Verteiltes Ressourcenmanagement mit der SaxID API

Ähnliche Dokumente
tubcloud und DFN-Cloud der TU Berlin Thomas Hildmann tubit IT Dienstleistungszentrum ZKI AKe Web & CM 03/2015

DFN-AAI und DFN-Cloud. Thomas Gebhardt, tubit TU Berlin Steffen Hofmann, ZEDAT der FU Berlin

Die Funktionsweise und Installation von Shibboleth 46. DFN-Betriebstagung Forum AAI, Franck Borel - UB Freiburg

Abschluss-Workshop Projekt SaxIS

DFN-AAI und DFN-Cloud: Service Provider. Thomas Gebhardt tubit DFN-Cloud Forum,

SaxID föderatives IDM in Sachsen

Einführung in Shibboleth. Raoul Borenius, DFN-AAI-Team

Einführung in Shibboleth. Raoul Borenius, DFN-AAI-Team

Single Sign On: Passwörter in Zeiten von NSA Cloud Sync

Grundlagen AAI, Web-SSO, Metadaten und Föderationen

PLENUM FOREN. 66. DFN-Betriebstagung Dienstag, 21. März ab 13:00 Uhr Mittagessen. 14:30 16:30 Uhr. ab 16:30 Uhr Kaffeepause.

Alternative Logins für Eduroam - Rollout als föderierter Dienst. Gerätemanager. Axel Taraschewski IT Center der RWTH Aachen

Identity Management an den hessischen Hochschulen

The next tubcloud and bejond Nextcloud-Migration und Ausblick an der TU Berlin

Shibboleth Identity Provider im Thüringer Codex-Projekt

Raoul Borenius, DFN-AAI-Team

Intra- und Inter-Föderation mit der DFN-AAI

1. SaxIS-Shibboleth. Shibboleth-Workshop. Chemnitz, 15. Dezember Dipl. Wirt.-Inf. Lars Eberle, Projekt SaxIS und BPS GmbH

Kollaborative Erbringung von Diensten und IDM as a Service.

Der Authentifizierungs- und Autorisierungsverbund SaxIS

System Center 2012 R2 und Microsoft Azure. Marc Grote

Einbindung von Lokalen Bibliothekssystemen in das Identity Management einer Hochschule

Zentrale IT-Dienste für dezentralen Organisationen

Shibboleth & OAuth2 für die Autorisierung von Apps

MoUSe2. Integriertes Identity- und Service-Management auf Basis von Open Source. Daniel Klaffenbach. 01. Oktober 2015

Dr. Thomas Lux XIONET empowering technologies AG Bochum, 20. Oktober 2005

Einführung in die LMSAPI des Webkonferenzdienstes

Web Single Sign-On (WebSSO)

E-Learning in Sachsen Hochschulübergreifende Kooperationen und zentrale Strukturen

Organisationsübergreifendes Single Sign On mit shibboleth. Tobias Marquart Universität Basel

App- und Gerätespezifische Passwörter

10 Jahre DFN-AAI. 67. DFN-Betriebstagung Berlin, 26. September Bernd Oberknapp Universitätsbibliothek Freiburg

1 Dataport 12.Juli 2007 Internationale Standards zu Identity Management. Deckblatt. Harald Krause

Raoul Borenius, DFN-AAI

Inhalt. Kurzanleitung zum Arbeiten mit TU-GitLab

für E-Learning in Bayern

Zwei-Faktor-Authentifizierung

Authentifizierung und Autorisierung in Kubernetes

SODA. Die Datenbank als Document Store. Rainer Willems. Master Principal Sales Consultant Oracle Deutschland B.V. & Co. KG

Technische Informationen

Authentifizierung, Autorisierung und Rechtverwaltung Aufbau einer verteilten Infrastruktur

Einführung in Shibboleth 2

Personalisierung mit Shibboleth

RELEASE NOTES. 1 Release Notes für Tine 2.0 Business Edition Technische Voraussetzungen 2.1 Browser

Datacenter-Workshop Mobile Access to NetApp FAS TU Chemnitz, Universitätsrechenzentrum. Datacenter-Workshop. Mobile Access to NetApp FAS.

Wegweiser durch die TU Berlin Verzeichnisse (Update)

Infoveranstaltung Verbundzentrale des GBV (VZG) Till Kinstler und Gerald Steilen / Digitale Bibliothek

Vom Verzeichnisdienst zu Bibliotheksdiensten

Technische Einbindung/Authentifizierung

Django - ein Python Web-Framework

Identity Management in den Hochschulrechenzentren eine Aufgabe zwischen Basisdienst und Projektgeschäft

swissdec-adapter Installationsanleitung für Patchrelease Versionsgeschichte Version Marco Stettler Patchversion 2.

IT-Symposium. 2E04 Synchronisation Active Directory und AD/AM. Heino Ruddat

RADIUS Loadbalacing. 66. DFN Betriebstagung. mit Freeradius 3. Chemnitz 21. März 2017 Ronald Schmidt

Zend PHP Cloud Application Platform

edugain Eine Meta-Infrastruktur verbindet heterogene AAI-Welten Torsten Kersting

System Center 2012 R2 und Microsoft Azure. Marc Grote

Stand der Entwicklung von Shibboleth 2

Geräte Zugang Eduroam. Guido Bunsen Andreas Schreiber

DFN-Cloud aus Sicht eines Service Providers... mit Verzeichnisdienstvergangenheit

DeskCenter. Dynamic Asset Intelligence. Wir maximieren die Wertschöpfung Ihrer IT Investitionen & Infrastruktur.

Aufsetzten einer Oracle DBaaS Umgebung (private Cloud) mit dem Enterprise Manager. Bodo von Neuhaus Oracle Deutschland B.V.

Thomas Claudius Huber Trivadis Services AG. Daten aus Office 365 in die eigene App integrieren

OpenCA & Shibboleth Universität Konstanz, Rechenzentrum Gruppe Kommunikationsinfrastruktur

tubcloud und DFN-Cloud/TU Berlin Zentraler Datenspeicher im Mobilzeitalter

Dienstleistungsportfolio von Hochschulen in der Ruhr-Region (DiepRuR)

Steffen Hofmann Freie Universität Berlin ZEDAT Identity and Customer Management (ICM) Aktueller Stand Shibboleth IdP3

ZKI Arbeitskreis Verzeichnisdienste. Frühjahr März 2016 an der Philipps-Universität Marburg

Neues zu den Verlässlichkeitsklassen in der DFN-AAI

Interaktive Berichte einbetten mit PowerBI Embedded. Lukas Lötters ORAYLIS GmbH

API-Gateway bringt Ordnung in Microservices-Wildwuchs. Frank Pientka, Dortmund

Customer Relationship Management by Klopotek Dr.-Ing. Michael Castner. Frankfurt/

Authentifizierungs- und Autorisierungsschnittstelle für (mobile) Geräte als Komponente des RWTH-IdMs

Dezentrales Identity Management für Web- und Desktop-Anwendungen

Virtuelle Organisationen und Geschäftsprozesse im Grid

Identity Management & Cloud-Dienste bei der GWDG. Konzepte und Realisierungsmöglichkeiten. Herbsttreffen ZKI AK Verzeichnisdienste Christof Pohl

Anwenderbericht. zur CampusSource Engine der Fachhochschule Münster

Effizienz durch Synergien im E-LearningE

Evolution der owncloud-installation an der TU Berlin. Dr.-Ing. Thomas Hildmann tubit IT Service Center DFN Forum Clouddienste März 2017

Wegweiser durch die TU Berlin Verzeichnisse (Update)

Entwicklung eines Electronic Resource Management Systems für Bibliotheken auf Basis von Linked Data Technologien

Userbasiertes Konzept

Videokonferenzen mit Lifesize UVC ClearSea

ThingLocator. Lokalisierung von Dingen des Alltags per Android-App. Burak Selcuk, Alexander Krenz. Hochschule RheinMain, Informatik Master

Seminarvortrag Shibboleth

SWITCHaai Die Authentifizierungs- und Autorisierungs- Infrastruktur der Schweizer Hochschulen

Digital Distribution Center. Ilija Panov, Bereichsleiter Digital Solutions Mai 2017

MIRACOLIX. Prof. Dr. Martin Sedlmayr MEDICAL INFORMATICS REUSABLE ECO-SYSTEM OF OPEN SOURCE LINKABLE AND INTEROPERABLE SOFTWARE TOOLS X

Best-Practice -Beispiele UB Freiburg

Thomas Matzner Berater für Systemanalyse Couchbase. Java User Group München

Anbindung an WebServices Robert Zacherl

Demo Kino: Der Herr der Wolken Die Gefährten

Codex-Kooperation Teilprojekt IdM 2.0

Die Herausforderung für die Zukunft des Servicemanagement. NetEye & EriZone Usergroup 2017, Martin Fischer & Christian Nawroth

Identitätsmanagement für Hybrid-Cloud-Umgebungen an Hochschulen

PROJEKTE ZUM ERFOLG FÜHREN

Transkript:

Verteiltes Ressourcenmanagement mit der SaxID API FRMS Daniel Schreiber TU Chemnitz, Universitätsrechenzentrum 21. März 2017 1 / 21

SaxID Projekt 1. SaxID Projekt 2. SaxID API 3. Umsetzung 2 / 21

SaxID Projekt Projekt SaxID Projektziele Projekt von 7 sächsischen Hochschulen, später 13 Evaluieren: Vereinheitlichung von Diensten Vereinheitlichung Identitymanagementsysteme einheitlicher einfacher Dienstzugang Dienste sachsenweit anbieten Abstraktionsschicht für Identitymanagement in Sachsen, Metaverzeichnis? Welche Dienste? Dienstetypisierung gefördert aus SMWK Initiativbudget 3 / 21

SaxID Projekt Festlegungen Dienste klassifiziert reine Webdienste Webdienste mit weiteren Schnittstellen Windowsdienste Unixdienste Metaverzeichnis verworfen einheitliches IdM verworfen bestehende Infrastruktur nutzen DFN AAI Eduroam 4 / 21

SaxID Projekt DFN AAI an der TU Chemnitz Strategie: alle neuen Dienste mit Shibboleth oder Kerberos Authentifizierung aktuell 147 Serviceprovider produktiv, davon 82 im URZ IDP: SimpleSAMLphp SP: Apache + mod_shib Shibboleth SP in Plattformmanagement integriert 5 / 21

1. SaxID Projekt 2. SaxID API 3. Umsetzung 6 / 21

Motivation Nutzer: Ich will es bequem und einfach. Mir ist egal, wer mir den Dienst erbringt. Ich will ein Portal, wo ich meine Ressourcen verwalten kann. Betreiber: Ich will erprobte Technologie Ich will nicht jeden Dienst anbieten müssen, der gerade in Mode gekommen ist Ich will Ordnung. Keine überflüssigen Accounts/Daten. Wann kann man Ressourcen wieder freigeben? Wie kann ich fremde Dienste in mein Service-Management-Portal integrieren? Wie integriert man Dienste so, dass sich Dienste, die von einer Partnereinrichtung erbracht werden, so anfühlen wie von der Heimathochschule? 7 / 21

Warum nicht nur DFN AAI nutzen? Authentifizierung: DFN AAI Fragestellungen bei Deprovisionierung: Ist Account noch gültig? (z.b. mit Attribute Query) Können Daten des Accounts gelöscht werden? Push: Konfiguration des Dienstes im Servicemanagement der Heimathochschule Reporting: Wieviele Ressourcen belegen sie dort? Welche Dienste von Fremdeinrichtungen nutzen meine Nutzer? 8 / 21

Lösungsansatz: SaxID API verteilte Datenbank Synchronisiert Wissen über Ressourcenzustand und Nutzer Datensparsamkeit als Designziel pro Instanz folgende Daten: Daten eigener Nutzer, die eigene und fremde Dienste nutzen Daten fremder Nutzer, die eigene Dienste nutzen Schnittstelle zwischen Serviceprovider und Heimateinrichtungen keine GUI für Endnutzer 9 / 21

API Betriebsmodell Einrichtung B Einrichtung A IDM B IDM A Synchronisation API B SP 1 B SP 1 A API A Synchronisation SP 2 A Synchronisation API C IDM C Einrichtung C 10 / 21

Einsatzszenario Einrichtung A (a.edu) Einrichtung B (b.edu) IdP A Nutzer A Shibboleth u@a.edu SP 1 B via REST FRMS A Synchronisation FRMS B Abbildung: Initialer Ablauf schematisch 11 / 21

Einsatzszenario Einrichtung A (a.edu) Einrichtung B (b.edu) IdP A Nutzer A Shibboleth u@a.edu SP 1 B via REST FRMS A Synchronisation FRMS B Abbildung: Ablauf im Betrieb 12 / 21

Datenmodell ServiceProvider UUID Name Realm Expiry Date Resource UUID SP eppn Expiry Date Deletion Date Attribute Name Default Value Value Resource Version Vector (SP, IdP) Version Vector Priority 13 / 21

Synchronisationsprotokoll Datenaustausch per REST/JSON Ressourcen/SPs per UUID identifiziert Attributaktualisierung auf beiden Seiten möglich Konflikterkennung über Versionsvektor pro Attribut Vorrangregel für Konfliktlösung wechselseitige Authentifizierung per Shared Token URI Schema /res POST Ressource registrieren /res/<uuid> GET/PUT/DELETE Ressourcendetails /services/<uuid> GET Serviceprovider /health GET Monitoring 14 / 21

Dedeployment Steuerung komplett über Heimateinrichtung IdM setzt Ablauf- und Sperrdatum SP muß nicht zwischen Nutzerstatus abgelaufen/gesperrt/... unterscheiden SP vergleicht Expiry Date Ressource blockieren SP vergleicht Deletion Date Ressource löschen 15 / 21

Anforderungen, Laufzeitumgebung Python 2.7 oder >= 3.4 MySQL oder PostgreSQL WSGI kompatibler Webserver z.b. Apache Linux, FreeBSD 16 / 21

Umsetzung 1. SaxID Projekt 2. SaxID API 3. Umsetzung 17 / 21

Umsetzung Beispiel SP: GitLab Event: Neuer Nutzer nutzt Gitlab System Hooks neuer Nutzer: Gitlab macht POST-Request an definierten URI eigenes Djangoprojekt übersetzt in SaxID API Regulärer Betrieb Synchronisation zwischen GitLab und SaxID API per Cronjob nutzt GitLab REST API 18 / 21

Umsetzung Beispiel SP: Nextcloud Shibboleth Integration über eigene Nextcloud App Sync Client über Gerätepasswörter oder eduroam Authentifizierung SaxID-Integration über eigene Nextcloud App Event: Neuer Nutzer Listener auf Nextcloud Hook registriert Nutzer in SaxID API Regulärer Betrieb Synchronisation zwischen Nextcloud und SaxID API per Cronjob Nutzung der Nextcloud Provisioning API Konfiguration der Quota über IdM/Service Management der Heimateinrichtung 19 / 21

Umsetzung Aktueller Stand Umsetzung TU Chemnitz TU Dresden IDM IDM GitLab API Synchronisation API HPC Nextcloud API IDM API IDM API IDM HS Mittweida HTWK Leipzig TU Freiberg 20 / 21

Umsetzung Projektergebnisse SaxID API an mehreren Hochschulen produktiv GitLab GitLab-Dienst wird gut angenommen, über 500 Nutzer, davon mehr als 100 anderer Einrichtungen durchweg positives Feedback Datenschutz ist bei Nutzern relevantes Thema Public Cloud Dienste werden genutzt, wenn es keine Alternativen gibt nächste Schritte weitere Dienste sollten integriert werden: Produktivbetrieb Nextcloud (TUC) Integration HPC (TU Dresden) Integration Sharepoint (HTWK Leipzig) Integration weiterer Hochschulen Verbesserung der Dokumentation Initialisieren von Partnerbeziehungen sollte einfacher werden 21 / 21

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback