Aufbau einer AAI im DFN Ulrich Kähler, DFN-Verein kaehler@dfn.de
Anwendungsbeispiele Bibliothekswesen und Verlage Elsevier, JSTOR, CSA, EBSCO, ThomsonGale, Proquest, GENIOS/GBI sind bereit, bei OVID, ISI/Thomson, Springer, FIZ Technik, IZ- Sozialwissenschaften und DIPF in Arbeit, ReDI, vascoda, DFG-Nationallizenzen im Rahmen des AAR- Projektes Software-Verteilung Erweiterung von MSDNAA (Microsoft Developer Network Academic Alliance) auf alle Hochschulen über DFN-AAI E-Learning SaxIS: alle Hochschulen in Sachsen verfügen über IdM D-GRID DFN-AAI ist zentrale Komponente für C3-Community, VOMS vs. Shibboleth Seite 2
Wo ist das Problem? Anbieter muss dem Anwender vertrauen. Es geht um Geld. Vertrauen heißt im Geschäftsleben: Vertrag. Es müssen belastbare vertragliche Regelungen getroffen werden. Seite 3
Was ist DFN-AAI? DFN-AAI ist ein Dienst des DFN-Vereins für Wissenschaftseinrichtungen und (auch kommerziellen) Anbietern von (Informations)-Ressourcen. DFN-AAI schafft das für notwendige Vertrauensverhältnis und einen organisatorischen, technischen Rahmen für den Austausch von Nutzerinformationen zwischen vielen Anwendern und vielen Anbietern. Seite 4
Aufgaben des DFN-Vereins - Vorgabe von Richtlinien (Policy) - Vertragsgestaltung und -abschluss - zentrale betriebliche Aufgaben - Public Relations - internationale Vertretung
DFN-AAI Der DFN-Verein ist zentraler Vertragspartner für alle Teilnehmer der AAI. S1 S2 DFN A1 S... An Sn A2 A... übernimmt nicht die Lizenzverträge. Seite 6
Vertragsgestaltung / -abschluss
Zentrale betriebliche Aufgaben Metadatenverwaltung (im Aufbau) Testsystem (läuft) WAYF-Server (im Aufbau) Zertifizierungsstelle (DFN-PKI) (läuft) Beratung, Schulung (ab 2007)
Wie funktioniert AAI? Nutzerin (3) (1) Lokalisierungsdienst (2) Nutzerin bekannt? nein (5) (6) (4) Nutzerin berechtigt? ja (7) ja (9) gestattet Zugriff (8) nein verweigert Heimateinrichtung Anwender Anbieter Seite 9
Identity Management <----------------------------- Datenquellen --------------------------> Mitarbeiter Datenbank Telefon Datenbank E-Mailnutzer Verzeichnis weitere Datenbanken der Abteil. /FBs Zentraler Informationsspeicher Metadirectory oder RDMS automatisierte Prozesse zum Datenabgleich (Konnektoren) Authentifizierung/ Autorisierungsdaten Öffentlicher Verzeichnisdienst Vorlesungsverzeichnis <--------------------------- Zielsysteme ------------------------> Seite 10
Anforderungen an IdM - Qualitätsanforderungen - Verlässlichkeit Sicherheitsstufen, Missbrauchverhinderung - Aktualität zeitnahe Änderung - Nachvollziehbarkeit Dokumentation, Logging - Ausfallsicherheit Back-up-Systeme - Einklang mit rechtlichen Vorgaben - Datenschutzgesetz
Attribute Unterstützung der Objektklassen inetorgperson (mit person und organizationalperson) eduperson Obligatorische und empfohlene Attribute obligatorisch sind: surname Nachname mail Mailadresse edupersonprinciplename Name + Domain edupersonscopedaffiliation Rolle + Domain edupersonentitlement Berechtigung edupersontargetedid Pseudonym f. Anbieter Erweiterung der Attributliste kann notwendig werden durch neue Anwendungen oder Anforderungen der Anbieter! Seite 12
Nutzung von Zertifikaten In der DFN-AAI kommen Zertifikate in drei Bereichen zum Einsatz: beim Betrieb von Shibboleth zur Authentifizierung der Web-Server, die die Dienste anbieten zur Authentifizierung von Nutzern Seite 13
Zertifikate: Nutzer derzeit verwenden Nutzer zur Authentifizierung meistens Username/Password alternativ kann die Authentifizierung auch per Nutzerzertifikat erfolgen zukünftig kann auf Basis der Stärke der Authentifizierung die Nutzung von Diensten geregelt werden Seite 14
Zertifikate in der DFN-PKI Anzahl Zertifikate 2.500 2.000 1.500 1.000 500 0 11.05 1.06 3.06 5.06 7.06 9.06 11.06 SummeZertifikate ClassicZertifikate GridZertifikate Seite 15
Zeitplan März 2006: 1. Treffen interessierter Teilnehmer November 2006: Fertigstellung grundlegender Dokumente (Vorauss. an IdM, Attribute-Schema, Zertifikate) seit Herbst 2006: Aufbau der zentralen Dienste, Testbetrieb ab Januar 2007: Pilotbetrieb ab Frühjahr 2007: Vertragsabschlüsse und Regelbetrieb
Kontakt Für alle Fragen rund um die DFN-AAI: E-Mail: aai@dfn.de??? Seite 17