Die Dienste der Föderation DFN-AAI. Ulrich Kähler, DFN-Verein

Ähnliche Dokumente
10. Shibboleth-Workshop 7. April 2010, Aby-Warburg-Stiftung / Warburg Haus

12. Shibboleth-Workshop

Die Dienste der DFN-AAI. Ulrich Kähler, DFN-Verein

DFN-AAI STUFEN DER VERLÄSSLICHKEIT. Ulrich Kähler, DFN-Verein

DFN-AAI DEUTSCHE WISSENSCHAFTSFÖDERATION. Ulrich Kähler, DFN-Verein

DFN-AAI. Ulrich Kähler, DFN-Verein

DFN-AAI in der Praxis. Ulrich Kähler, DFN-Verein

DFN-AAI. Ulrich Kähler, DFN-Verein

Aufbau einer AAI im DFN. Ulrich Kähler, DFN-Verein

Aufbau einer AAI im DFN

Aktuelles zur DFN-AAI AAI-Forum, 53. DFN-Betriebstagung, Oktober 2010

Raoul Borenius, DFN-AAI-Team

Einführung in Shibboleth. Raoul Borenius, DFN-AAI-Team

Einführung in Shibboleth. Raoul Borenius, DFN-AAI-Team

Deutsches Forschungsnetz

Aufbau einer AAI im DFN. Ulrich Kähler, DFN-Verein

DFN-AAI: Spezifikation von Attributen für den Bereich E-Learning

DFN-AAI Sicherheitsaspekte und rechtliche Fragen

Einführung in Shibboleth 2

Neues zu den Verlässlichkeitsklassen in der DFN-AAI

Grundlagen AAI, Web-SSO, Metadaten und Föderationen

Einbindung von Lokalen Bibliothekssystemen in das Identity Management einer Hochschule

Die Funktionsweise und Installation von Shibboleth 46. DFN-Betriebstagung Forum AAI, Franck Borel - UB Freiburg

10 Jahre DFN-AAI. 67. DFN-Betriebstagung Berlin, 26. September Bernd Oberknapp Universitätsbibliothek Freiburg

Integration von Informationsdiensten in einer bundesweiten AA-Infrastruktur

DFN-AAI und DFN-Cloud. Thomas Gebhardt, tubit TU Berlin Steffen Hofmann, ZEDAT der FU Berlin

DFN Deutsches Forschungsnetz

Raoul Borenius, DFN-AAI-Team

Authentifizierung, Autorisierung und Rechtverwaltung Aufbau einer verteilten Infrastruktur

Personalisierung mit Shibboleth

OpenCA & Shibboleth Universität Konstanz, Rechenzentrum Gruppe Kommunikationsinfrastruktur

Shibboleth Identity Provider im Thüringer Codex-Projekt

Shibboleth und der föderative Ansatz

Identity Management an den hessischen Hochschulen

Best-Practice -Beispiele UB Freiburg

Grundlagen. AAI, Web-SSO, Metadaten und Föderationen. Wolfgang Pempe, DFN-Verein

Einführung in Shibboleth 5. Shibboleth-Workshop der AAR in Kooperation mit der DFN- AAI , Berlin Franck Borel - UB Freiburg

edugain Eine Meta-Infrastruktur verbindet heterogene AAI-Welten Torsten Kersting

Infoveranstaltung Verbundzentrale des GBV (VZG) Till Kinstler und Gerald Steilen / Digitale Bibliothek

Shibboleth - Infrastruktur für das Grid -

Ein technischer Überblick

Das Projekt AAR. Integration von Informationsdiensten in einem föderativen System. Frühjahrssitzung des ZKI vd-ak Oldenburg, 8.

Raoul Borenius, DFN-AAI

Stand der Entwicklung von Shibboleth 2

Dienstleistungsportfolio von Hochschulen in der Ruhr-Region (DiepRuR)

Lokal, national, international: Single Sign-On mit Shibboleth. 9. Sun Summit Bibliotheken Franck Borel, UB Freiburg

Einführung in das Verfahren Shibboleth Schwerpunkt Iden:ty Provider

Authentifizierung und Autorisierung mit Shibboleth

1. SaxIS-Shibboleth. Shibboleth-Workshop. Chemnitz, 15. Dezember Dipl. Wirt.-Inf. Lars Eberle, Projekt SaxIS und BPS GmbH

Einführung in Shibboleth , Stuttgart Franck Borel - UB Freiburg

Zugriff auf lizenzierte Bibliotheksressourcen mittels Shibboleth

Shibboleth-Erfahrungsbericht UB Heidelberg

Einführung in Shibboleth 4. Shibboleth-Workshop der AAR in Kooperation mit der DFN-AAI , Berlin. Franck Borel - UB Freiburg

Seminarvortrag Shibboleth

Web Single Sign-On (WebSSO)

Single-SignOn mit Shibboleth in einer föderativen Umgebung Das Projekt Authentifizierung, Autorisierung und Rechteverwaltung (AAR)

Iden%ty & Access Management: Das Rückgrat der Hochschul- IuK- Infrastruktur

Grundlagen AAI, Web-SSO, Metadaten und Föderationen

Alternative Logins für Eduroam - Rollout als föderierter Dienst. Gerätemanager. Axel Taraschewski IT Center der RWTH Aachen

DATENERHEBUNG, DATENVERARBEITUNG UND DATENSPEICHERUNG VIRTUELLEN HOCHSCHULE BAYERN AN DER

Identity Management in den Hochschulrechenzentren eine Aufgabe zwischen Basisdienst und Projektgeschäft

Web-Single-Sign-On in der LUH

Workshop c3m-ii. Identitätsmanagement. Dr. Gunnar Dietz. Projekt MIRO, Universität Münster

DFN-AAI Sicherheitsanforderungen und neue Attribute

Integration der Universitätsbibliothek an der Freien Universität Berlin in die IDMS-Infrastruktur

Single Sign-On an der Universität Freiburg Das Projekt mylogin

Der Einsatz von Shibboleth als Single-SignOn-System in wissenschaftlichen Bibliotheken

Anwendungsintegration an Hochschulen am Beispiel Identity Management. Münster, 7. Sept. 2006

Authentifizierung und Autorisierung in einem Portal-basierten Grid (C3-Grid)

Einführung in das Verfahren Shibboleth Schwerpunkt Iden:ty Provider

Intra- und Inter-Föderation mit der DFN-AAI

Fallstudie Universität Freiburg: IdM, Personalrat, Datenschutz

Shibboleth-AttributManagement. DFN-AAI Workshop Kaiserslautern

Das Projekt NDS-AAI. ZKI-AK Verzeichnisdienste, Hamburg, Peter Gietz, CEO, DAASI International GmbH

Identitätsmanagement: Die Universität als dienstorientiertes Bündnis

Föderiertes Identity Management

Erklärung zum Zertifizierungsbetrieb der HAW-Landshut-Basic-CA in der DFN-PKI. - Sicherheitsniveau: Basic -

Identitätsverwaltung und Nachweis mit der KommDB an der Universität Tübingen. Dietmar Kaletta Zentrum für Datenverarbeitung Universität Tübingen

Identity Management im Münchner Wissenschafts-Netz: Aktueller Stand der Projekte IntegraTUM und LRZ-SIM

Identity & Access Management in Extranet Portal Projekten

Infrastruktur zur verteilten Authentifizierung und Autorisierung mit Shibboleth im Rahmen der Deutsche Föderation DFN-AAI

Raoul Borenius, DFN-AAI-Team

Blockchain-basiertes Föderiertes Identity Management am Beispiel von Ethereum Smart Contracts

Von der Testumgebung zum produktiven Einsatz von Shibboleth

Erklärung zum Zertifizierungsbetrieb der FHDO-Chipcard CA in der DFN-PKI. - Sicherheitsniveau: Global -

Fraunhofer FOKUS. Institut für Offene Kommunikationssysteme

Externer Zugang ZHB e-menu und Swisslex mit EZproxy

DATENERHEBUNG, DATENVERARBEITUNG UND DATENSPEICHERUNG VIRTUELLEN HOCHSCHULE BAYERN AN DER

Zentrale IT-Dienste für dezentralen Organisationen

Dezentrales Identity Management für Web- und Desktop-Anwendungen

Die Authentifizierungs- und Autorisierungsinfrastruktur (AAI) für die Schweizerischen Hochschulen Ueli Kienholz

IDM-Projekt Universität Konstanz

mylogin: Single Sign-On an der Universität Freiburg 5. Shibboleth-Workshop der AAR in Kooperation mit der DFN-AAI

Linkresolving: Mit drei Klicks vom Nachweis zum Volltext

OZG, e-akte und Co. Rechtliche Anforderungen bei der Digitalisierung der Öffentlichen Verwaltung in Bund, Ländern und Kommunen

Transkript:

Die Dienste der Föderation DFN-AAI Ulrich Kähler, DFN-Verein kaehler@dfn.de

1. Was ist die DFN-AAI? 2. Leistungen des DFN-Vereins 3. Mitwirkung der Teilnehmer 4. Klassen der Verlässlichkeit in der DFN-AAI 5. Auslagerung des Shibboleth-IdPs in der DFN-AAI 6. Attribute in der DFN-AAI 7. Sicherheit in der DFN-AAI 8. Rechtliche Aspekte der DFN-AAI

1. Was ist die DFN-AAI?

Was ist DFN-AAI? AAI Authentifizierung Autorisierung Infrastruktur Seite 4

Was ist DFN-AAI? DFN-AAI ist ein regulärer Dienst des DFN-Vereins. (keine Extrakosten, enthalten in Internet-Dienstentgelten) DFN-AAI schafft den organisatorisch / technischen Rahmen für den Austausch von Nutzerinformationen, das notwendige Vertrauensverhältnis zwischen den Anwendern und den Anbietern Der DFN-Verein ist der zentrale Vertragspartner für alle Teilnehmer der AAI. Der DFN-Verein übernimmt zentrale betriebliche Aufgaben. In der DFN-AAI wird das Shibboleth-Verfahren verwendet.

Anwendungen Bibliotheken und Verlage Verteilung lizenzierter Software GRIDs, internationale Projekte (CLARIN, etc.) E-Learning Interne Dienste innerhalb von Hochschulen - Schreibrechte für TYPO3 - personalisiertes Web-Portal für Studenten

Anwendung Bibliotheken Bibliotheken und Verlage waren die treibende Kraft für den Aufbau der deutschen Föderation! Status: z.zt. ca. 60 Verträge unterschrieben: Fachportal Bildung/FIS Bildung (DIPF), EBSCO, CSA Illumina (ProQuest), OvidSP, ERL/WebSIRS (Ovid), Munzinger, JSTOR, ScienceDirect (Elsevier), Gale/Cengage Learning, Metapress mit 174 Verlagen, Web of Science (Thomson), Uni Freiburg (REDI), HBZ (Vascoda), Uni Göttingen (Nationallizenzen),...

2. Leistungen des DFN-Vereins

Leistung des DFN-Vereins Betrieb der technischen Infrastruktur DFN-AAI Vertragspartner für Teilnehmer (insbesondere Hochschulen) und externe Anbieter (z.b. Verlage) Anpassung an neue Anwendungen Verlage, Bibliotheken, e-learning, Grids uvm. Organisieren der internationalen Einbettung Beratung und Schulung Fortgeschrittene Zertifikate über Dienst DFN-PKI Aber: DFN übernimmt NICHT den Abschluss von Lizenzverträgen (z.b. mit Verlagen)

Zentrale betriebliche Aufgaben Administration von Metadaten Betrieb des WAYF-Servers/Discovery-Service Betrieb des Test-Systems Betrieb des Web-Portals Beratung, Weiterbildung: - Nutzer-Hotline - Shibboleth-Workshops - etc.

Dezentraler Vertragsabschluss Jeder Anbieter schließt mit jedem Anwender einen Vertrag ab. A1 S1 Föderation A2 A3 S3 S2

Zentraler Vertragsabschluss Der DFN-Verein als zentraler Vertragspartner für alle Teilnehmer der AAI. Föderation A1 S1 S2 DFN S... An Sn A2 A... Seite 12

Vertragsgestaltung / -abschluss

3. Mitwirkung der Teilnehmer

Mitwirkung Hochschulen (IdM) Geregelt im Teilnehmervertrag Der Teilnehmer betreibt ein System zur Nutzerverwaltung und stellt sicher, dass seinen Nutzern Attribute zugeordnet werden und Änderungen zeitnah in der Nutzerverwaltung gepflegt werden. Betrieb eines eigenen IdM (mind. LDAP) Teilnahme am Dienst DFN-PKI

Identity Management <----------------------------- Datenquellen --------------------------> Mitarbeiter Datenbank Telefon Datenbank E-Mailnutzer Verzeichnis weitere Datenbanken der Abteil. /FBs Zentraler Informationsspeicher Metadirectory oder RDMS automatisierte Prozesse zum Datenabgleich (Konnektoren) Authentifizierung/ Autorisierungsdaten Öffentlicher Verzeichnisdienst Vorlesungsverzeichnis <--------------------------- Zielsysteme ------------------------>

IdM Wünsche Bei den IdMs ist noch viel Spielraum nach oben! Status: Sehr unterschiedliche Qualität des Identity Managements an den einzelnen Hochschulen! Mängel: langsame Änderungsprozeduren, falsche Einträge, fehlende Prozesse/Konzepte, mangelnde Unterstützung durch Hochschulleitung, etc....

4. Klassen der Verlässlichkeit in der DFN-AAI

Gegenwärtige Lage DFN-AAI Hohe Ansprüche an IDM Einige Anbieter von Ressourcen haben hohe Ansprüche an die Verlässlichkeit der Identifizierung (Verlage, e-learning) Darum müssen alle Teilnehmer an DFN-AAI anspruchsvolle Anforderungen an das Identity-Management (IDM) erfüllen Effekt: Roll-out des Dienstes wird gebremst durch teilweise komplexe Aufgabe für die Teilnehmer, ihre Prozesse an ein hochwertig gepflegtes IdM anzupassen Erkenntnis aus dem jetzt ca. 2-jährigen Betrieb Es gibt inzwischen auch Anbieter, die mit schwächeren Ansprüchen an die IdMs zufrieden wären Die gegenwärtigen Regeln der DFN-AAI verwehrt aber Teilnehmern mit schwächer gepflegten IdMs die Teilnahme Wie lässt sich diese Situation ändern? Seite 19

Antwort Einführung von drei Klassen der Verlässlichkeit mit verschiedenen Anforderungen an die IdM der Teilnehmer Test: Keine Anforderungen an die IdMs Basic: Schwächere Anforderungen an die IdMs Advanced: Heutige Anforderungen an die IdMs Anbieter und Teilnehmer stufen sich im Sinne einer Konformitätserklärung selbst diesen Klassen zu Anbieter können in eigener Verantwortung ihre Ressourcen in einer oder mehreren Klassen zur Verfügung stellen Teilnehmer stufen sich in einer Klasse ein und können auf alle Ressourcen zugreifen, die von den Anbietern zugeordnet werden Erwünschtes Ergebnis: Nutzbarkeit des Dienstes stärken und damit auch Roll-out des Dienstes befördern Seite 20

Verlässlichkeitsklassen Klasse Identifizierung Authentifizierung Test Verfahren freigestellt Verfahren freigestellt Qualität des IdMs Verfahren freigestellt basic eindeutige Adresse (E-Mail, Telefonnummer, Postanschrift, etc.) eindeutige digitale Adresse Verpflichtung bzgl. Aktualität von 3 Monaten advanced pers. Vorsprechen gegenüber Vertrauensinstanz unter Vorlage amtlicher Dokumente pers. Account bzw. digitales Zertifikat (sichere Vergaberichtlinie) Verpflichtung bzgl. Aktualität von 2 Wochen

Realisierung Wunschlösung: Einführung eines Attributes Verlässlichkeit ist im internationalen Kontext möglich, aber nicht kurzfristig (2-3 Jahre) möglich. Plan B: DFN-Föderation mit der Verlässlichkeitsstufen - basic und - advanced - (undefined entspricht der Testföderation) Ist umgesetzt in neuer Version der Metadatenverwaltung.

5. Auslagerung des Shibboleth-IdPs in der DFN-AAI

Teilnehmer Unterschriebene Verträge: ca. 120 davon Service Provider: ca. 60 und Identity Provider: ca. 60 Im Test: ca. 200 Einrichtungen Verdoppelung gegenüber Vorjahr Baden-Württemberg (Uni Freiburg) hat fast komplett auf DFN-AAI umgestellt. Fast! Was fehlt?

Wie funktioniert Shibboleth? Erster Zugriff (1) Anbieter Shibboleth-Sitzung vorhanden? Benutzerin (3) Discovery-Service (2) (4) nein (6) Login (5) Authentifizierungsanfrage (8) Ja Heimateinrichtung AuthN & Attribute (7) Nein Zugriff

Interner IdP Anwender LDAP User-ID Password Attribute Wissenschaftsnetz Attribute Service Provider IdP Shibboleth Log in Seite 26

Ausgelagerter IdP Anwender DFN-Verein IdP Shibboleth Log in User-ID Password Attribute LDAP Attribute Service Provider Wissenschaftsnetz Seite 27

Identity-Provider Architektur Einrichtung (Identity-Provider) Apache mod_jk Tomcat Shibboleth- Komponenten Trennung SSO (HS) Autorisierung Horizon LDAP AA Benutzerdaten (lokales IdM) SQL... ARP Richtlinien für die Freigabe von Attributen

Ausgelagerter IdP Dienst des DFN-Vereins ab Herbst 2010 geplant Jedem Anwender wird ein eigener IdP zugeordnet. DFN-Verein konfiguriert mit Anwender den IdP. DFN-Verein stellt mit Anwender die Anbindung an das IdM des Anwenders her. DFN-Verein stellt Hochverfügbarkeit her. DFN-Verein verwendet immer aktuelle SW-Versionen. Vertragliche Regelung bzgl. Verarbeitung personenbezogener Daten muss getroffen werden. Vorteil für Anwender: Er braucht kein Shibboleth-Know-How.

6. Attribute in der DFN-AAI

Attribute Unterstützung der Objektklassen inetorgperson (mit person und organizationalperson) eduperson Beispiele: surname Nachname mail Mailadresse edupersonprinciplename Name + Domain edupersonscopedaffiliation Rolle + Domain edupersonentitlement Berechtigung edupersontargetedid Pseudonym f. Anbieter Attribute müssen applikationsbezogen festgelegt werden! Erweiterung der Attributliste kann notwendig werden durch neue Anwendungen oder neue Anforderungen der Anbieter! z.b. E-Learning, GRIDs, Stärke der Authentifizierung, etc.

Attributauswahl für E-Learning (I) Spezifikation von insgesamt 16 Attributen vorwiegend Attribute für Autorisierungszwecke einige Attribute zur Unterstützung der Anwendung alle Attribute sind optional benötigte Attribute nicht in Standardobjektklassen enthalten Ausnahme: Bevorzugte Sprache(preferred Language) Verwendung von Attributen definiert vom europäischen Harmonization Commitee (SCHAC) Geburtsdatum (schacdateofbirth) Geschlecht (schacgender) Matrikelnummer (schacpersonaluniquecode) Seite 32

Attributauswahl für E-Learning (II) Für alle folgenden Informationen mussten DFN-Attribute definiert werden Dies sind Kostenstelle (dfnedupersoncostcenter) Titel (personaltitle) alle Attribute zum Studiengang Seite 33

Attribute zum Studiengang DFN-Attribute für Fächergruppe (z.b. Ingenieurwissenschaften) Studienbereich Studienfach Studienfachbezeichnung laut Hochschule Studienabschluss (z.b. Bachelor) Studienart (z.b. Zweitstudium) Fachsemester (z.b. 5) Kombinierte Studieninformatonen Fach und Abschluss Fach und Fachart (für Fachart z.b. HF für Hauptfach) Kombination aller Attribute außer Fachsemester Seite 34

7. Sicherheit in der DFN-AAI

Sicherheit Die Sicherheit in der DFN-AAI ist eine entscheidende Voraussetzung für deren Nutzung Sicherheit umfasst mehrere Komponenten Vertraulichkeit Integrität Authentizität Verfügbarkeit DFN-PKI hat sich als wichtige Basis etabliert Seite 36

utzung von Zertifikaten In der DFN-AAI kommen Zertifikate in drei Bereichen zum Einsatz: zur Signierung der Metadaten für die Kommunikation der beteiligten Server/Clients ggfs. zur Authentifizierung von Nutzern DFN-PKI ist vorhanden!

8. Rechtliche Aspekte der DFN-AAI

Recht: verschiedene Blickwinkel Rechtliche Sicht aus verschiedenen Blickwinkeln Datenschutz Personalrat Haftung Telemediengesetz Signaturgesetz Datensicherheit Seite 39

Recht: Datenschutz Authentifizierung durch die Hochschule Vorteil: Anonymität gegenüber Anbieter Voraussetzung: Vorhandenes IdM Datenschutzrechtliche Fragen bei Errichtung Landesrechtliche Besonderheiten Problem: Grundsatz der Zweckbindung Authentifizierung ist ggf. zweckändernde Nutzung Erfordert gesetzliche Erlaubnis oder Einwilligung Seite 40

Recht: Einwilligung Lösung: Elektronische Einwilligung auf der Startseite: Beispiel: Mit der Verwendung der zu meiner elektronischen Hochschulidentität gespeicherten Daten zur Prüfung der Berechtigung zur Nutzung von mir ausgewählter Dienste bin ich einverstanden. User ID Passwort Seite 41

Recht: Personalrat Mitarbeiter als Nutzer Authentifizierung in der Einrichtung ermöglicht festzustellen, welcher Nutzer auf welchen Anbieter zugegriffen hat (nicht Inhalte) Technische Leistungs- und Verhaltenskontrolle z.b. 72 Abs. 3 Nr. 2 LPersVG NRW Objektive Eignung hierzu ausreichend Personalrat sollte beteiligt werden! Seite 42

Fragen...? Vielen Dank!??? aai@dfn.de

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback