Bridging Elementen automatisiert vorgenommen werden, die dazu auf die Metadaten des Metadata Service zurück greifen, daher ist der WFAYF aktuell auch funktional in die Bridging Elemente integriert. 2.3 Metadata Service Der Metadata Service verwaltet an zentraler Stelle in der Konföderation die Metadaten aller teilnehmenden Föderationen. Diese Metadaten beschreiben alle existierenden AAI Komponenten der Teilnehmer, wie Identity Provider, Service Provider, eingesetzte WAYFs und zugehörige Zertifikate. Jede Föderation ist selber für die Aktualität und Korrektheit dieser Daten verantwortlich. Um dies komfortabel zu gewährleisten können, werden die Metadaten von autorisierten Bridging Elementen automatisiert beim Metadata Service publiziert. Die Metadaten werden hauptsächlich benötigt, damit sich kommunizierende Komponenten eindeutig Identifizieren können. 2.4 Protokoll Sämtliche Kommunikation zwischen edugain-komponenten wird über einen sicheren Kanal mit gegenseitiger Authentifizierung auf der Basis von Zertifikaten durchgeführt. Die Zertifikate werden unter Verwendung der Komponenten-Identifikatoren gebildet, die in einem einheitlichen Namensraum (urn:geant:edugain) erfasst sind. Auf diese Weise ist jede Komponente der Infrastruktur nach dem Empfang einer Anfrage oder Antwort in der Lage, zum einen die Gültigkeit des Zertifikats zu überprüfen, die von der Gegenstelle präsentiert wurde (Vertrauenskette, Widerrufliste, etc) und zum anderen kann anhand der Werte in diesen Zertifikaten entschieden werden ob die Gegenstelle für die beabsichtigte Interaktion akzeptabel ist. Um Authentifizierungs- und Autorisierungsinteraktionen auszuführen ist die Security Assertion Mark-up Language (SAML) in Kombination mit dem Transport über einen abgesicherten Kanal weit verbreitet und enthält bereits große Teile der erforderlichen Funktionalität [SAML20]. Daher bestehen die Nachrichten, die in edugain ausgetauscht werden, zu großen Teilen aus Variationen von SAML Nachrichten.

2.5 Attributsschema edugain verwendet die Attributsschemata eduperson [EDUCAUSE] sowie SCHAC [SCHAC], d.h. alle innerhalb von Föderationen verwendeten Attributsschemata, wie beispielsweise swisseduperson in der SWiTCH-AAI, werden auf diese abgebildet sobald Föderationsgrenzen überschritten werden. 2.5 edugain CA In den meisten teilnehmenden Forschungsnetzen existieren bereits eigene Certificate Authorities (CAs), diese verwenden fast alle unterschiedliche Wurzelzertifikate. Damit die Vertrauenskette der verwendeten Zertifikate zu einem einzigen Wurzelzertifikat zurück verfolgt werden kann und um auch den Forschungsnetzen ohne eigene CA eine Teilnahme zu ermöglichen, wird innerhalb von edugain eine eigene CA aufgebaut. Diese soll die Wurzelverzeichnisse der NREN CAs signieren können um so parallel zu diesen zu existieren oder selber Zertifikate ausstellen können. Die Certificate Authority befindet sich zur Zeit im Aufbau und wird vom spanischen Forschungsnetz betrieben, Zertifikate können bereits zu Testzwecken über ein Webfrontend 1 beantragt werden 2.6 Policy Um die Verhältnisse zwischen den teilnehmenden Identity- und Service Providern auf eine sichere rechtliche Basis zu stellen wird in naher Zukunft eine edugain Policy entwickelt werden. Für die Identity Provider geht es dabei um den Umgang mit den nutzerbezogenen Daten, für die Service Provider sind lizenzrechtliche Fragen von belang. 3 Pilotinstallation Das Projekt betreibt aktuell eine Pilotinstallation, welche bereits mehrere Föderationen verbindet. Angeschlossen sind die AAI-Systeme folgender Forschungsnetze: per Shibboleth DFN, SWITCH, HUNGARNET und GRNET, per simplesamlphp UNINETT und RESTENA, über A-Select SURFnet, RedIRIS durch PAPI, und CARNet mit einer auf Radius basierenden Eigenentwicklung. Damit ist das oben beschriebene Szenario bereits umsetzbar. Eine Teilnahme weiterer AAI-Systeme aus Forschungsnetzen am Testbed ist jederzeit problemlos möglich, Bridging Elemente für alle genannten AAIs sind auf den entsprechenden Software-Servern des Projektes erhältlich. Um die Infrastruktur zu verwalten und erweitern, ist eine enge Zusammenarbeit mit den anderen Teilnehmern sehr erwünscht. edugain ist ein Gemeinschaftsprojekt und auf breite Unterstützung angewiesen. Sämtliche Dokumentation und Software ist auf dem edugain Wiki zu finden [JRA5WIKI]. 1 http://pki.edugain.org/

Ein zentraler gemeinsamer Géant Identity Provider (GIdP) wurde im edugain Verbund geschaffen, um Nutzern, die in ihrer Heimateinrichtung noch keine etablierte AAI haben, die Nutzung entsprechend geschützter Ressourcen zu ermöglichen. Jeder GÉANT2- Mitarbeiter kann über den GIdP-Administrator in der Umgebung seines Forschungsnetzes eine digitale Identität beantragen, um ohne große Verzögerung edugain nutzen zu können. Der GIdP wurde bereits erfolgreich getestet und wird demnächst offiziell in Produktion gehen, es wird davon ausgegangen, dass er als Interimslösung überflüssig wird, sobald alle Forschungsnetze mit edugain verbunden sind und forschungsnetzweite AAI Lösungen eine ausreichende Durchdringung erreicht haben. Literaturverzeichnis [AAI] Authentication and Authorisation Infrastructure (AAI), http://de.wikipedia.org/wiki/authentication_and_authorization_infrastructure [DJ5.2.2,2] Geant2 Authorisation and Authentication Infrastructure (AAI) Architecture second edition, http://www.dante.net/upload/pdf/gn2-07-024-dj5-2-2-2- GEANT2_AAI_Architecture_And_Design.pdf [DJ5.2.3,2] Best Practice Guide AAI Cookbook Second Edition, http://www.dante.net/upload/pdf/gn2-07-023v4-dj5-2- 3_2_Best_Practice_Guide-AAI_Cookbook-Second_Edition.pdf [EC07] C. Eckert, IT-Sicherheit Konzepte, Verfahren, Protokolle; Oldenburg, 2007 ISBN-10: 3486582704, ISBN-13: 978-3486582703 [EDUCAUSE] The EDUCAUSE/Internet2 eduperson task force, http://www.educause.edu/eduperson/ [JRA5WIKI] JRA5 Wiki zur Zusammenarbeit aller Geant2 JRA5 Teilnehmer http://www.rediris.es/jra5wiki/ [LOP04] J. Lopez, R. Oppliger, and G. Pernul, "Authentication and Authorization Infrastructures (AAIs): A Comparative Survey," Computers & Security, vol. [SAML20] 23, pp.578-590, Elsevier, October 2004. S. Cantor et al. Assertions and Protocols for the OASIS Security Assertion Markup Language (SAML) v2.0 OASIS Standard, März 2005 http://doc.oasis-open.org/security/saml/v2.0/saml-core-2.0-os.pdf [SCHAC] J Masa (Editor). SCHAC Attribute Definitions for Individual Data, Mai 2006 http://www.terena.nl/activities/tf-emc/docs/schac/schac-schema-iad-rel1.pdf

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback