3 dfn-aai (uk, jkk, mp)€¦ · שבולת) ist hebräisch und bedeutet wörtlich...
Post on 29-Sep-2020
3 Views
Preview:
TRANSCRIPT
Deutsches Forschungsnetz
Session 2DFN-AAI - kontrollierter Zugriff
auf geschützte Ressourcen
Diskussionsforum der Kanzlerinnen und Kanzler mit dem DFN-Verein,
Potsdam, 20.6.2007U. Kähler, J. K. Köcher, Dr. M. Pattloch
Seite 3
Gliederung
• Herausforderung und Beispiele• Nutzen• Sicherheit• Rechtliche Sicht• Zusammenfassung und Ausblick
Seite 4
Herausforderung
• Zunehmend mehr Prozesse müssen hochschul-intern, aber auch mit Externen bewältigt werden
• Dabei sind stets die gleichen Fragen zu bearbeiten– Die im Prozess involvierten Personen müssen
identifiziert werden (Studentenausweis, Personalausweis, persönlich bekannt etc.)
– Berechtigungen von Personen müssen geprüft werden (Darf Herr X sich zum Praktikum anmelden? Darf Frau Y auf die Online-Publikationen des wissenschaftlichen Verlages ABC zugreifen?)
• Der Kern aller Prozesse ist also– das Authentifizieren (Wer ist es?) und anschließend– das Autorisieren (Was darf er/sie?)
Seite 5
Beispiele: Anmeldung Praktikum
��
Hochschule
Nutzerdaten (IDM)
Lehrplan
Authentifizierungs-und
Autorisierungs-Infrastruktur
1. Herr X will sich zum Praktikum
anmelden
2. Herr X ist Student und hat Prüfungen
A,B,C absolviert
3. Student X mit Prüfungen A,B,C
will sich zum Praktikum anmelden
4. Prüfungen A,B,C berechtigen zum
Praktikum
Seite 6
Beispiele: Zugriff auf Verlag
Hochschule A
Nutzerdaten (IDM)
Lizenz-vereinbarung
Berech-tigungen
Authentifizierungs-und
Autorisierungs-Infrastruktur
1. Herr X will lizenz-ierten Artikel lesen
2. Herr X ist Mitarbeiter 3. Mitarbeiter der
Hochschule A will Artikel lesen
Verlag ABC
4. Mitarbeiter der Hochschule A sind berechtigt
DFN-AAI
Seite 7
Was ist DFN-AAI?
• DFN-AAI ist ein Dienst des DFN-Vereins• DFN-AAI schafft
• das notwendige Vertrauensverhältnis zwischen den Anwendern und den Anbietern
• den organisatorisch / technischen Rahmen für den Austausch von Nutzerinformationen
• Der DFN-Verein ist der zentrale Vertragspartnerfür alle Teilnehmer der AAI
• Der DFN-Verein übernimmt zentrale betriebliche Aufgaben• In der DFN-AAI wird das Shibboleth-System verwendet
Seite 8
Was ist „Shibboleth“?
- Streichholzschächtelchen, Eichhörnchenund Strickstrumpf
(http://de.wikipedia.org/wiki/Shibboleth#Etymologie)
- Plattdeutsch: Eekkattensteert
- Bayerisch: Oachkatzlschwoaf(Eichhornschweif)
- Fränkisch: Oozullds Buddlersbaa(abgezaustes Hühnerbein)
(Deutschtest für Ausländer)
Seite 9
Woher kommt „Shibboleth“?
Hintergrund ist eine Stelle aus dem Alten Testament, Buch Richter, Kapitel 12, Vers 5ff:Und die Gileaditer nahmen ein die Furt des Jordans vor Ephraim. Wenn nun sprachen die
Flüchtigen Ephraims: Laß mich hinübergehen, so sprachen die Männer von Gilead zu ihm: Bist du ein Ephraiter? Wenn er dann antwortete: Nein, so hießen sie ihn sprechen: Schibboleth, so sprach er: Sibboleth, und konnte es nicht recht reden. So griffen sie ihn und schlugen ihn an der Furt des Jordans, daß zu der Zeit von Ephraim fielen zweiundvierzigtausend.
Das Wort „Shibboleth“ war somit wohl das erstebiometrische Autorisierungsverfahren!
Schibboleth (hebr. תלובש) ist hebräisch und bedeutet wörtlich „Getreideähre“, wird in der Bedeutung „Kennwort“ verwendet.
Seite 10
Gliederung
• Herausforderung und Beispiele• Nutzen• Sicherheit• Rechtliche Sicht• Zusammenfassung und Ausblick
Seite 11
Nutzen für Hochschule• Zukünftige Herausforderungen (z.B. Bologna, Erwartung
zahlender Studenten) verstärken den Druck nach optimierten internen Prozesse– DFN-AAI kann ein zentrales Puzzelstück sein, um interne
Prozesse informatorisch abzubilden• DFN organisiert, dass zunehmend mehr Anbieter (Verlage
etc.) über DFN-AAI erreichbar werden– Einzelne Hochschule profitiert von jedem neuen Anbieter, ohne
selbst tätig sein zu müssen– Der Nutzen von DFN-AAI für die Anbieter kann von Hochschulen als
Argument für verbesserte Lizenzen verwendet werden• Hochschule profiliert sich im Wettbewerb• DFN-AAI entgeltfrei für Teilnehmer DFNInternet
Seite 12
Nutzen für Mitarbeiter/Student
• Zugriff auf alle ihnen zustehenden Angebote intern und extern mit einer Kennung ("single-sign-on")
• Muss nicht persönlich bei externen Anbietern registriert sein: Anonymität
• Berechtigungen werden durch Hochschule im IDM aktualisiert– Wird aus dem Student ein Mitarbeiter, so passen
sich seine Berechtigungen automatisch an
Seite 13
Nutzen für externen Anbieter
• Kann auf Authentifizierung im Rahmen von DFN-AAI vertrauen (Wer fragt an?)
• Berechtigungen des Nutzers sind aktuell und korrekt– Keine "Karteileichen", deren Berechtigung z.B.
abgelaufen oder verändert ist• Eigene Nutzerverwaltung überflüssig
– Kosteneinsparung für Einrichtung und Pflege• Erschließt sich mit mit Anschluss an DFN-
AAI viele potentielle Kunden
Seite 14
Gliederung
• Herausforderung und Beispiele• Nutzen• Sicherheit• Rechtliche Sicht• Zusammenfassung und Ausblick
Seite 15
Sicherheit
• Die Sicherheit in der DFN-AAI ist eine entscheidende Voraussetzung für deren Nutzung
• Sicherheit umfasst mehrere Komponenten– Vertraulichkeit– Integrität– Authentizität– Verfügbarkeit
• DFN-PKI hat sich als wichtige Basis etabliert
Seite 16
Kleiner Exkurs: DFN-PKI (1)
• DFN-PKI– Infrastruktur für digitale Zertifikate im DFN– DFN betreibt zentrale Komponenten, wodurch
der lokale Aufwand stark reduziert wird– Konzept der Auslagerung erlaubt auch „kleinen“
Einrichtungen die Nutzung von Zertifikaten– starkes Sicherheitsniveau in der DFN-PKI, z.B.
durch persönliche Identifizierung– hohes betriebliches Sicherheitsniveau durch
jährliche Audits– ohne zusätzliches Entgelt nutzbar
Seite 17
Kleiner Exkurs: DFN-PKI (2)
• Erfahrungen nach 1,5 Jahren Regelbetrieb– mehr als 100 Einrichtungen nutzen bereits die
Angebote der DFN-PKI– jede Woche kommt ca. eine Einrichtung hinzu– breites Spektrum an Anwendern, von kleinen
Einrichtungen, die bisher keine PKI hatten, bis zu großen Einrichtungen mit viel PKI-Erfahrung
– Dienstangebot der DFN-PKI „passt“
Seite 18
Sicherheit: Vertraulichkeit
• Wie ist gewährleistet, dass die in der DFN-AAI übermittelten Daten nicht durch unbefugte Dritte ausgespäht werden?
• Lösung– Verwendung digitaler Zertifikate der DFN-PKI– Daten werden bei der Übermittlung automatisch
verschlüsselt– unbefugtes Entschlüsseln praktisch nicht
möglich– starke Policy der DFN-PKI ist Basis (z.B.
persönliche Identifizierung)
Seite 19
Sicherheit: Integrität
• Wie ist gewährleistet, dass die in der DFN-AAI übermittelten Daten nicht unbemerkt verändert werden?
• Lösung– Verwendung digitaler Zertifikate der DFN-PKI– Daten werden bei der Übermittlung automatisch
mit Prüfsummen versehen– unbefugte Veränderung von Daten wird
automatisch erkannt
Seite 20
Sicherheit: Authentizität
• Wie ist gewährleistet, dass die in der DFN-AAI beteiligten Instanzen (Personen, Server) wirklich die sind, die sie vorgeben zu sein?
• Lösung– Verwendung digitaler Zertifikate der DFN-PKI– digitales Zertifikat als „elektronischer Ausweis“– Server müssen digitales Zertifikat haben und
sind dadurch eindeutig und nachvollziehbar ausgewiesen
– Personen können - je nach Sicherheitsbedarf -ein digitales Zertifikat verwenden
Seite 21
Sicherheit: Verfügbarkeit
• Wie ist gewährleistet, dass die DFN-AAI hoch verfügbar zur Verfügung steht?
• Lösung– Redundanzkonzept für technische Komponenten
der DFN-PKI und der DFN-AAI– betriebliche Prozesse auf hohe Verfügbarkeit
ausgelegt
Seite 22
Gliederung
• Herausforderung und Beispiele• Nutzen• Sicherheit• Rechtliche Sicht• Zusammenfassung und Ausblick
Seite 23
Recht: verschiedene Blickwinkel
• Rechtliche Sicht aus verschiedenen Blickwinkeln– Datenschutz– Datensicherheit– Personalrat– Haftung– Telemediengesetz– Signaturgesetz
Seite 24
Recht: Datenschutz
• Authentifizierung durch die Hochschule
– Vorteil: Anonymität gegenüber Anbieter– Voraussetzung: Vorhandenes IDM
• Datenschutzrechtliche Fragen bei Errichtung• Landesrechtliche Besonderheiten
– Problem: Grundsatz der Zweckbindung• Authentifizierung ist ggf. zweckändernde Nutzung
– Erfordert gesetzliche Erlaubnis oder Einwilligung
Seite 25
Recht: Einwilligung
– Lösung: Elektronische Einwilligung auf der Startseite:
Beispiel:Mit der Verwendung der zu meiner elektronischen Hochschulidentität gespeicherten Daten zur Prüfung der Berechtigung zur Nutzung von mir ausgewählter Dienste bin ich einverstanden.
User ID …Passwort …
Seite 26
Recht: Datensicherheit
• Vertraulichkeit durch Verschlüsselung
– § 9 BDSG und vglb. Normen LDSGe• Technische und organisatorische Maßnahmen
– Schutz der Übermittelten Inhalte vor unautorisierten Zugriffen
Seite 27
Recht: Personalrat
• Mitarbeiter als Nutzer– Authentifizierung in der Einrichtung ermöglicht
festzustellen, welcher Nutzer auf welchen Anbieter zugegriffen hat (nicht Inhalte)
• Technische Leistungs- und Verhaltenskontrolle – z.B. § 72 Abs. 3 Nr. 2 LPersVG NRW– Objektive Eignung hierzu ausreichend
• Personalrat sollte beteiligt werden!
Seite 28
Recht: Haftung
• Missbräuchliche Nutzung– Weil z.B. Identität nicht korrekt gepflegt (kein neues
Problem)– DFN - Anbieter: Haftungsbeschränkungen geregelt
• DFN steht für die korrekte Übermittlung• DFN wirkt darauf hin, dass IDM von Hochschulen gepflegt ist
• Aufgabe Hochschulen– Hochschule - Anbieter: Lizenzvereinbarungen prüfen!– Gewährleistung ordentlicher Pflege IDM
• Unter dem Strich: Mit AAI wird Haftungsrisiko ggü. heutigem Stand aber durch Einbindung IDM eher geringer!
Seite 29
Recht: Haftung
• Nutzer kann Angebot nicht nutzen, weil IDM nicht erreichbar oder nicht korrekt ist– Beispiel: Anmeldung zur Prüfung kann nicht
erfolgen, weil DFN-AAI nicht verfügbar -> Frist verstreicht
• Haftungsbeschränkungen• Alternativen• Kulanz
– z.B. durch Fristverlängerung
Seite 30
Recht: Telemediengesetz (TMG)
• Für Hochschulen relevant, wenn sie selbst Anbieter sind:
– Informationspflichten §§ 4 – 6 TMG– Verantwortlichkeit §§ 7 – 10 TMG– Datenschutz §§ 11 – 15 TMG
• Wird außerhalb dieses Diskussionsforums behandelt
Seite 31
Recht: Signaturgesetz
• DFN-PKI: Fortgeschrittene Signatur – erfüllt nicht die Erfordernisse der Schriftform
i.S.v. § 126a BGB und § 3a VwVfG
• Hierauf kommt es bei Server- und Einzelzertifikaten auch nicht an– Geeignetheit zur Herstellung eines
Vertrauensverhältnisses– DFN-PKI: Starke Policy und persönliche
Identifizierung
Seite 32
Gliederung
• Herausforderung und Beispiele• Nutzen• Sicherheit• Rechtliche Sicht• Zusammenfassung und Ausblick
Seite 33
Zukunftssicherheit / Verbreitung
• DFN-PKI zukunftssicher– Globales Vertrauen durch "Root im Browser"– Aufgestellt auch für Massenerzeugung von Zertifikaten– >100 Einrichtungen nehmen bereits an DFN-PKI teil
• Software für DFN-AAI stammt aus Internet2– Dynamische Weiterentwicklung– Ist international de facto Standard ("shibboleth")
• Viele Anwendungsfälle sind im entstehen– Bibliotheken– Wissenschaftliche Verlage– eLearning Verbünde (z.B. "SaXis")
Seite 34
Leistung von DFN
• Fortgeschrittene Zertifikate über Dienst DFN-PKI• Betrieb der technischen Infrastruktur DFN-AAI• Vertragspartner für Teilnehmer (insbesondere
Hochschulen) und externe Anbieter (z.B. Verlage)• Laufende Anpassung an neue Anwendungsfälle
– Verlage, Bibliotheken, eLearning, Grid uvm.• Organisation der internationalen Einbettung• Beratung und Schulung• Nicht Leistung von DFN: Lizenzverträge (z.B. mit
Verlagen)
Seite 35
Beispiele: Zugriff auf Verlag
Hochschule A
Nutzerdaten (IDM)
Lizenz-vereinbarung
Berech-tigungen
Authentifizierungs-und
Autorisierungs-Infrastruktur
1. Herr X will lizenz-ierten Artikel lesen
2. Herr X ist Mitarbeiter 3. Mitarbeiter der
Hochschule A will Artikel lesen
Verlag ABC
4. Mitarbeiter der Hochschule A sind berechtigt
DFN-AAI
Seite 36
Mitwirkung: Hochschulen
• Geregelt im Teilnehmervertrag – Der Teilnehmer betreibt ein System zur
Nutzerverwaltung und stellt sicher, dass seinen Nutzern Attribute zugeordnet werden und Änderungen zeitnah (innerhalb von zwei Wochen) in der Nutzerverwaltung gepflegt werden.
• Betrieb eines eigenen IDM• Teilnahme am Dienst DFN-PKI
Seite 37
Aufwand für Hochschulen
• Nutzung DFN-AAI und DFN-PKI für Teilnehmer von DFNInternet entgeltfrei
• Aufbau und Betrieb von IDM– hochschulweite Aufgabe– langfristig bedeutende Effizienz-Potentiale!
• Betrieb eine Registrierungsstelle von DFN-PKI– Identifizierung von Personen und Bearbeitung von Anträgen für die
Ausstellung von digitalen Zertifikaten– Wesentlich geringerer Aufwand als für eine selbst betriebene
Zertifizierungsstelle
• hochschulinterne Prozesse auf die kommenden Herausforderungen anpassen
Seite 38
Zeitplan DFN-AAI
• seit Januar 2006: Regelbetrieb DFN-PKI• November 2006: Konzept DFN-AAI fertig• seit März 2007: Pilotbetrieb• seit April 2007: Teilnehmervertrag fertig• seit Mai 2007: Akquisition weiterer Anbietern
(z.Zt. aktuell: Verlage)• Geplant ab Herbst 2007: Regelbetrieb• Geplant ab 2008: Hochverfügbarkeit durch
Redundanzkonzept
Seite 39
Fragen ...?
? ??
top related