Abschluss-Workshop Projekt SaxIS Gemeinsame Autorisierungsschnittstelle für f Nutzer an sächsischen s Universitäten ten und Fachhochschulen Chemnitz, 15.Dezember 2006 1
9:30 Begrüßung - Hr. Dr. Kluge (TU Bergakademie Freiberg) 9:35 Das Projekt SaxIS - Hr. Dr. Kluge (TU Bergakademie Freiberg) 9:50 Shibboleth und AAI Eine Einführung (Hr. Eberle /TU Bergakademie Freiberg und BPS) 10:15 Kaffeepause 10:30 Die BPS-Lernplattform OPAL ein Beispiel für die sachsenweite Authentifizierung und Autorisierung mit Shibboleth - Hr. Richter (BPS GmbH) 10:55 Datenschutzrechtliche Anforderungen an teilnehmende Einrichtungen - Hr. Lederer (TU Bergakademie Freiberg) 11:20 Shibbolisierung einer Webanwendung - Hr. Schmidt (TU Chemnitz) 11:45 Mittagspause bis 13:00 Uhr, parallel dazu: Ab 12:15 (für Interessierte) Praktikum am Rechner: Wie funktioniertshibboleth? 13:00 DFN-AAI Föderation Deutschland - Hr. Kähler (DFN) 13:25 Das Projekt AAR Zugriff auf lizenzierte Bibliotheksressourcen mittels Shibboleth - Hr. Ruppert (UB Uni Freiburg) 13:50 Shibboleth im Bibliotheksportal Sachsen und in den Bibliotheken Sachsens - Hr. Dr. Kluge (SLUB Dresden) 14:15 Diskussion 14:30 Schlusswort - Hr. Dr. Kluge (TU Bergakademie Freiberg) / ca. Verabschiedung ins Wochenende 2
Das Projekt SaxIS Scharfer Start: 1.3.2005 Projektbearbeiter: Dr. Jochen Heinke (bis 31.3.2006) Herr Lars Eberle Herr Sven Lederer (seit 1.3.2006) Projektleitung: Herr Jens Schwendel (BPS GmbH) Dr. Andreas Kluge (TU Bergakademie Freiberg) Projektbeteiligte und -mitarbeiter: Leiter und Mitarbeiter von 13 Hochschulrechenzentren unter dem Dach des AKLRZ Sachsen Förderung mit ingesamt 150 T aus HWP-Mitteln des SMWK besonderer Dank an Herrn Linek, Frau Dschemuchadse sowie Frau Hühmer 3
Projekt SaxIS Beteiligte Universitäts- bzw. Hochschulrechenzentren: TU Chemnitz TU Dresden Universität Leipzig TU Bergakademie Freiberg HTWK Leipzig HTW Dresden Hochschule Mittweida Westsächsische Hochschule Zwickau Hochschule Zittau/Görlitz und IHI Zittau Hochschule für Musik Dresden Hochschule für Musik und Theater Leipzig Hochschule für Grafik und Buchkunst Leipzig Hochschule für Bildende Künste Dresden sowie das Rechenzentrum der SLUB Dresden 4
Ursprüngliche Zielstellung (SaxIS-1) Gemeinsame Autorisierungsschnittstelle für Nutzer an sächsischen Universitäten und Fachhochschulen Bestandsaufnahme der maßgeblichen (zentralen) Autorisierungs- und Nutzerverwaltungs- bzw. Identitätsmanagementsysteme an den beteiligten Hochschulen und Universitäten. Untersuchung der dem Bildungsportal Sachsen zugrunde liegenden Softwaresysteme auf geeignete Schnittstellen zum Andocken externer Autorisierungs- und Identitätsmanagementschnittstellen. Entwurf und Realisierung einer funktionsfähigen Authentifzierungsschnittstelle für hochschulübergreifende Services (wie Bildungsportal) sowie Dokumentation entsprechender Verfahren wie diese Schnittstelle auf Seiten der beteiligten Rechenzentren konkret bereitgestellt werden kann. Hierbei sollen Erkenntnisse aus den im DFN-Roaming verwendeten Verfahren genutzt werden, um gegebenenfalls Synergieeffekte nutzen zu können. Erarbeitung eines weitergehenden Ansatzes für eine übergreifende, bidirektionale Identitätsmanagementschnittstelle, die universell und applikationsübergreifend anwendbar ist. 5
Konkretisierte Zielstellung (SaxIS-2) Ziel des Projektes SaxIS-2 ist der Aufbau und die Verstetigung einer weitestgehend dezentral administrierten und einrichtungsübergreifend nutzbaren Authentifizierungs- und Autorisierungs-Infrastruktur auf Basis von Shibboleth unter Nutzung der in den Projekten SaxIS-1 und BPS bereits erreichten Ergebnisse. 1. Weiterer Kompetenzaufbau für die Shibboleth- Implementation und Unterstützung der Installation von Shibboleth-Servern an den beteiligten Einrichtungen. 2. Konzeption und initialer Aufbau einer sachsenweiten Shibboleth-Föderation. Entwicklung und Umsetzung von Policies und Standards als Voraussetzung für den reibungslosen Betrieb einer einrichtungsübergreifenden AAI im Rahmen der Shibboleth-Föderation. 6
Konkretisierte Zielstellung (SaxIS-2) 3. Unterstützung der Einrichtungen bei der Klärung anstehender datenschutzrechtlicher und sicherheitstechnischer Probleme als Voraussetzung für den Aufbau und die Nutzung einer einrichtungsübergreifenden AAI. 4. Anbindung der Einrichtungen über die aufgebaute AAI an das Bildungsportal Sachsen und das Digitale Bibliotheksportal Sachsen. 5. Beratung und Unterstützung der Einrichtungen bei der Umsetzung interner Identitätsmanagementkonzepte. 6. Sicherung des langfristigen stabilen Weiterbetriebs der aufgebauten SaxIS-Dienste. 7
Projekt SaxIS - Stand 14 beteiligte Hochschulen: z.zt. 12 Identity-Provider zusätzlich Testinstanz für die SLUB Einrichtung Stand UL TUD IdP läuft, Auth und Attribute fehlen noch TUC ok TUBA ok HSZG HTWM WSHZ HTWK HTWD IHI HfMDD HGB HfBK HMT ok IdP ok ok IdP läuft -> Testbetrieb IdP läuft -> Testbetrieb ok ok ok ok IdP läuft, muss noch angebunden werden momentan keine Reaktion, noch kein Shibboleth produktiver Betrieb mit Bildungsportal Shibboleth-Instanz: Identity-Provider 8
Projekt SaxIS - Stand Beschaffung, Installation und Konfiguration von Authentifizierungsund Autorisierungsservern in den beteiligten Einrichtung Stufe 1: Radius-Verbund für Authentifizierung Stufe 2: Shibboleth-Instanzen für AAI Bereitstelltung von ca. 38 T aus Projektmitteln Anbindung der Einrichtungen an die Föderation erfolgt erst mit Start der DFN-Föderation, eine Einrichtung einer sächsischen Föderation ist nicht sinnvoll, weil die rechtlichen Rahmenbedingungen fehlen Projekt bereitet auf DFN-Föderation vor Einrichtung von zentralen Shibboleth-Instanzen für noch nicht teilnehmende Einrichtungen für alle Einrichtungen, die keinen eigenen IdP betreiben, sind entsprechende Instanzen auf den SaxIS-Servern in Betrieb Unterstützung der einzelnen Hochschulen bei der Klärung interner, datenschutzrechtlicher Fragestellungen Siehe Vortrag Herr Lederer 9
Projekt SaxIS - Stand schrittweise Einbindung der dezentralen Shibboleth-Instanzen in die Lernplattform des Bildungsportal Sachsen 8 Einrichtungen sind aktuell produktiv angebunden Umstellung der noch Fehlenden jederzeit möglich, wenn ausfallsicherer Betrieb des jeweiligen IdPs hergestellt ist Aufbau einer Lösung für die Anbindung der Digitalen Bibliothek Sachsen an die Shibboleth-Föderation Anpassung von Sisis Elektra als SP ist prototypisch erfolgt Authentifizierung über Libero-Radius-Anbindung der TUD Attributierung über Skripte gegen Libero 10
Projekt SaxIS - Stand Sicherung des langfristigen Betriebes der SaxIS-Dienste Organisatorisch einzig sinnvolle, weil nachhaltige Lösung: Inanspruchnahme der DFN-Föderation alle Hochschulen sollten dieser beitreten Ansprechpartner bleibt bis dahin wie bisher Bildungsportal Sachsen Technisch Weiterbetrieb der IdPs in den beteiligten Einrichtungen, das Know-How haben sich die damit betrauten Mitarbeiter erarbeitet, gegenseitige Unterstützung jederzeit möglich und notwendig, spezielle Shibboleth-Kompetenz insbesondere am URZ der TU Chemnitz vorhanden Zentraler Radius-Proxy: Überführung in DFN Roaming Metadaten/WAYF-Server: Betrieb durch DFN-Föderation Übernahme des technischen Betriebs der verbleibenden zentralen SaxIS-Server durch die TU Chemnitz (zunächst ohne zeitliche Befristung) 11
Erwartung an die DFN-AAI Sicherung des langfristigen Weiterbetriebes von SaxIS durch Einbindung in die DFN-AAI-Föderation. DFN-AAI ist ein Dienst des DFN-Vereins für Wissenschaftseinrichtungen und (auch kommerziellen) Anbietern von (Informations)-Ressourcen. DFN-AAI schafft das für Shibboleth notwendige Vertrauensverhältnis zwischen Einrichtungen und Anbietern und einen organisatorischen, technischen Rahmen für den Austausch von Nutzerinformationen zwischen vielen Anwendern und vielen Anbietern. 12
Praktischer Beitrag SaxIS Erste deutschsprachige Entwürfe für eine landesweite Föderation durch SaxIS (http://wiki.aai.dfn.de/ Föderation Service Agreements) 13
Ausblick: Das Leben nach SaxIS Fokus der weiteren äußeren Entwicklung liegt auf DFN- Föderation Überführung des zentralen Radius-Servers in DFN Roaming Beitritt aller Hochschulen zur DFN-Föderation mindestens bis dahin Weiterbetrieb der verbleibenden zentralen Shibboleth-Instanzen durch die TU Chemnitz In den Einrichtungen: Stabiler Betrieb der Identity-Provider (Shibboleth-IdP-Instanzen) Weiterer Ausbau und Qualifizierung der internen Identity-Managementsysteme hinter den IdPs Überprüfung bzw. Umsetzung datenschutzrechtlicher Grundlagen Zusätzliche Hochschulinterne Nutzung der eigenen IdPs durch den Betrieb von Service Providern zum feingranularen Schutz einrichtungsinterner Webservices Kooperation und Aufbau einrichtungsübergreifender Webservices 14