130 likes | 230 Views
Der Rechteserver. Der Rechteserver. Der Rechteserver. Warum einen Rechteserver? „Über Shibboleth werden lediglich Benutzerattribute ermittelt und es bleibt dem Server des Dienstanbieters überlassen, aus diesen Attributen konkrete Rechte an den Ressourcen abzuleiten.„(Petra,Schröder 2005).
E N D
Der Rechteserver Der Rechteserver Stefan Brandl, Universität Regensburg 1
Der Rechteserver Warum einen Rechteserver? „Über Shibboleth werden lediglich Benutzerattribute ermittelt und es bleibt dem Server des Dienstanbieters überlassen, aus diesen Attributen konkrete Rechte an den Ressourcen abzuleiten.„(Petra,Schröder 2005) Stefan Brandl, Universität Regensburg 2
Der Rechteserver • Was soll der Rechteserver leisten? • Treffen und durchsetzen von Access-Control Aussagen. • Treffen von Rechteaussagen anhand von erhaltenen Attributen. • Zentrale Verwaltung von Lizenzaussagen. Stefan Brandl, Universität Regensburg 3
Der Rechteserver • Vorteile beim Einsatz eines Rechteserver: • Zentraler Anlaufpunkt für die Rechteverwaltung • Erleichterung der Rechteverwaltung für Anbieter • Erleichterung der Attributverwaltung für Einrichtungen • Eingabe und Kontrolle von Rechten durch Anbieter und Einrichtungen • Manifestation von Federationaufgaben Stefan Brandl, Universität Regensburg 4
Der Rechteserver Welche Informationen benötigt der Rechtesserver? • Wer will auf eine Ressource zugreifen? • Wer „besitzt“ die Ressource? • Um welche Ressource handelt es sich? Subjekt Provider Ressource Stefan Brandl, Universität Regensburg 5
Der Rechteserver Die Universitätsbibliothek Regensburg hält bei dem Datenbank-Anbieter FIZ-Technik ein Abonnement für die Datenbank BEFO.Der Datenbankserver von FIZ-Technik fragt am Rechteserver an, ob der Benutzer mit dem Attribut Mitglied der Universität Regensburg (de.uni-regensburg) das Recht hat auf die Datenbanken BEFO zuzugreifen. Stefan Brandl, Universität Regensburg 6
Der Rechteserver Eingliederung in Shibboleth-Prozess Authentifizierung beim IdP Attributermittlung beim IdP Ermittlung der Rechte beim Rechteserver Zugriff zur Ressource beim SP
Der Rechteserver Identity Provider Service Provider SHAR AA Webserver Ressource Com-Module Rechte Provider Data Connector Data Synchronisation Service Policy Administration Interface PDP (Policy Decision Point) Service Administration Interface Stefan Brandl, Universität Regensburg 8
Der Rechteserver • Informationsfluss: • Die AA sendet ein Statement mit einem Subjektattribut und der angeforderten Ressource an den SP. • Der Webserver des SP spricht das Kommunikationsmodul an und übergibt dabei die Attribute. • Das Kommunikationsmodul erstellt eine Anfrage aus erhaltenen Attributen und der Providerinformation. • Der PDP wertet die Anfrage aus und sendet eine Antwort. • Das Kommunikationsmodul prüft, ob es sich um eine Access-Control-Entscheidung handelt und setzt diese gegebenenfalls durch. • Ansonsten wird die Rechteaussage in den HTTP-Header geschrieben und der Verarbeitungsprozess des Webservers fortgesetzt. Stefan Brandl, Universität Regensburg 9
Der Rechteserver Realisierung der einzelnen Komponenten • Com-Modul realisiert als DSO-Modul für Apache. • PDP realisiert als Java-Komponente (JRE 1.4.1) • Policy Administration Interface als Webinterface unter PHP 4. • Data Synchronisation ??? • Data Connector ??? Stefan Brandl, Universität Regensburg 10
Der Rechteserver Stefan Brandl, Universität Regensburg 11
Der Rechteserver • Offene Fragen des Projektes: • Welche Sprache soll zur Kommunikation zwischen Kommunikationsmodul und Rechteserver dienen? • Ist eine Komponente zur Synchronisation von Ressourcendaten notwendig? • Welche Informationen soll oder kann ein Provider zusätzlich bieten um Rechteentscheidungen zu ermöglichen? • Sollen Namensräume für Rechteaussagen definiert werden? Stefan Brandl, Universität Regensburg 12
Der Rechteserver Kontakt: Gerald Schupfner: gerald.schupfner@bibliothek.uni-regensburg.de Stefan Brandl: stefan.brandl@bibliothek.uni-regensburg.de Stefan Brandl, Universität Regensburg 13