das projekt aar authentifizierung, autorisierung und rechteverwaltung vorstellung des projektes und...
Post on 05-Apr-2015
103 Views
Preview:
TRANSCRIPT
Das Projekt AAR Authentifizierung, Autorisierung und
Rechteverwaltung
Vorstellung des Projektes und InformationsaustauschMannheim, 13. Juni 2006
Franck Borel, Jochen Lienhard,UB Freiburgborel@ub.uni-freiburg.de, lienhard@ub.uni-freiburg.de
Franck Borel, UB Freiburg 2
Übersicht
Das Projekt AAR Warum Shibboleth? Wie funktioniert Shibboleth? Attribute Identity-Provider Service-Provider Ausblick - Föderation Ansatz für Mannheim
Franck Borel, UB Freiburg 3
Das Projekt AAR
Partner: UB Freiburg und UB Regensburg finanziert durch das BMBF (PT-NMB+F ) eingebettet in vascoda Laufzeit 3 Jahre bis Ende 2007:
2 Jahre Entwicklungs- und Testphase mitReDI und vascoda als Pilotanwendungen
1 Jahr Unterstützung von Einrichtungen und Anbietern bei der Einführung des Systems
Franck Borel, UB Freiburg 4
Das Projekt AAR
Was wollen wir erreichen?Nutzer Der Zugriff auf lizenzierte Inhalte soll unabhängig vom
gewählten Arbeitsplatz und dem Zugriffsweg möglich sein. Alle lizenzierten Inhalte sollten nach nur einmaliger Anmeldung
zur Verfügung stehen (Single Sign-On).Einrichtungen (etwa Hochschulen) Die Einrichtung soll ein beliebiges Authentifizierungssystem
wählen dürfen. Der Aufwand der Rechteverwaltung soll möglichst gering sein.
Anbieter Die lizenzpflichtigen Inhalte der Anbieter sollen vor
unberechtigten Zugriff geschützt werden.
Franck Borel, UB Freiburg 5
Das Projekt AAR
AAR basiert auf Shibboleth
Shibboleth ist ein Internet2/MACE-Projekt(MACE = Middleware Architecture Committee for Education)
Shibboleth entwickelt eine Architektur (Protokolle und Profile), Richtlinien-Strukturen und eine Open Source-Implementierung
für den einrichtungsübergreifenden Zugriffauf geschützte (Web-)Ressourcen
Franck Borel, UB Freiburg 6
Warum Shibboleth?
Einrichtungsübergreifendes Single Sign-On Autorisierung und Zugriffskontrolle über Attribute mit
der Möglichkeit zur anonymen/pseudonymen Nutzung von Angeboten
basiert auf bewährter Software und Standards (SAML: XML, SOAP, TLS, XMLsig, XMLenc)
Integration mit vorhandenem IdMund (webbasierten) Anwendungen möglich
Weltweit hohe Akzeptanz, auch bei kommerziellen Anbietern (Elsevier, JSTOR, EBSCO, Ovid, Springer, ...)
Franck Borel, UB Freiburg 7
Warum Shibboleth?
Anwendungsmöglichkeiten
Zugang zu geschützten (kommerziellen) elektronischen Informationsangeboten: Zeitschriften, Datenbanken, Bücher, ... Portale (z.B. vascoda, ReDI) DFG-Nationallizenzen Repositories (z.B. MyCoRe)
e-Learning e-Science Verwaltungssysteme Grid-Computing
Franck Borel, UB Freiburg 8
Woher kommt „Shibboleth“?
Hintergrund ist eine Stelle aus dem Alten Testament, Buch Richter Kapitel 12 Vers 5ff: Und die Gileaditer nahmen ein die Furt des Jordans vor
Ephraim. Wenn nun sprachen die Flüchtigen Ephraims: Laß mich hinübergehen, so sprachen die Männer von Gilead zu ihm: Bist du ein Ephraiter? Wenn er dann antwortete: Nein, so hießen sie ihn sprechen: Schiboleth, so sprach er: Siboleth, und konnte es nicht recht reden. So griffen sie ihn und schlugen ihn an der Furt des Jordans, dass zu der Zeit von Ephraim fielen zweiundvierzigtausend.
Shibboleth ist somit wohl das erste biometrische Autorisierungsverfahren gewesen
Franck Borel, UB Freiburg 9
Wie funktioniert Shibboleth?
Föderation
Heimat-einrichtung mit
Identity-Provider
Heimat-einrichtung mit
Identity-Provider
Anbieter mitService-Provider
Anbieter mitService-Provider
WAYFWAYF
AuthentifizierungAutorisierung
AuthentifizierungAutorisierung
Ressourcen-verwaltung, Zugangs-
berechtigung
Ressourcen-verwaltung, Zugangs-
berechtigung
Ordnet einen Benutzer seiner
Heimateinrichtung zu
Ordnet einen Benutzer seiner
Heimateinrichtung zu
Vertragspartner, Operator, rechtliche
Belange
Vertragspartner, Operator, rechtliche
Belange
Franck Borel, UB Freiburg 10
Wie funktioniert Shibboleth?
Benutzerin
Service-Provider
(4)(5) Benutzerin berechtigt?
(6)
(7)
(8) verweigertnein
(3)
(9)gestattet Zugriffja
Identity-ProviderIdentity-Provider
WAYFWAYF
Benutzerin bekannt?
ja
nein(2)
(1)
Franck Borel, UB Freiburg 11
Wie funktioniert Shibboleth?
Sicherheitsmechanismen SSL/TSL: Man-in-the-Middle, Message Modification,
Eavesdropping XMLsig: Message Modification Gültigkeitsdauer von Sitzungen, Bestätigungen,
Attributen (engl. Lifetime, TTL): Replay, DoS Metadaten: DoS, Message Modification Es werden keine personenbezogenen Daten übermittelt,
sondern Stellvertreter (engl. Handler): Eavesdropping
Franck Borel, UB Freiburg 12
Attribute
Attribute bilden die Grundlage für die Autorisierung und die Zugriffskontrolle in Shibboleth: Identity-Provider stellen die notwendigen Attribute
für ihre Benutzer zur Verfügung. Service-Provider werten die Attribute anhand ihrer
Regeln aus und gestatten oder verweigern je nachErgebnis den Zugriff.
Hierfür sind Absprachen zwischen Identity- und Service-Providern notwendig, die durch Verwendung eines einheitlichen Schemas vereinfacht werden!
Franck Borel, UB Freiburg 13
Attribute
Der „Shibboleth-Standard“
InCommon hat mit eduPerson den Standard für den Austausch von Attributen vorgegeben: http://www.incommonfederation.org/docs/policies/federatedattributes.html
Internationale Anbieter orientieren sich üblicherweise an diesem Standard.
Die meisten Service-Provider kommen dabei mit wenigen Attributen aus, typischerweise miteduPersonScopedAffiliation, eduPersonEntitlement, eduPersonTargetedID oder eduPersonPrincipalName
Anerkannter Attributwert für Standardlizenzmodelle: urn:mace:dir:entitlement:common-lib-terms
Franck Borel, UB Freiburg 14
Identity-Provider (IdP 1.3)
ApacheApache
mod_jkmod_jk
TomcatTomcat
Einrichtung (Identity-Provider)
IdP-ServletAttributfilter
Lokales Identity-ManagementLokales Identity-Management
Franck Borel, UB Freiburg 15
Identity-Provider
Arbeitsschwerpunkte IdP
Anbindung des IdP mit lokalem IdM: Authentifizierung: LDAP, SQL, diverse Bibliothekssysteme (BiBer, Libero)
und ReDI (JAAS) Autorisierung: LDAP, SQL, eigene Resolver
IdP für mehr als 50 ReDI-Teilnehmer: zunächst zentral installiert Übernahme in lokalen Betrieb zum Teil bereits in Arbeit (Heidelberg,
Konstanz, Stuttgart, Hohenheim, BSZ) Virtual Home Organization (VHO) Beratung und technische Unterstützung von Hochschulen,
Bibliotheksverbünden, ...
Franck Borel, UB Freiburg 16
ApacheApache
Service-Provider (SP)
mod_shib(shire)
Anbieter (Service-Provider)
shibd (shar)shibd (shar)
Ressourcen
Ressourcen
Zugriffskontrolle
Attributfilter
Franck Borel, UB Freiburg 17
Service-Provider
Arbeitsschwerpunkte
Anwendungen Shibboleth fähig machen: ReDI (Hauptentwicklung: integrierter WAYF) vascoda (IPS-Portalsoftware): bis Herbst 2006 Testumgebung mit
Hochschulbibliothekszentrum Köln und Informationszentrum Sozialwissenschaften Bonn aufbauen
Testumgebung CSA Bibliotheksanwendungen (z.B. Standortkatalog) Systemanwendungen (z.B. Nagios und Backup) interne Webseiten der UB Freiburg, ...
weitere (kommerzielle) Anbieter überzeugen Beratung und technische Unterstützung von Einrichtungen und
(kommerziellen) Anbietern
Franck Borel, UB Freiburg 18
„Migrationscheckliste“
Wie werden die Ressourcen bisher geschützt (Apache, Tomcat, eigenes Verfahren, ...)?
Existiert ein Sitzungsmanagement? Kann dieses weiter verwendet werden, z.B. indem
eine Sitzung über Shibboleth aufgebaut wird? Existiert eine Rechteverwaltung? Können die dafür notwendigen Informationen per
Shibboleth über Attribute bereitgestellt werden? Können die Identity-Provider die notwendigen
Attribute liefern?
Franck Borel, UB Freiburg 19
Ausblick - Föderation
Eine Föderation ist ein Zusammenschluss von Einrichtungen und (auch kommerziellen) Anbietern auf Basis gemeinsamer Richtlinien.
Eine Föderation schafft das für Shibboleth notwendige Vertrauensverhältnis zwischen Einrichtungen und Anbietern und einen organisatorischen Rahmen für den Austausch von Benutzerinformationen.
Unter Koordination des DFN wird eine deutschlandweite Föderation aufgebaut(DFN-AAI).
Franck Borel, UB Freiburg 20
Ansatz für Mannheim
Eigener IdP für ReDI mit LDAP Authentifizierung Welche Attribute kann LDAP liefern? Wie aktuell sind die Daten des LDAP? Wie sollen Walk-In-Patrons identifiziert werden?
Integration des IBplus-Servers in den Shibbolethprozess?
Elektra-Portal als Service-Provider Weitere Dienste der Uni Mannheim
shibbolethfähig machen (LMS)
Franck Borel, UB Freiburg 21
AAR-Webseite : http://aar.vascoda.de/ AAR-Team : info@aar.vascoda.de Nächster AAR-Workshop:
10. Oktober 2006 in Freiburg
Ich danke Ihnen für Ihre Aufmerksamkeit!
top related