Lokal, national, international: Single Sign-On mit Shibboleth. 9. Sun Summit Bibliotheken Franck Borel, UB Freiburg 13.11.

Ähnliche Dokumente
Authentifizierung und Autorisierung mit Shibboleth

Verbundzentrale des GBV (VZG) Till Kinstler / Digitale Bibliothek

Single-SignOn mit Shibboleth in einer föderativen Umgebung Das Projekt Authentifizierung, Autorisierung und Rechteverwaltung (AAR)

Zugriff auf lizenzierte Bibliotheksressourcen mittels Shibboleth

Aufbau einer AAI im DFN. Ulrich Kähler, DFN-Verein

mylogin: Single Sign-On an der Universität Freiburg 5. Shibboleth-Workshop der AAR in Kooperation mit der DFN-AAI

Aufbau einer AAI im DFN. Ulrich Kähler, DFN-Verein

Fallstudie Universität Freiburg: IdM, Personalrat, Datenschutz

Einführung in Shibboleth 5. Shibboleth-Workshop der AAR in Kooperation mit der DFN- AAI , Berlin Franck Borel - UB Freiburg

Infrastruktur zur verteilten Authentifizierung und Autorisierung mit Shibboleth im Rahmen der Deutsche Föderation DFN-AAI

Single Sign-On an der Universität Freiburg Das Projekt mylogin

Aufbau einer AAI im DFN

Einführung in Shibboleth 4. Shibboleth-Workshop der AAR in Kooperation mit der DFN-AAI , Berlin. Franck Borel - UB Freiburg

DFN-AAI. Ulrich Kähler, DFN-Verein

Das Projekt AAR. Integration von Informationsdiensten in einem föderativen System. Frühjahrssitzung des ZKI vd-ak Oldenburg, 8.

Raoul Borenius, DFN-AAI-Team

Ein technischer Überblick

Who are you? Where are you from?

Integration von Informationsdiensten in einer bundesweiten AA-Infrastruktur

DFN-AAI. Ulrich Kähler, DFN-Verein

Aktuelles zur DFN-AAI AAI-Forum, 53. DFN-Betriebstagung, Oktober 2010

DFN-AAI DEUTSCHE WISSENSCHAFTSFÖDERATION. Ulrich Kähler, DFN-Verein

Nachfolgend wird beispielhaft die Abfolge des Zugriffs auf Angebote von OVID, Elsevier und Springer via mylogin von zu Hause dargestellt

1. SaxIS-Shibboleth. Shibboleth-Workshop. Chemnitz, 15. Dezember Dipl. Wirt.-Inf. Lars Eberle, Projekt SaxIS und BPS GmbH

Einführung in Shibboleth , Stuttgart Franck Borel - UB Freiburg

Die Dienste der DFN-AAI. Ulrich Kähler, DFN-Verein

Infoveranstaltung Verbundzentrale des GBV (VZG) Till Kinstler und Gerald Steilen / Digitale Bibliothek

Der Einsatz von Shibboleth als Single-SignOn-System in wissenschaftlichen Bibliotheken

12. Shibboleth-Workshop

Berechtigungskontrolle für die Nutzung lizenzierter elektronischer Datenbanken, Zeitschriften, E-Books

Grundlagen. AAI, Web-SSO, Metadaten und Föderationen. Wolfgang Pempe, DFN-Verein

Internet Explorer Version 6

Liebe Medizinstudentin, lieber Medizinstudent,

Adobe Volume Licensing

Von der Testumgebung zum produktiven Einsatz von Shibboleth

s zu Hause lesen

BMW ConnectedDrive. connecteddrive. Freude am Fahren BMW CONNECTED DRIVE. NEUERUNGEN FÜR PERSONALISIERTE BMW CONNECTED DRIVE DIENSTE.

1. Einleitung Abfrage des COON-Benutzernamens Ändern des Initial-Passwortes Anmelden an der COON-Plattform...

Ihren Kundendienst effektiver machen

Das Leitbild vom Verein WIR

Anleitung OpenCms 8 Webformular Auswertung

Anleitung Redmine. Inhalt. Seite 1 von 11. Anleitung Redmine

Neuerungen bei Shibboleth 2

Bedienungsanleitung. Matthias Haasler. Version 0.4. für die Arbeit mit der Gemeinde-Homepage der Paulus-Kirchengemeinde Tempelhof

ANYWHERE Zugriff von externen Arbeitsplätzen

Hinweise zur Nutzung des E-Learning System 'Blackboard' (Teil 1): Die Anmeldung in Blackboard bzw. einem Kurs

Einrichtung des WS_FTP95 LE

Web-Single-Sign-On in der LUH

Verwalten Sie Ihre Homepage von überall zu jeder Zeit! Angebote und Informationen auf

robotron*e count robotron*e sales robotron*e collect Anmeldung Webkomponente Anwenderdokumentation Version: 2.0 Stand:

Sichere Anleitung Zertifikate / Schlüssel für Kunden der Sparkasse Germersheim-Kandel. Sichere . der

Intranet Moodle

Benutzerhandbuch - Elterliche Kontrolle

Installation OMNIKEY 3121 USB

Unternehmensname Straße PLZ/Ort Branche Mitarbeiterzahl in Deutschland Projektverantwortlicher Funktion/Bereich * Telefon

Raoul Borenius, DFN-AAI-Team

"Ich habe als Vereinsverantwortlicher eine erhalten - was mache ich, um Torwurf.de für meinen Verein einzusetzen?"

Tutorial. Wie kann ich meinen Kontostand von meinen Tauschpartnern in. übernehmen? Zoe.works - Ihre neue Ladungsträgerverwaltung

Abwesenheitsnotiz im Exchange Server 2010

Beschaffung mit. Auszug aus dem Schulungshandbuch: Erste Schritte im UniKat-System

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Kontaktlinsen über die neue Website bestellen eine Kurzanleitung

s zu Hause lesen

SIE KÖNNEN PROFITIEREN! VON MEINEM ALTER UND MEINER PRAXISERFAHRUNG. Sie suchen Fachkräfte? Chancen geben

Installationsanleitung FRITZ!BOX Fon 7270

Leichte-Sprache-Bilder

Impulse Inklusion 2014 Beteiligungskulturen - Netzwerke - Kooperationen (Leichte Sprache Version)

Meine ZyXEL Cloud. Tobias Hermanns V0.10

Einrichten eines Postfachs mit Outlook Express / Outlook bis Version 2000

Installationshinweise und Systemvoraussetzungen

Novell Client. Anleitung. zur Verfügung gestellt durch: ZID Dezentrale Systeme. Februar ZID Dezentrale Systeme

MOA-ID Hands-On Workshop

Anmelden und Vorträge einreichen auf der JBFOne-Website Inhalt

Simple SMS SMS Gateway

DFN-AAI in der Praxis. Ulrich Kähler, DFN-Verein

2. Einrichtung der ODBC-Schnittstelle aus orgamax (für 32-bit-Anwendungen)

Anleitung für IQES-Verantwortliche Persönliche Konten verwalten

Die Authentifizierungs- und Autorisierungsinfrastruktur (AAI) für die Schweizerischen Hochschulen Ueli Kienholz

Einrichten des Elektronischen Postfachs

Was ist das Budget für Arbeit?

Rethink. Website! your. AUSWIRKUNGEN DES EU-TABAKWERBEVERBOTS BTWE-Portal Tabak-Check in

Umstieg auf Microsoft Exchange in der Fakultät 02

Was meinen die Leute eigentlich mit: Grexit?

Anforderungen zur Nutzung von Secure

Externe Authentifizierung. Externe Authentifizierung IACBOX.COM. Version Deutsch

Anleitung zur Online-Schulung

Erste Schritte in der Lernumgebung

Schritt-für-Schritt-Anleitung So verschlüsseln Sie Ihr -Konto in der Software 6.0

Catherina Lange, Heimbeiräte und Werkstatträte-Tagung, November

Clientkonfiguration für Hosted Exchange 2010

my.ohm Content Services Autorenansicht Rechte

How-to: Mailrelay und Spam Filter. Securepoint Security System Version 2007nx

PDF-Dokumente. digital unterschreiben

Nicht über uns ohne uns

Online-Fanclub-Verwaltung

Kurzanweisung für Google Analytics

oder ein Account einer teilnehmenden Einrichtung also

I Installation einer Child-Library

Transkript:

Lokal, national, international: Single Sign-On mit Shibboleth 9. Sun Summit Bibliotheken 13.11.2007, Frankfurt

Übersicht Kurze Einführung in Shibboleth Lokal mylogin an der Universität Freiburg National ReDI spricht Shibboleth International Die deutsche Föderation DFN-AAI 2

Was ist Shibboleth? Shibboleth ist ein einrichtungsübergreifender SSO-Dienst für den Zugriff auf geschützte Web-Ressourcen Wird von Internet2 entwickelt http://shibboleth.internet2.edu Basiert auf SAML (Security Assertion Markup Language) Open-Source Lizenz 3

Warum Shibboleth? Nutzer Zugriff auf Dienste von überall her Alle Dienste sollen nach einmaliger Anmeldung zur Verfügung stehen (Single Sign-On). Einrichtungen (etwa Hochschulen) bestehendes Identity-Management nutzen Einfache Anbindung an das bestehende Identity- Management Anbieter Schützen der lizenzpflichtigen Inhalte Keine eigene Benutzerverwaltung Kontrolle über die Nutzung (wer darf was?) Statistische Auswertung (auch für Abrechnungen wichtig!) 4

Warum Shibboleth? Autorisierung und Zugriffskontrolle über Attribute Attribute mit der Möglichkeit zur anonymen/pseudonymen Nutzung von Angeboten basiert auf bewährter Software und Standards (SAML, XML, SOAP, TLS, XMLsig, XMLenc) Aufwand für Integration mit vorhandenem IdM und (webbasierten) Anwendungen in vielen Fällen vergleichsweise gering Weltweit hohe Akzeptanz, auch bei kommerziellen Anbietern (Elsevier, JSTOR, EBSCO, Ovid, GBI, CSA,...) 5

Woher kommt "Shibboleth"? Hintergrund ist eine Stelle aus dem Alten Testament, Buch Richter Kapitel 12 Vers 5ff 6

Woher kommt "Shibboleth"? Und die Gileaditer nahmen ein die Furt des Jordans vor Ephraim Wenn nun sprachen die Flüchtigen Ephraims: Lass mich hinübergehen, so sprachen die Männer von Gilead zu ihm: Bist du ein Ephraiter? Wenn er dann antwortete: Nein... 7

Woher kommt "Shibboleth"?...so hießen sie ihn sprechen: Schiboleth 8

Woher kommt "Shibboleth"?...so sprach er: Siboleth, und konnte es nicht recht reden. 9

Woher kommt "Shibboleth"? So griffen sie ihn und schlugen ihn an der Furt des Jordans... 10

Woher kommt "Shibboleth"? der Zeit von Ephraim fielen zweiundvierzigtausend. 11

Woher kommt "Shibboleth"? Das Wort Shibboleth ist somit wohl das erste biometrische Autorisierungsverfahren gewesen. 12

Wie funktioniert Shibboleth? Erstkontakt (1) Anbieter Benutzerin angemeldet? Benutzerin (5) Login (3) Lokalisierungsdienst (WAYF, IdP Discovery) (4) (6) (2) nein Benutzerin berechtigt? Heimateinrichtung (7) (8) ja nein (9) gestattet verweigert Zugriff 13

Wie funktioniert Shibboleth? Benutzerin Folgekontakt (gleicher Anbieter) (1) (2) Anbieter Benutzerin bekannt? Benutzerin berechtigt? (3) ja ja nein (4) gestattet verweigert Zugriff 14

Wie funktioniert Shibboleth? Folgekontakt neuer Anbieter (1) Anbieter Benutzerin angemeldet? Benutzerin Lokalisierungsdienst (WAYF, IdP Discovery) (3) (4) (2) nein Benutzerin berechtigt? Heimateinrichtung (5) (6) ja nein (7) gestattet verweigert Zugriff 15

Attribute Attribute sind Informationen über die Rollen eines Benutzers (was darf der Benutzer?). Zugriffskontrolle wird über Attribute gesteuert Hierfür sind Absprachen zwischen Einrichtungen und Anbietern notwendig, die durch Verwendung eines einheitlichen Attributschemas vereinfacht werden! Das Attributschema der deutschen Föderation DFN-AAI basiert auf internationalen Standards. Voraussetzung sind verlässliche Benutzerdaten, also ein funktionierendes lokales Identity- Management! 16

Lokal: mylogin an der Uni Freiburg E-Learning Verwaltungssysteme Bibliotheksdienste Personalisierte Dienste Seminararbeit E-Mail IdM 17

Lokal: mylogin an der Uni Freiburg E-Learning Verwaltungssysteme Bibliotheksdienste Personalisierte Dienste Mit Mit Shibboleth: ein einlogin für für alle alledienste. Seminararbeit E-Mail 18

Anwendungen die mylogin unterstützen ReDI (625 Datenbanken) Suchportal der Universitätsbibliothek (IPS) WISO = Wirtschafts- und Sozialwissenschaften (GENIOS) Interne Anwendungen (Stokat, Nagios, Systematik, DTV) BackupPC 19

Chance und Vision: Authentifizierung & Personalisierung Meine Bibliothek Meine Einstellungen Logout Meine Dienste: Katalog : Mein Katalog Mein OLAF-Konto: 5 1 Mein Fachportal 4,50 Eur derzeit keine derzeit keine E-Learning 20

National: ReDI spricht Shibboleth 625 Datenbanken aller Fachrichtungen im Angebot, darunter 340 Windows-Datenbanken und CrossFire Beilstein und Gmelin auf eigenen, gespiegelten Serversystemen in Freiburg und Stuttgart 182 Angebote auf externen Verlagsservern 68 teilnehmende Einrichtungen inklusive Gäste aus Bayern, Rheinland-Pfalz, Hessen und Saarland mehr als 3.000.000 Suchanfragen pro Jahr erhebliche Synergien bei Betrieb und Betreuung, Hardwareeinkauf und Datenbanklizenzierung 21

Umstellung auf Shibboleth Erster Schritt: Schnittstelle von Shibboleth zum bisherigen Verfahren (IBPlus-Protokoll) 68 Identity-Provider wurden implementiert und in eine ReDI-Föderation eingebunden Zweiter Schritt: Einrichtungen können den Betrieb des Identity-Providers selbst übernehmen Der Zugriff auf die Benutzerdatenbanken kann dann direkt, ohne das IBplus-Protokoll, erfolgen Dies ermöglicht dann auch die Nutzung von Service- Providern mit anderen Attribut-Anforderungen als ReDI ReDI ist dann nur noch ein Service-Provider 22

ReDI Baden-Württemberg: heute www.redi-bw.de Die Teilnehmer in Baden- Württemberg und Gäste aus: Rheinland-Pfalz, Saarland, Bayern und Hessen IdP IdP Alle IdP Crossfire-Nutzung aus Bayern seit 2001 23

ReDI Baden-Württemberg: morgen www.redi-bw.de Die Teilnehmer in Baden- Württemberg und Gäste aus: Rheinland-Pfalz, Saarland, Bayern und Hessen IdP IdP Wenige IdP IdP Crossfire-Nutzung aus Bayern seit 2001 24

International: Die Föderation DFN-AAI Wo liegt das Problem? Anbieter muss der Einrichtung vertrauen. Es geht um Geld. Vertrauen heißt im Geschäftsleben: Vertrag. Es müssen belastbare vertragliche Regelungen getroffen werden. Es müssen Regeln für den technischen Betrieb existieren. DFN-AAI ist ein Dienst des DFN-Vereins für Wissenschaftseinrichtungen und (auch für kommerzielle) Anbieter von (Informations)-Ressourcen. DFN-AAI schafft das für notwendige Vertrauensverhältnis und einen organisatorischen, technischen Rahmen für den Austausch von Nutzerinformationen zwischen vielen Anwendern und vielen Anbietern 25

Aufgaben der DFN-AAI Vorgabe von Richtlinien (Policy) Vertragsgestaltung und -abschluss Public Relations & internationale Vertretung zentrale betriebliche Aufgaben Metadatenverwaltung WAYF-Server (Discovery-Service) Testsystem Web-Portal Schulung, Beratung Die DFN-AAI steht allen Shibboleth-Anwendern (und darüber hinaus) zur Verfügung übernimmt nicht die Lizenzverträge. 26

DFN-AAI Januar 2006: Regelbetrieb DFN-PKI November 2006: Konzept DFN-AAI fertig März 2007: Pilotbetrieb April 2007: Teilnehmervertrag fertig September 2007: Anbietervertrag fertig Oktober 2007: Anbieter wie Ovid, ReDI haben den Anbietervertrag unterschrieben. Weitere folgen. Dezember 2007: Regelbetrieb 27

Fazit oder wem nützt was? Die Nutzer haben deutlich vereinfachte Verfahren beim Zugang zu lizenzierten Diensten Die Daten der Nutzer liegen nur noch an einer Stelle (bei der Heimateinrichtung ) Sichere Übertragungswege mit einem weltweit einheitlichen Verfahren Die vertrauenswürdige Infrastruktur der Föderation unterstützt auch die Bedürfnisse der Anbieter Einheitliche Anmeldung innerhalb einer Einrichtung Sauberere Lösung im Vergleich zu den bisher genutzten Verfahren, wie IP-Kontrolle und lokale Accounts Kein direkter Zugang zum IdM für alle Administratoren notwendig, daher besserer Schutz. 28

Vielen Dank für Ihre Aufmerksamkeit! AAR ist ein Projekt der UB Freiburg Gefördert vom BMBF (PT-NMB+F ) AAR kooperiert mit dem DFN-Verein http://aar.vascoda.de info@aar.vascoda.de borel@ub.uni-freiburg.de 29

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback