1 / 20

Das Projekt AAR Authentifizierung, Autorisierung und Rechteverwaltung

Das Projekt AAR Authentifizierung, Autorisierung und Rechteverwaltung Vorstellung des Projektes und Informationsaustausch Saarbrücken, 03. Mai 2006 Franck Borel, UB Freiburg. Übersicht. Das Projekt AAR Was ist AAR ? Wie funktioniert Shibboleth ? Was ist eine Föderation ?

patia
Download Presentation

Das Projekt AAR Authentifizierung, Autorisierung und Rechteverwaltung

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Das Projekt AAR Authentifizierung, Autorisierung und Rechteverwaltung Vorstellung des Projektes und Informationsaustausch Saarbrücken, 03. Mai 2006 Franck Borel, UB Freiburg

  2. Übersicht • Das Projekt AAR • Was ist AAR? • Wie funktioniert Shibboleth? • Was ist eine Föderation? • Shibboleth in Aktion Franck Borel, UB Freiburg 2

  3. Das Projekt AAR • Partner: UB Freiburg und UB Regensburg • finanziert durch das BMBF (PT-NMB+F ) • eingebettet in vascoda • Laufzeit 3 Jahre bis Ende 2007: • 2 Jahre Entwicklungs- und Testphase mitReDI und vascoda als Pilotanwendungen • 1 Jahr Unterstützung von Einrichtungen und Anbietern bei der Einführung des Systems Franck Borel, UB Freiburg 3

  4. Das Projekt AAR Was wollen wir erreichen? • Nutzer • Der Zugriff auf lizenzierte Inhalte soll unabhängig vom gewählten Arbeitsplatz und dem Zugriffsweg möglich sein. • Alle lizenzierten Inhalte sollten nach nur einmaliger Anmeldung zur Verfügung stehen (Single Sign-On). • Einrichtungen (etwa Hochschulen) • Die Einrichtung soll ein beliebiges Authentifizierungssystem wählen dürfen. Der Aufwand der Rechteverwaltung soll möglichst gering sein. • Anbieter • Die lizenzpflichtigen Inhalte der Anbieter sollen vor unberechtigten Zugriff geschützt werden. Franck Borel, UB Freiburg 4

  5. Was ist AAR? • AAR ist eine Infrastruktur zur Authentifizierung, Autorisierung und Rechteverwaltung • AAR ist ein Single Sign-On System, mit dem verschiedene Ressourcen mit einer einzigen Anmeldung genutzt werden können • AAR basiert auf einem föderativen Ansatz:Die Einrichtung verwaltet und authentifiziertihre Mitglieder und der Anbieter kontrolliertden Zugang zu seinen Ressourcen • AAR baut auf Shibboleth(Internet2-Projekt) auf • AAR ergänzt Shibboleth um einen Rechteserver Franck Borel, UB Freiburg 5

  6. Woher kommt „Shibboleth“? • Hintergrund ist eine Stelle aus dem Alten Testament, Buch Richter Kapitel 12 Vers 5ff: • Und die Gileaditer nahmen ein die Furt des Jordans vor Ephraim. Wenn nun sprachen die Flüchtigen Ephraims: Laß mich hinübergehen, so sprachen die Männer von Gilead zu ihm: Bist du ein Ephraiter? Wenn er dann antwortete: Nein, so hießen sie ihn sprechen: Schiboleth, so sprach er: Siboleth, und konnte es nicht recht reden. So griffen sie ihn und schlugen ihn an der Furt des Jordans, dass zu der Zeit von Ephraim fielen zweiundvierzigtausend. • Shibboleth ist somit wohl das erste biometrische Autorisierungsverfahren gewesen Franck Borel, UB Freiburg 6

  7. Shibboleth baut auf folgende Standards auf: SAML 1.1 (später 2.0) HTTP/HTTPS XML XML Schema (XSD) XML Signatur (XMLDisg) SOAP Wie funktioniert Shibboleth? Franck Borel, UB Freiburg 7

  8. Wie funktioniert Shibboleth? Heimat-einrichtung mit Identity-Provider Anbieter mit Service-Provider Föderation Ordnet einen Benutzer seiner Heimateinrichtung zu WAYF Ressourcen-verwaltung, Zugangs-berechtigung Authentifizierung Autorisierung Vertragspartner, Operator, rechtliche Belange Franck Borel, UB Freiburg 8

  9. Wie funktioniert Shibboleth? (1) Benutzerin bekannt? (3) (2) nein ja (6) Benutzerin (5) Benutzerin berechtigt? (4) (9) Identity-Provider (7) Zugriff gestattet ja (8) nein verweigert Service-Provider WAYF Franck Borel, UB Freiburg 9

  10. Wie funktioniert Shibboleth? (4) 302 (3) GET (8) 302 (7) 200 (5) GET (6) POST (10) 200 (9) GET (2) 302 (1) GET Szenario: Erstkontakt ohne WAYF mit Browser/Artifact Identity Provider Authentifizierung Benutzer Attribute Authority (AA) Artifact Resolution Service SSO Dienst Assertion Consumer Service Access Control Target Resource Service Provider Franck Borel, UB Freiburg 10

  11. Wie funktioniert Shibboleth? • Sicherheitsmechanismen • SSL/TSL: Man-in-the-Middle, Message Modification, Eavesdropping • XMLsig: Message Modification • Gültigkeitsdauer von Sitzungen, Bestätigungen, Attributen (engl. Lifetime, TTL): Replay, DoS • Metadaten: DoS, Message Modification • Es werden keine personenbezogenen Daten übermittelt, sondern Stellvertreter (engl. Handler): Eavesdropping Franck Borel, UB Freiburg 11

  12. Wie funktioniert Shibboleth? • Authentifizierung: (Fast) beliebiges Verfahren (z.B. LDAP, Datenbanken, Kerberos, IBplus) • Autorisierung und Zugriffskontrolle: Erfolgt über Attribute Franck Borel, UB Freiburg 12

  13. Wie funktioniert Shibboleth? • Autorisierung: • Attribute bilden die Grundlage für Autorisierung und Zugriffskontrolle in Shibboleth: • Identity-Provider stellen die notwendigen Attributefür ihre Benutzer zur Verfügung. • Service-Provider werten die Attribute anhand ihrerRegeln aus und gestatten oder verweigern je nachErgebnis den Zugriff. • Hierfür sind Absprachen zwischen Identity- und Service-Providern notwendig, die durch Verwendung eines einheitlichen Vokabulars vereinfacht werden! Franck Borel, UB Freiburg 13

  14. Wie funktioniert Shibboleth? • Autorisierung: • Attribute können personenbezogene Daten sein (Beispiel: E-Mailadresse). • Bei Verwendung personenbezogener Daten sind die (EU-)Datenschutzbestimmungen zu beachten! • Personenbezogene Daten dürfen nur dann weitergegeben werden, wenn dies • für die Erbringung des Dienstes notwendig ist und • der Benutzer der Weitergabe ausdrücklichzustimmt. Franck Borel, UB Freiburg 14

  15. Wie funktioniert Shibboleth? • Autorisierung: • Schemata legen eine bestimmte Menge von Attributen, die zulässigen Werte und deren Bedeutung fest. • Die für Shibboleth verwendeten Schemata basieren üblicherweise auf eduPerson: • eduPerson (InCommon) • SwissEduPerson (SWITCH) • funetEduPerson (HAKA) • Auch die deutschlandweite Föderation wird eduPerson als Basis für den Austausch von Attributen verwenden. • Für einen Datenaustausch auf europäischer Ebene könnte SCHAC die Grundlage sein. Franck Borel, UB Freiburg 15

  16. Was ist eine Föderation? Föderation Einrichtung en Anbieter Franck Borel, UB Freiburg 16

  17. Was ist eine Föderation? • Eine Föderation ist ein Zusammenschluss von Einrichtungen und (auch kommerziellen) Anbietern auf Basis gemeinsamer Richtlinien. • Eine Föderation schafft das für Shibboleth notwendige Vertrauensverhältnis zwischen Einrichtungen und Anbietern und einen organisatorischen Rahmen für den Austausch von Benutzerinformationen. • DFN und AAR bauen gemeinsam eine deutschlandweite Föderation auf Franck Borel, UB Freiburg 17

  18. Was ist eine Föderation? Aufgaben einer Föderation sind: • Vorgabe von Richtlinien (Policies) • Verwaltung der Metadaten der Mitglieder • Betrieb des Lokalisierungsdienstes • Betrieb einer Zertifizierungsstelle • Technischer Support Franck Borel, UB Freiburg 18

  19. Shibboleth in Aktion • Ein paar Beispiele zu Diensten, die shibboleth-fähig gemacht worden sind: • ReDI (UB Freiburg): Produktionsphase • Wiki (Ohio University): Produktionsphase • Virtuelle Lernumgebung (Bodington.org): Produktionsphase • Quicktime Streaming Server (Darwin Streaming Server): Produktionsphase • Datenbank (EBSCO Publishing): Produktionsphase • Napster: Produktionsphase • E-Learning (OLAT Schweiz): Produktionsphase Franck Borel, UB Freiburg 19

  20. Ich danke Ihnen für Ihre Aufmerksamkeit! Fragen? Franck Borel, UB Freiburg 20

More Related