Lokal, national, international: Single Sign-On mit Shibboleth 9. Sun Summit Bibliotheken 13.11.2007, Frankfurt
Übersicht Kurze Einführung in Shibboleth Lokal mylogin an der Universität Freiburg National ReDI spricht Shibboleth International Die deutsche Föderation DFN-AAI 2
Was ist Shibboleth? Shibboleth ist ein einrichtungsübergreifender SSO-Dienst für den Zugriff auf geschützte Web-Ressourcen Wird von Internet2 entwickelt http://shibboleth.internet2.edu Basiert auf SAML (Security Assertion Markup Language) Open-Source Lizenz 3
Warum Shibboleth? Nutzer Zugriff auf Dienste von überall her Alle Dienste sollen nach einmaliger Anmeldung zur Verfügung stehen (Single Sign-On). Einrichtungen (etwa Hochschulen) bestehendes Identity-Management nutzen Einfache Anbindung an das bestehende Identity- Management Anbieter Schützen der lizenzpflichtigen Inhalte Keine eigene Benutzerverwaltung Kontrolle über die Nutzung (wer darf was?) Statistische Auswertung (auch für Abrechnungen wichtig!) 4
Warum Shibboleth? Autorisierung und Zugriffskontrolle über Attribute Attribute mit der Möglichkeit zur anonymen/pseudonymen Nutzung von Angeboten basiert auf bewährter Software und Standards (SAML, XML, SOAP, TLS, XMLsig, XMLenc) Aufwand für Integration mit vorhandenem IdM und (webbasierten) Anwendungen in vielen Fällen vergleichsweise gering Weltweit hohe Akzeptanz, auch bei kommerziellen Anbietern (Elsevier, JSTOR, EBSCO, Ovid, GBI, CSA,...) 5
Woher kommt "Shibboleth"? Hintergrund ist eine Stelle aus dem Alten Testament, Buch Richter Kapitel 12 Vers 5ff 6
Woher kommt "Shibboleth"? Und die Gileaditer nahmen ein die Furt des Jordans vor Ephraim Wenn nun sprachen die Flüchtigen Ephraims: Lass mich hinübergehen, so sprachen die Männer von Gilead zu ihm: Bist du ein Ephraiter? Wenn er dann antwortete: Nein... 7
Woher kommt "Shibboleth"?...so hießen sie ihn sprechen: Schiboleth 8
Woher kommt "Shibboleth"?...so sprach er: Siboleth, und konnte es nicht recht reden. 9
Woher kommt "Shibboleth"? So griffen sie ihn und schlugen ihn an der Furt des Jordans... 10
Woher kommt "Shibboleth"? der Zeit von Ephraim fielen zweiundvierzigtausend. 11
Woher kommt "Shibboleth"? Das Wort Shibboleth ist somit wohl das erste biometrische Autorisierungsverfahren gewesen. 12
Wie funktioniert Shibboleth? Erstkontakt (1) Anbieter Benutzerin angemeldet? Benutzerin (5) Login (3) Lokalisierungsdienst (WAYF, IdP Discovery) (4) (6) (2) nein Benutzerin berechtigt? Heimateinrichtung (7) (8) ja nein (9) gestattet verweigert Zugriff 13
Wie funktioniert Shibboleth? Benutzerin Folgekontakt (gleicher Anbieter) (1) (2) Anbieter Benutzerin bekannt? Benutzerin berechtigt? (3) ja ja nein (4) gestattet verweigert Zugriff 14
Wie funktioniert Shibboleth? Folgekontakt neuer Anbieter (1) Anbieter Benutzerin angemeldet? Benutzerin Lokalisierungsdienst (WAYF, IdP Discovery) (3) (4) (2) nein Benutzerin berechtigt? Heimateinrichtung (5) (6) ja nein (7) gestattet verweigert Zugriff 15
Attribute Attribute sind Informationen über die Rollen eines Benutzers (was darf der Benutzer?). Zugriffskontrolle wird über Attribute gesteuert Hierfür sind Absprachen zwischen Einrichtungen und Anbietern notwendig, die durch Verwendung eines einheitlichen Attributschemas vereinfacht werden! Das Attributschema der deutschen Föderation DFN-AAI basiert auf internationalen Standards. Voraussetzung sind verlässliche Benutzerdaten, also ein funktionierendes lokales Identity- Management! 16
Lokal: mylogin an der Uni Freiburg E-Learning Verwaltungssysteme Bibliotheksdienste Personalisierte Dienste Seminararbeit E-Mail IdM 17
Lokal: mylogin an der Uni Freiburg E-Learning Verwaltungssysteme Bibliotheksdienste Personalisierte Dienste Mit Mit Shibboleth: ein einlogin für für alle alledienste. Seminararbeit E-Mail 18
Anwendungen die mylogin unterstützen ReDI (625 Datenbanken) Suchportal der Universitätsbibliothek (IPS) WISO = Wirtschafts- und Sozialwissenschaften (GENIOS) Interne Anwendungen (Stokat, Nagios, Systematik, DTV) BackupPC 19
Chance und Vision: Authentifizierung & Personalisierung Meine Bibliothek Meine Einstellungen Logout Meine Dienste: Katalog : Mein Katalog Mein OLAF-Konto: 5 1 Mein Fachportal 4,50 Eur derzeit keine derzeit keine E-Learning 20
National: ReDI spricht Shibboleth 625 Datenbanken aller Fachrichtungen im Angebot, darunter 340 Windows-Datenbanken und CrossFire Beilstein und Gmelin auf eigenen, gespiegelten Serversystemen in Freiburg und Stuttgart 182 Angebote auf externen Verlagsservern 68 teilnehmende Einrichtungen inklusive Gäste aus Bayern, Rheinland-Pfalz, Hessen und Saarland mehr als 3.000.000 Suchanfragen pro Jahr erhebliche Synergien bei Betrieb und Betreuung, Hardwareeinkauf und Datenbanklizenzierung 21
Umstellung auf Shibboleth Erster Schritt: Schnittstelle von Shibboleth zum bisherigen Verfahren (IBPlus-Protokoll) 68 Identity-Provider wurden implementiert und in eine ReDI-Föderation eingebunden Zweiter Schritt: Einrichtungen können den Betrieb des Identity-Providers selbst übernehmen Der Zugriff auf die Benutzerdatenbanken kann dann direkt, ohne das IBplus-Protokoll, erfolgen Dies ermöglicht dann auch die Nutzung von Service- Providern mit anderen Attribut-Anforderungen als ReDI ReDI ist dann nur noch ein Service-Provider 22
ReDI Baden-Württemberg: heute www.redi-bw.de Die Teilnehmer in Baden- Württemberg und Gäste aus: Rheinland-Pfalz, Saarland, Bayern und Hessen IdP IdP Alle IdP Crossfire-Nutzung aus Bayern seit 2001 23
ReDI Baden-Württemberg: morgen www.redi-bw.de Die Teilnehmer in Baden- Württemberg und Gäste aus: Rheinland-Pfalz, Saarland, Bayern und Hessen IdP IdP Wenige IdP IdP Crossfire-Nutzung aus Bayern seit 2001 24
International: Die Föderation DFN-AAI Wo liegt das Problem? Anbieter muss der Einrichtung vertrauen. Es geht um Geld. Vertrauen heißt im Geschäftsleben: Vertrag. Es müssen belastbare vertragliche Regelungen getroffen werden. Es müssen Regeln für den technischen Betrieb existieren. DFN-AAI ist ein Dienst des DFN-Vereins für Wissenschaftseinrichtungen und (auch für kommerzielle) Anbieter von (Informations)-Ressourcen. DFN-AAI schafft das für notwendige Vertrauensverhältnis und einen organisatorischen, technischen Rahmen für den Austausch von Nutzerinformationen zwischen vielen Anwendern und vielen Anbietern 25
Aufgaben der DFN-AAI Vorgabe von Richtlinien (Policy) Vertragsgestaltung und -abschluss Public Relations & internationale Vertretung zentrale betriebliche Aufgaben Metadatenverwaltung WAYF-Server (Discovery-Service) Testsystem Web-Portal Schulung, Beratung Die DFN-AAI steht allen Shibboleth-Anwendern (und darüber hinaus) zur Verfügung übernimmt nicht die Lizenzverträge. 26
DFN-AAI Januar 2006: Regelbetrieb DFN-PKI November 2006: Konzept DFN-AAI fertig März 2007: Pilotbetrieb April 2007: Teilnehmervertrag fertig September 2007: Anbietervertrag fertig Oktober 2007: Anbieter wie Ovid, ReDI haben den Anbietervertrag unterschrieben. Weitere folgen. Dezember 2007: Regelbetrieb 27
Fazit oder wem nützt was? Die Nutzer haben deutlich vereinfachte Verfahren beim Zugang zu lizenzierten Diensten Die Daten der Nutzer liegen nur noch an einer Stelle (bei der Heimateinrichtung ) Sichere Übertragungswege mit einem weltweit einheitlichen Verfahren Die vertrauenswürdige Infrastruktur der Föderation unterstützt auch die Bedürfnisse der Anbieter Einheitliche Anmeldung innerhalb einer Einrichtung Sauberere Lösung im Vergleich zu den bisher genutzten Verfahren, wie IP-Kontrolle und lokale Accounts Kein direkter Zugang zum IdM für alle Administratoren notwendig, daher besserer Schutz. 28
Vielen Dank für Ihre Aufmerksamkeit! AAR ist ein Projekt der UB Freiburg Gefördert vom BMBF (PT-NMB+F ) AAR kooperiert mit dem DFN-Verein http://aar.vascoda.de info@aar.vascoda.de borel@ub.uni-freiburg.de 29