SaxID föderatives IDM in Sachsen

Ähnliche Dokumente
DFN-Cloud aus Sicht eines Service Providers... mit Verzeichnisdienstvergangenheit

Verbundzentrale des GBV (VZG) Till Kinstler / Digitale Bibliothek

1. SaxIS-Shibboleth. Shibboleth-Workshop. Chemnitz, 15. Dezember Dipl. Wirt.-Inf. Lars Eberle, Projekt SaxIS und BPS GmbH

SECURITY DESIGN PATTERN FÜR EHEALTH-PLATTFORMEN

Aufbau einer AAI im DFN. Ulrich Kähler, DFN-Verein

Abschluss-Workshop Projekt SaxIS

Identity and Access Management for Complex Research Data Workflows

Unternehmensname Straße PLZ/Ort Branche Mitarbeiterzahl in Deutschland Projektverantwortlicher Funktion/Bereich * Telefon

Fallstudie Universität Freiburg: IdM, Personalrat, Datenschutz

Neues aus der AAI: SLO und Verlässlichkeitsklassen Single-Log-Out Zwischenbericht 09/2014

für E-Learning in Bayern

4. Das neue Recht der GmbH ein Überblick

Identity & Access Management in der Cloud

Iden%ty & Access Management: Das Rückgrat der Hochschul- IuK- Infrastruktur

Aktuelles zur DFN-AAI AAI-Forum, 53. DFN-Betriebstagung, Oktober 2010

Content Management System mit INTREXX 2002.

BMBF-Förderung

Inhalt Einführung Was ist SAML Wozu braucht man SAML Wo wird SAML verwendet kleine Demo SAML. Security Assertion Markup Language.

Web-Single-Sign-On in der LUH

Name der Organisation (off. rechtl. Bezeichnung) Straße PLZ/Ort Branche Projektverantwortlicher Funktion/Bereich * Telefon

oder ein Account einer teilnehmenden Einrichtung also

Clientkonfiguration für Hosted Exchange 2010

Raoul Borenius, DFN-AAI-Team

Aktuelle Breitbandverfügbarkeit in Deutschland (Stand Ende 2015) Erhebung des TÜV Rheinland im Auftrag des BMVI

Kieferorthopädische Versorgung. Versichertenbefragung 2015

Externe Authentifizierung. Externe Authentifizierung IACBOX.COM. Version Deutsch

Windows Server 2008 für die RADIUS-Authentisierung einrichten

Anforderungen an die HIS

Aktuelle Breitbandverfügbarkeit in Deutschland (Stand Mitte 2015) Erhebung des TÜV Rheinland im Auftrag des BMVI

Betriebsrente - das müssen Sie wissen

Beste Arbeitgeber in der ITK. Für IT-Abteilungen mit mindestens 50 Mitarbeitern in Unternehmen mit mindestens 250 Mitarbeitern

E-Identität in der UAMR

Intranet Moodle

Nachnutzung des Windows Login in einer SAML-basierten. Föderation mittels Shibboleth Kerberos Login Handler

BüroWARE Exchange Synchronisation Grundlagen und Voraussetzungen

Anwenderleitfaden Citrix. Stand Februar 2008

Shibboleth IdP-Erweiterungen an der Freien Universität Berlin

Die Dienste der DFN-AAI. Ulrich Kähler, DFN-Verein

IdM-Lösungen in Hochschulen - aktueller Stand, zukünftige Herausforderungen

B E N U T Z E R D O K U M E N TA T I O N ( A L E P H I N O

Shibboleth-AttributManagement. DFN-AAI Workshop Kaiserslautern

Mehr Durchlässigkeit zwischen

1 Dataport 12.Juli 2007 Internationale Standards zu Identity Management. Deckblatt. Harald Krause

Digitale Kontrollgerätekarten

AAI in TextGrid. Peter Gietz, Martin Haase, Markus Widmer DAASI International GmbH. IVOM-Workshop Hannover,

Umstieg auf Microsoft Exchange in der Fakultät 02

Berlin Berliner Hochschulgesetz 10 Absatz 3:

DFN-AAI Sicherheitsaspekte und rechtliche Fragen

DARIAH Technische Infrastruktur Sicherheit, Datenhaltung, Nachhaltigkeit

JUNI 2014 AUSGABE 31. Hinweis zu Modul 13: Feld Unterrichts-/Arbeitszeit und Fehler R13_0030

Synchronisations- Assistent

Adobe: Was kommt nach CLP und TLP? Von der Dauerlizenz zum zeitlich befristeten Nutzungsrecht Christian Meyer

Mar$n Nussbaumer, KIT Mannheim, 7. Mai 2013

EINFÜHRUNG DES NEUEN KOMMUNALEN HAUSHALTS- UND RECHNUNGSWESENS

Quick Guide Mitglieder

Mobilfunkverträge. Betrachtung nach Ausgaben und Hardware

Kinder und ihr Kontakt zur Natur

Bevölkerung mit Migrationshintergrund an der Gesamtbevölkerung 2012

Leitfaden für die Mitgliederregistrierung auf der neuen Webseite des SFC-Erkelenz

Codex-Kooperation Teilprojekt IdM 2.0

Office 365 Active Directory Federation Services Shibboleth

Anleitung Abwesenheitsmeldung und -Weiterleitung (Kundencenter)

Weihnachtsstudie 2014 Umfrageteilnehmer: Umfragezeitraum: Oktober

Ergebnisse. Kurz-Statistiken Umfrage 'Initiative gemeinsames Wahlprogramm' Umfrage 52857

Gebuchte Internet- Surfgeschwindigkeit. nach Wohnort und Alter des Kunden

Qualitätsmanagement an beruflichen Schulen in Deutschland: Stand der Implementierung. Diplomarbeit

Transaktionskosten senken mit dem Wirtschaftsportalverbund

Internationales Altkatholisches Laienforum

Identity Propagation in Fusion Middleware

my.green.ch... 2 Domänenübersicht... 4

Produktvorstellung: CMS System / dynamische Webseiten. 1. Vorwort

IEEE 802.1x Authentifizierung. IEEE 802.1x Authentifizierung IACBOX.COM. Version Deutsch

S TAND N OVEMBE R 2012 HANDBUCH DUDLE.ELK-WUE.DE T E R M I N A B S P R A C H E N I N D E R L A N D E S K I R C H E

Windkraft-Anlagendichte in Raumordnungsgebieten im Spiegel des Raumordnungsplan-Monitors

Franchise-Bewerberbogen

Gesundheit. Mit struktur

Advoware mit VPN Zugriff lokaler Server / PC auf externe Datenbank

eidam & partner. die auslands-experten. interkulturelles training. coaching. consulting. elearning.

Federated Identity Management

Executive Information. «Setup and forget it!» So automatisieren Sie Ihr Datacenter mit dem Microsoft System Center Orchestrator 2012.

Dezentrales Identity Management für Web- und Desktop-Anwendungen

Voice over IP (VoIP) PING e.v. Weiterbildung Blitzvortrag. Dennis Heitmann

einesonderungderschülernachdenbesitzverhältnissenderelternnichtgefördertwird.diegenehmigungistzuversagen,wenndiewirtschaftlicheund

Kurzanleitung GigaMove

Daten-Synchronisation zwischen Mozilla Thunderbird (Lightning) / Mozilla Sunbird und dem ZDV Webmailer

45 Hochschulen in Professorinnenprogramm erfolgreich

Stromanbieter: Wechselaffinität 2014

Kreditstudie. Kreditsumme, -zins und -laufzeit betrachtet nach Wohnort und Geschlecht des/r Kreditnehmer/s

Electures-Portal. Vorstellung und Empfehlungen Christoph Hermann - Universität Freiburg - Institut für Informatik 1

Autorisierung. Sicherheit und Zugriffskontrolle & Erstellen einer Berechtigungskomponente

Rechtsgrundlagen für die Akkreditierung und die Einrichtung von Studiengängen mit den Abschlüssen Bachelor und Master in den einzelnen Bundesländern

Personalbestand und Arbeitsbelastung in der Steuerverwaltung. Die Fraktion DIE LINKE hat folgende Kleine Anfrage an den Senat gerichtet.

WLAN an der TUC. eduroam mit Windows 7. Empfohlen - gesichertes Funknetz mit WPA/WPA2

ZKI Verzeichnisdienste DoSV, I&AM

Häufig gestellte Fragen zu Professional webmail

Aufbau einer AAI im DFN. Ulrich Kähler, DFN-Verein

Positionspapier: Portalverbund und ehealth

Perspektiven der Reform des staatlichen Haushalts- und Rechnungswesens in Deutschland

Transkript:

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) SaxID föderatives IDM in Sachsen Herbsttreffen des ZKI AK Verzeichnisdienste am 01. und 02. Oktober 2015 in Heidelberg ZIH-PMC-IDM (Moritz Hesse) E-Mail: moritz.hesse@tu-dresden.de Datum: 02.10.2015

Agenda Hochschulübergreifende Accountnutzung Ein breites Fundament: Extensive Ist-Erhebung SaxID = DFN-AAI +? SaxID-LDAP-Proxy und SaxID-API: Zwei Sonderlösungen Die politische Dimension 2

Agenda Hochschulübergreifende Accountnutzung Ein breites Fundament: Extensive Ist-Erhebung SaxID = DFN-AAI +? SaxID-LDAP-Proxy und SaxID-API: Zwei Sonderlösungen Die politische Dimension 3

Ziel: Übergreifende Nutzung lokaler Konten Ausgangssituation Zielsetzung SaxID Hochschulübergreifende Verwendung der Benutzerkonten momentan nicht möglich Registrierung bei fremden Diensteanbietern erforderlich Erhöht Zusatzkosten, Aufwand und Fehlerpotential etc. Heterogene IDMS-Landschaft trotz z.t. gleicher eingesetzter Software Seit 2011 Kooperation zwischen TU Dresden und Uni Leipzig zur gemeinsamen IDM-Beschaffung für Nutzer/Anwender Übergreifende Dienstenutzung ohne Account an fremder Einrichtung Verringerung von Nutzungsbarrieren und Intensivierung der Dienstenutzung Steigerung der Qualität von Forschung und Lehre für Hochschulen Nutzung von Synergieeffekten; Steigerung von Effektivität und Effizienz Stärkung der Marktposition gegenüber Anbietern (vergünstigte Bezugskonditionen) Erweiterung von Diensten und Funktionen 4

Beteiligte SaxID-Hochschulen ~99% Studierende adressiert TU Dresden Uni Leipzig TU Chemnitz HTWK Leipzig TU BA Freiberg HTW Dresden HS Zittau/Görlitz WH Zwickau HS Mittweida HfBK Dresden HfM Dresden HGB Leipzig HMT Leipzig Hinweis: Beteiligt sind alle sächsischen Hochschulen in staatlicher Trägerschaft, bis auf die Palucca Hochschule für Tanz Dresden, die Fachhochschule für öffentliche Verwaltung und Rechtspflege Meißen und die Hochschule der Sächsischen Polizei (FH) Rothenburg/Oberlausitz. 5

SaxID nicht das einzige IDM-Föderationsprojekt! Baden-Württemberg bwidm (2011 2013) Bayern Berlin Brandenburg Bremen Hamburg Hessen Mecklenburg-Vorpommern Im Rahmen der Initiative "Bayern digital" (Programm "Digitaler Campus Bayern") Mitglied DFN-AAI Uni Potsdam Mitglied DFN-AAI; "Derzeit [ ] keine Pläne oder Projekte, ein föderiertes IdM aufzubauen."; mittelfristig aber vorgesehen Mitglied DFN-AAI Mitglied DFN-AAI Niedersachsen Nds-AAI (seit 2009) Mitglied DFN-AAI; geplant "im Rahmen des neu eingerichteten Hessen-Netzes" Uni Greifswald, Rostock und HS Wismar Mitglieder DFN-AAI; "weitere Bestrebungen [ ] nicht geplant." Nordrhein-Westfalen Rheinland-Pfalz Saarland Mitglied DFN-AAI Mitglied DFN-AAI Nutzung DFN AAI "deutlich auszuweiten", aber aktuell kein Bedarf für "eigenes föderiertes IDM" vorhanden. Keine DFN-AAI-Mitgliedschaft Sachsen SaxID (Projekt ongoing, geplant bis Ende 2016) Sachsen-Anhalt Schleswig-Holstein Mitglied DFN-AAI Mitglied DFN-AAI Thüringen CODEX Meta Directory (vor 2012) Legende abgeschlossen ongoing geplant kein föd. Landes-IDM keine Informationen Quellen: Anfragen Ministerien/Rechenzentren; DFN-Metadaten 6

Agenda Hochschulübergreifende Accountnutzung Ein breites Fundament: Extensive Ist-Erhebung SaxID = DFN-AAI +? SaxID-LDAP-Proxy und SaxID-API: Zwei Sonderlösungen Die politische Dimension 7

Extensive Ist-Erhebung für alle 13 Hochschulen erfolgt 1 2 3 Ist-Architekturen IDMS-Steckbriefe Bildungsvorschriften Ist-Architekturen IDM-Systeme und Umsysteme (Quell- und Zielsysteme) IDMS-Steckbriefe mit wesentlichen technischen und organisatorischen Informationen Bildungsvorschriften zur Erzeugung von Benutzernamen 4 Datenausprägungen 5 Dienstekatalog Datenausprägungen von Nutzern und Vertragsobjekten in den IDM-Systemen Angebotene IT-Dienste sowie deren SaxID-Relevanz 8

Einheitliches Architekturmodell vorgeschlagen Evaluierung Modellentwurf Konsolidierung IDM Beschaffung von Informationen Analyse verfügbarer Informationen aus bestehenden Hochschul- Architekturen Beschaffung weiterer Informationen zu IDM-, Quellund Zielsystemen Entwurf einheitliches Modell Identifizierung gemeinsamer Funktions- und Prozessblöcke ("IDM-Wertschöpfungsmodell") Entwurf einer einheitlichen Notation zur Darstellung der Ist-Architekturen Vereinheitlichung der Modelle Überführung der bereitgestellten Schemata in neues Einheitsmodell Ziel: Schnelle Identifizierung von Konsolidierungs- und Synergiepotentialen Einheitliches Modell erleichtert Abstimmung 9

Agenda Hochschulübergreifende Accountnutzung Ein breites Fundament: Extensive Ist-Erhebung SaxID = DFN-AAI +? SaxID-LDAP-Proxy und SaxID-API: Zwei Sonderlösungen Die politische Dimension 10

Föderierte AAI bereits im Einsatz mit Einschränkungen Herkömmliches Verfahren Shibboleth WebSSO Uni A Uni B Registrierung Kopie Zugriff Dienst Benutzeraccount bei fremder Einrichtung erforderlich Dateninkonsistenzen, mehrfache Datenhaltung, Aufwand für Registrierung, Lizenzkosten etc. Kein Fremdaccount erforderlich, stattdessen übergreifende Authentifizierung und Autorisierung Shibboleth bereits weltweit im Einsatz (Deutschland: DFN-AAI) Aber: Shibboleth WebSSO nicht ausreichend für alle Szenarien SP: Service Provider; IdP: Identity Provider 11

4 Szenarien identifiziert, in denen WebSSO unzureichend 1 2 3 4 "ARP-Plus"-Webdienste Unix-Dienste Microsoft-Dienste Proprietäre Webdienste Komplexe Berechtigungen oder Rollen? Webdienst/ Shibboleth SP Unix-Dienst (kein Web/SP) MS-Dienst (kein Web/SP) Proprietärer Dienst??? Shibboleth IdP ARP: Attribute Release Policies; SP: Service Provider; IdP: Identity Provider 12

1 Webdienste mit Shibboleth und "ARP-Plus"-Webdienste Problem Lösungsansatz Komplexe Berechtigungen oder Rollen Shibboleth implementiert proprietäre Attribute Release Policies (ARP) Implementierung einer geeigneten Shibboleth-Erweiterung, z.b.? Webdienst/ Shibboleth SP Shibboleth IdP nur für einfache Szenarien ausreichend komplexe Berechtigungsstrukturen oder Rollenmodelle nicht realisierbar XACML PONDER EPAL P3P E-P3P 13

2 Unix-nicht-Webdienste und Shibboleth Problem Lösungsansatz Unix-Dienst (kein Web/SP)? Unix-Dienste häufig keine Webdienste können nicht als Shibboleth Service Provider (SP) implementiert werden Erweiterung/Anpassung erforderlich 1. Shibboleth mit PAM 1 und SAML ECP 2 2. per Shibboleth erzeugte, temporäre lokale Accounts, dann Remotenutzung mit diesem dienstlokalen Account 3. zentraler LDAP-Proxy 4. lokaler LDAP-Proxy Shibboleth IdP (1) Pluggable Authentication Module; (2) Enhanced Client or Proxy 14

3 Microsoft-nicht-Webdienste und Shibboleth Problem Lösungsansatz MS-Dienst (kein Web/SP)? Shibboleth IdP Microsoft-Dienste häufig keine Webdienste können nicht als Shibboleth Service Provider (SP) implementiert werden analog zu Unix- Diensten: Erweiterung/ Anpassung erforderlich 1. Windows-AD- Vertrauensstellung 2. per Shibboleth erzeugte, temporäre lokale Accounts; Remotenutzung mit dienstlokalen Account 3. zentralistische Windows-AD- Gesamtstruktur 4. per Shibboleth initiierter Download Installer/Config 15

4 Proprietäre Webdienste mit eigener Nutzerverwaltung Problem Lösungsansatz Proprietärer Dienst? Closed Source (Web-) Applikationen/ proprietäre Software fehlende Möglichkeit zu Implementierung als Shibboleth SP eigene Nutzerverwaltung vorhanden Shibbolethierung per "Hooking" Umleitung auf Login- Hooker umgeleitet implementiert Shibboleth SP Hooker startet Login am Webdienst per Web Scraping Übergabe gestarteter Session Shibboleth IdP Hinweis: Methode von Hrn. Steffen Dach (TU Bergakademie Freiberg) konzipiert und erprobt; Details von dort zu erfragen 16

SaxID = DFN-AAI +? SaxID ist also DFN-AAI + Lösungen für Szenarien, in denen Shibboleth WebSSO nicht ausreicht + SaxID-API für Reportingzwecke + Federation Access Policy mit sächsischem Scope 17

Agenda Hochschulübergreifende Accountnutzung Ein breites Fundament: Extensive Ist-Erhebung SaxID = DFN-AAI +? SaxID-LDAP-Proxy und SaxID-API: Zwei Sonderlösungen Die politische Dimension 18

SaxID-LDAP-Proxy: Systemarchitektur SLES 12 1. 1 Benutzer ruft Webdienst auf 1 2. 2 Anfrage wird von Simple- SAMLphp abgefangen Symfony2 apache2 3. 3 und via Fremd-IdP authentifiziert SaxidLdapProxy 2 5 SimpleSAMLphp (Service Provider) 3 4 Shibboleth IdP (fremd) 4. 4 Attribute werden an SP zurückgeliefert 5. 5 und an LDAP-Proxy- 6 Webdienst weitergereicht 6. 6 Attribute werden in LDAP- openldap 7 Dienst mit LDAP- Authentifizierung System eingetragen Aber: Kein SSO, keine passwortlose Auth., keine autom. Deprovisionierung 19

SaxID-API: Controlling und Reporting in der Föderation Aus Teilprojekt "owncloud" entstanden Bedarf für Übertragung zusätzlicher Informationen (owncloud: z.b. Quota) IDMS Universität A IT Landscape Universität B IT Landscape IDMS IDMS Universität C IT Landscape Außerdem Informationen für Deprovisionierung und Dienstenutzung (Controlling, Reporting, Accounting) Dezentral an jeder Heimateinrichtung Entwurf für REST-API-Protokoll vorhanden Entwicklung ongoing SaxID API SaxID API SaxID API URI Schema /sp/ /sp/<name>/resources/ /sp/<name>/resources/<uuid> /sp/<name>/attributes/ /idp/<name>/users/ /idp/<name>/users/<eppn>/resources/ /idp/<name>/resources/ 20

Agenda Hochschulübergreifende Accountnutzung Ein breites Fundament: Extensive Ist-Erhebung SaxID = DFN-AAI +? SaxID-LDAP-Proxy und SaxID-API: Zwei Sonderlösungen Die politische Dimension 21

Vertragswerke regeln Zusammenarbeit in Föderation 1 2 3 Plugin/Interface/Modul Anforderungsdokument Föderationsvereinbarung Technische Lösung (in Form von lauffähigen Prototypen) idealerweise ein universell einsetzbares Plugin Dokument mit funktionalen und nichtfunktionalen Anforderungen an eine zukünftige SaxID-Lösung Vereinbarung zwischen teilnehmenden Hochschulen, welche die Zusammenarbeit sowie technische und rechtliche Details regelt Team A Team B Spezielle Lösung Team Erkenntnisse Codex Thüringen Erkenntnisse bwidm DFN-AAI Attributsschema UL TUD TUC Spezielle Lösung Spezielle Lösung SaxID-Anforderungen TUBAF HSZG Plugin/Interface/ Modul Bottom Up Anforderungsdokument Föderationsvereinbarung 22

Was ist bei Föderationsvereinbarung zu beachten? Technischen Fragestellungen nicht wesentliche Problematik; Herausforderung ist Zusammenarbeit zwischen Mitgliedern der Föderation Basis ist Vertrauen zwischen Föderationsmitgliedern IdP muss SP vertrauen können, da dort im Zweifelsfall die Eingabe des Passworts z.b. bei ECP abgegriffen werden kann! SP muss Authentifizierungsresultat des IdP vertrauen können! Klare Regelungen erforderlich, um nachhaltige und konfliktarme/-freie Zusammenarbeit zu ermöglichen Vertragliche Regelung der Föderation: Organe/Gremien, Pflichten und Rechte, Ausschluss von Mitgliedern, Haftung, Kosten/Gebühren Relevanten Attribute zu definieren: so wenig wie möglich, so viel wie nötig 23

In eigener Sache: ZIH-Kolloquium NUR EIN SPOT 24

ZIH-Kolloquium: Call for Papers http://bit.ly/zihkolloquium Ralph Müller-Pfefferkorn +49 351 463-39280 ralph.mueller-pfefferkorn@tu-dresden.de Foto: Detail from Raffael's painting "Madonna Sixtina" (in Gemäldegalerie Alte Meister in Dresden) from Bert Kaufmann (CC BY 2.0) 25

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) SaxID-Ansprechpartner Dr. Björn Gehlsen Stellvertretender Direktor / COO Zellescher Weg 12-14, D-01069 Dresden E-Mail: bjoern.gehlsen@tu-dresden.de Telefon: +49 351 463-39835

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback