12. Shibboleth-Workshop



Ähnliche Dokumente
Die Dienste der DFN-AAI. Ulrich Kähler, DFN-Verein

DFN-AAI in der Praxis. Ulrich Kähler, DFN-Verein

Aufbau einer AAI im DFN. Ulrich Kähler, DFN-Verein

Aktuelles zur DFN-AAI AAI-Forum, 53. DFN-Betriebstagung, Oktober 2010

Aufbau einer AAI im DFN

Shibboleth-AttributManagement. DFN-AAI Workshop Kaiserslautern

mylogin: Single Sign-On an der Universität Freiburg 5. Shibboleth-Workshop der AAR in Kooperation mit der DFN-AAI

Fallstudie Universität Freiburg: IdM, Personalrat, Datenschutz

DFN-AAI Sicherheitsanforderungen und neue Attribute

DFN-AAI Sicherheitsaspekte und rechtliche Fragen

1. SaxIS-Shibboleth. Shibboleth-Workshop. Chemnitz, 15. Dezember Dipl. Wirt.-Inf. Lars Eberle, Projekt SaxIS und BPS GmbH

Deutsches Forschungsnetz

Erklärung zum Zertifizierungsbetrieb der UNI-FFM CA in der DFN-PKI. - Sicherheitsniveau: Global -

Raoul Borenius, DFN-AAI-Team

Erklärung zum Zertifizierungsbetrieb der DHBW CA in der DFN-PKI. - Sicherheitsniveau: Global -

der Uni Konstanz Server CA in der

Erklärung zum Zertifizierungsbetrieb der MDR CA in der DFN-PKI. - Sicherheitsniveau: Global -

Grundlagen. AAI, Web-SSO, Metadaten und Föderationen. Wolfgang Pempe, DFN-Verein

BETTER.SECURITY AWARENESS FÜR INFORMATIONSSICHERHEIT

Deutsches Forschungsnetz

Von der Testumgebung zum produktiven Einsatz von Shibboleth

- Sicherheitsniveau: Global -

Umstieg auf Microsoft Exchange in der Fakultät 02

Das Stationsportal der DB Station&Service AG - Das Rollenkonzept. DB Station&Service AG Vertrieb Stationsportal Berlin, Juli 2015

LSF-Anleitung für Studierende

Quick Guide Mitglieder

Neues aus der AAI: SLO und Verlässlichkeitsklassen Single-Log-Out Zwischenbericht 09/2014

SharePoint Demonstration

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Was ist Sozial-Raum-Orientierung?

Verwaltung von Lehrveranstaltungen mit moodle

Erfahrungen mit Hartz IV- Empfängern

Anbindung des eibport an das Internet

Information zum Projekt. Mitwirkung von Menschen mit Demenz in ihrem Stadtteil oder Quartier

Anforderungen an die HIS

Zur Bestätigung wird je nach Anmeldung (Benutzer oder Administrator) eine Meldung angezeigt:

Deutsches Forschungsnetz

Das vorliegende Dokument beinhaltet vertrauliche Informationen und darf nicht an Dritte weitergereicht werden.

Internes Web-Portal der AK-Leiter

RMeasy das SAP IS U Add On für Versorgungsunternehmen. Optimieren Sie Ihre Prozesse in Kundengewinnung und Kundenbindung.

Agentur für Werbung & Internet. Schritt für Schritt: -Konfiguration mit Apple Mail

EINE PLATTFORM

Freigabemitteilung Nr. 39. Neue Funktionen adresse zurücksetzen / ändern Kennung ändern Anlegen von OCS (elektr. Postfach) Mailbenutzern

DFN-Cloud aus Sicht eines Service Providers... mit Verzeichnisdienstvergangenheit

Checkliste Webauftritt

Leichte Sprache Informationen zum Europäischen Sozialfonds (ESF) Was ist der Europäische Sozialfonds?

BMW ConnectedDrive. connecteddrive. Freude am Fahren BMW CONNECTED DRIVE. NEUERUNGEN FÜR PERSONALISIERTE BMW CONNECTED DRIVE DIENSTE.

Neuerungen bei Shibboleth 2

Mediumwechsel - VR-NetWorld Software

Neues vom DFN-MailSupport. Andrea Wardzichowski, DFN Stuttgart 63. DFN-Betriebstagung 27./ , Berlin

zum Zertifizierungsbetrieb der HTW-Dresden CA in der DFN-PKI Hochschule für Technik und Wirtschaft Dresden (FH) CP & CPS V1.1,

OutLook 2003 Konfiguration

EIDAMO Webshop-Lösung - White Paper

Die Lernumgebung des Projekts Informationskompetenz

Firewalls für Lexware Info Service konfigurieren

Dialyse Benchmark - Online so funktioniert s

[Customer Service by KCS.net] KEEPING CUSTOMERS SUCCESSFUL

SDD System Design Document

Anwendungsbeispiele Sign Live! Secure Mail Gateway

Der Schutz von Patientendaten


GOOGLE BUSINESS PHOTOS VEREINBARUNG ÜBER FOTOGRAFISCHE DIENSTLEISTUNGEN

D i e n s t e D r i t t e r a u f We b s i t e s

Regeln für das Qualitäts-Siegel

my.ohm Content Services Autorenansicht Rechte

Statuten in leichter Sprache

Die strafrechtliche Verantwortlichkeit der Provider in der Schweiz (im Zusammenhang mit illegalen Internet-Inhalten)

Informationen und Richtlinien zur Einrichtung eines Online Kontaktformulars auf Ihrer Händlerwebseite

TUMonline. 1. Inhalt Einloggen in TUMonline Persönliche TUMonline-Visitenkarte TUM-Mail-Adresse... 4

Das Persönliche Budget in verständlicher Sprache

Administrator Handbuch

Benutzerhandbuch - Elterliche Kontrolle

Handbuch ZfEditor Stand

Delta Audit - Fragenkatalog ISO 9001:2014 DIS

Web-Single-Sign-On in der LUH

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

Persönliches Adressbuch

Informationssystemanalyse Problemstellung 2 1. Trotz aller Methoden, Techniken usw. zeigen Untersuchungen sehr negative Ergebnisse:

Leit-Bild. Elbe-Werkstätten GmbH und. PIER Service & Consulting GmbH. Mit Menschen erfolgreich

Optimal vorbereitet. Fit fürs Studium mit den Vorbereitungskursen der OHN. Fragen? Jetzt anmelden!

Konzentration auf das. Wesentliche.

Einstiegshilfe für das Übersenden elektronischer Teilnahmebestätigungen an ÄrztInnen

ERSTE SCHRITTE.

MS Outlook Integration

Schriftwechsel mit Behörden Ratgeber zum Datenschutz 1

SCHULUNG MIT SYSTEM: E-LEARNING VON RAUM21

Lexware professional und premium setzen bis einschließlich Version 2012 den Sybase SQL-Datenbankserver

Zukunft der WfbM Positionspapier des Fachausschusses IV

Ökonomik der Agrar und Ernährungswirtschaft in ILIAS

OUTLOOK (EXPRESS) KONFIGURATION POP3

Transkript:

12. Shibboleth-Workshop 23. Mai 2012 Universität Kaiserslautern Raoul Borenius, DFN-Verein Wolfgang Pempe,DFN-Verein Bernd Oberknapp, Universität Freiburg Ulrich Kähler, DFN-Verein

Tagesordnung 12. Shibboleth-Workshop 23. Mai 2012, Universität Kaiserslautern 11:00 Uhr Begrüßung, Übersicht, Aktuelles, Ulrich Kähler, Verlässlichkeitsklassen DFN-Verein 11:30 Uhr Pflege und Aktualisierung Wolfgang Pempe, eines Shibboleth-Identity Providers DFN-Verein 13:00 Uhr Mittagspause 14:00 Uhr Anwendungen schützen Bernd Oberknapp, mit dem Shibboleth Service Provider Universität Freiburg 15:30 Uhr Shibboleth-Attribut-Management Raoul Borenius, DFN-Verein 16:30 Uhr Abschlussdiskussion alle 17:00 Uhr Ende

Shibboleth-Architektur

Was ist DFN-AAI? DFN-AAI ist ein regulärer Dienst des DFN-Vereins. (keine Extrakosten, enthalten in Internet-Dienstentgelten) DFN-AAI schafft den organisatorisch / technischen Rahmen für den Austausch von Nutzerinformationen, das notwendige Vertrauensverhältnis zwischen den Anwendern und den Anbietern Der DFN-Verein ist der zentrale Vertragspartner für alle Teilnehmer der AAI. Der DFN-Verein übernimmt zentrale betriebliche Aufgaben. In der DFN-AAI wird das Shibboleth-Verfahren verwendet.

Entwicklung AAI-Verträge

Anwendungen Bibliotheken und Verlage Verteilung lizenzierter Software GRIDs, internationale Projekte (CLARIN, etc.) E-Learning Interne Dienste innerhalb von Hochschulen - Schreibrechte für TYPO3 - personalisiertes Web-Portal für Studenten - Gigamove - DFN-VC, DFN-MailSupport

Mitwirkung Hochschulen (IdM) Geregelt im Teilnehmervertrag Der Teilnehmer betreibt ein System zur Nutzerverwaltung und stellt sicher, dass seinen Nutzern Attribute zugeordnet werden und Änderungen zeitnah in der Nutzerverwaltung gepflegt werden. Betrieb eines eigenen IdM (mind. LDAP) Teilnahme am Dienst DFN-PKI

Erfahrungen Hohe Ansprüche an IDM Einige Anbieter von Ressourcen haben hohe Ansprüche an die Verlässlichkeit der Identifizierung (Verlage, e-learning) Darum müssen alle Teilnehmer an DFN-AAI anspruchsvolle Anforderungen an das Identity-Management (IDM) erfüllen Effekt: Roll-out des Dienstes wird gebremst durch teilweise komplexe Aufgabe für die Teilnehmer, ihre Prozesse an ein hochwertig gepflegtes IdM anzupassen Erkenntnis aus dem Betrieb Es gibt inzwischen auch Anbieter, die mit schwächeren Ansprüchen an die IdMs zufrieden wären Die gegenwärtigen Regeln der DFN-AAI verwehrt aber Teilnehmern mit schwächer gepflegten IdMs die Teilnahme Wie lässt sich diese Situation ändern? Seite 8

Antwort Einführung von drei Klassen der Verlässlichkeit mit verschiedenen Anforderungen an die IdM der Teilnehmer Test: Keine Anforderungen an die IdMs Basic: Schwächere Anforderungen an die IdMs Advanced: Heutige Anforderungen an die IdMs Anbieter und Teilnehmer stufen sich im Sinne einer Konformitätserklärung selbst diesen Klassen zu Anbieter können in eigener Verantwortung ihre Ressourcen in einer oder mehreren Klassen zur Verfügung stellen Teilnehmer stufen sich in einer Klasse ein und können auf alle Ressourcen zugreifen, die von den Anbietern zugeordnet werden Erwünschtes Ergebnis: Nutzbarkeit des Dienstes stärken und damit auch Roll-out des Dienstes befördern Seite 9

Verlässlichkeitsklassen Klasse Identifizierung Authentifizierung Qualität des IdMs Test Verfahren freigestellt Verfahren freigestellt Verfahren freigestellt basic eindeutige Adresse (E-Mail, Telefonnummer, Postanschrift, etc.) eindeutige digitale Adresse Verpflichtung bzgl. Aktualität von 3 Monaten advanced pers. Vorsprechen gegenüber Vertrauensinstanz unter Vorlage amtlicher Dokumente pers. Account bzw. digitales Zertifikat (sichere Vergaberichtlinie) Verpflichtung bzgl. Aktualität von 2 Wochen

Interner IdP Anwender LDAP User-ID Password Attribute Wissenschaftsnetz Attribute Service Provider IdP Shibboleth Log in Seite 11

Ausgelagerter IdP Anwender DFN-Verein IdP Shibboleth Log in User-ID Password Attribute LDAP Attribute Service Provider Wissenschaftsnetz Seite 12

Ausgelagerter IdP Dienst des DFN-Vereins Jedem Anwender wird ein eigener IdP zugeordnet. DFN-Verein konfiguriert mit Anwender den IdP. DFN-Verein stellt mit Anwender die Anbindung an das IdM des Anwenders her. DFN-Verein stellt Hochverfügbarkeit her. DFN-Verein verwendet immer aktuelle SW-Versionen. Vertragliche Regelung bzgl. Verarbeitung personenbezogener Daten muss getroffen werden. Vorteil für Anwender: Er braucht kein Shibboleth-Know-How.

Attribute Unterstützung der Objektklassen inetorgperson (mit person und organizationalperson) eduperson Beispiele: surname Nachname mail Mailadresse edupersonprinciplename Name + Domain edupersonscopedaffiliation Rolle + Domain edupersonentitlement Berechtigung edupersontargetedid Pseudonym f. Anbieter Attribute müssen applikationsbezogen festgelegt werden! Erweiterung der Attributliste kann notwendig werden durch neue Anwendungen oder neue Anforderungen der Anbieter! z.b. E-Learning, GRIDs, Stärke der Authentifizierung, etc.

Attributauswahl für E-Learning Spezifikation von insgesamt 16 Attributen vorwiegend Attribute für Autorisierungszwecke einige Attribute zur Unterstützung der Anwendung alle Attribute sind optional benötigte Attribute nicht in Standardobjektklassen enthalten Ausnahme: Bevorzugte Sprache(preferred Language) Verwendung von Attributen definiert vom europäischen Harmonization Commitee (SCHAC) Geburtsdatum (schacdateofbirth) Geschlecht (schacgender) Matrikelnummer (schacpersonaluniquecode) Seite 15

Attribute zum Studiengang DFN-Attribute für Fächergruppe (z.b. Ingenieurwissenschaften) Studienbereich Studienfach Studienfachbezeichnung laut Hochschule Studienabschluss (z.b. Bachelor) Studienart (z.b. Zweitstudium) Fachsemester (z.b. 5) Kombinierte Studieninformatonen Fach und Abschluss Fach und Fachart (für Fachart z.b. HF für Hauptfach) Kombination aller Attribute außer Fachsemester Seite 16

Fragen...? Vielen Dank!??? aai@dfn.de

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback