1 / 22

Shibboleth: Verteilte Authentifizierung, Autorisierung und Zugriffskontrolle für

Shibboleth: Verteilte Authentifizierung, Autorisierung und Zugriffskontrolle für elektronische Ressourcen Österreichischer Bibliothekartag Bregenz, 20. September 2006 Bernd Oberknapp, UB Freiburg E-Mail: bo@ub.uni-freiburg.de. Übersicht. Das Projekt AAR Warum AAR?

velvet
Download Presentation

Shibboleth: Verteilte Authentifizierung, Autorisierung und Zugriffskontrolle für

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Shibboleth: Verteilte Authentifizierung, Autorisierung und Zugriffskontrolle für elektronische Ressourcen Österreichischer Bibliothekartag Bregenz, 20. September 2006 Bernd Oberknapp, UB Freiburg E-Mail: bo@ub.uni-freiburg.de

  2. Übersicht • Das Projekt AAR • Warum AAR? • Was sind AAR und Shibboleth? • Wie funktioniert Shibboleth? • Warum Shibboleth? • Autorisierung und Zugriffskontrolle • Föderationen • Ausblick Bernd Oberknapp, UB Freiburg

  3. Das Projekt AAR • Partner: UB Freiburg und UB Regensburg • finanziert durch das BMBF (PT-NMB+F) • eingebettet in vascoda (http://www.vascoda.de/) • Laufzeit zunächst 3 Jahre bis Ende 2007: • 2 Jahre Entwicklungs- und Testphase mit der Regionalen Datenbank-Information Baden-Württemberg (ReDI) und vascoda als Pilotanwendungen • 1 Jahr Unterstützung von Einrichtungen und Anbietern bei der Einführung des Systems • Verlängerung bis Mitte 2008 vorgesehen Bernd Oberknapp, UB Freiburg

  4. Warum AAR? • Bibliotheken kaufen Nutzungslizenzen für vielfältige elektronische Informationsangebote:Zeitschriften, Datenbanken, Bücher, ... • Der Zugang zu den Informationsangeboten ist heute zum Teil nur eingeschränkt möglich(IP-Kontrolle, VPN, Proxies). • Die Einbindung der Informationsangebote in das Angebot der Bibliotheken und ihre Verknüpfung (Stichwort: Reference Linking) ist teilweise sehr aufwendig. Bernd Oberknapp, UB Freiburg

  5. Warum AAR? Ziel ist die Verbesserung und Vereinfachung des Zugangszu den Informationsangeboten: • Nutzer: Zugriff auf lizenzierte Inhalteunabhängig vom gewähltenArbeitsplatz und dem Zugriffsweg, Zugriffauf alle Angebote nach nur einmaligerAuthentifizierung (Single Sign-on) • Einrichtungen:freie Wahl des Authentifizierungssystems, möglichstgeringer Aufwand für die Rechteverwaltung • Anbieter: Schutz der Inhalte vor unberechtigtem Zugriff, einfacheres Angebot vonpersonalisierten Diensten Bernd Oberknapp, UB Freiburg

  6. Was ist AAR? • AAR ist eine Infrastruktur zur Authentifizierung,Autorisierung und Rechteverwaltung. • AAR ist ein Single Sign-on System, mit demverschiedene Ressourcen mit einem einzigen Logingenutzt werden können. • AAR basiert auf einem föderativen Ansatz:Die Einrichtung verwaltet und authentifiziertihre Mitglieder und der Anbieter kontrolliertden Zugang zu seinen Ressourcen. • AAR baut auf Shibboleth auf. • AAR ergänzt Shibboleth um einen Rechteserver. Bernd Oberknapp, UB Freiburg

  7. Was ist Shibboleth? • Shibboleth ist ein Internet2/MACE-Projekt(MACE = Middleware Architecture Committee for Education) • Shibboleth entwickelt eine • Architektur (Protokolle und Profile), • Richtlinien-Strukturen und eine • Open Source-Implementierung für den einrichtungsübergreifenden Zugriffauf geschützte (Web-)Ressourcen Bernd Oberknapp, UB Freiburg

  8. Woher kommt „Shibboleth“? Hintergrund ist eine Stelle aus dem Alten Testament, Buch Richter,Kapitel 12, Vers 5ff: Und die Gileaditer nahmen ein die Furt des Jordans vor Ephraim. Wenn nun sprachen die Flüchtigen Ephraims: Laß mich hinübergehen, so sprachen die Männer von Gilead zu ihm: Bist du ein Ephraiter? Wenn er dann antwortete: Nein, so hießen sie ihn sprechen: Schiboleth, so sprach er: Siboleth, und konnte es nicht recht reden. So griffen sie ihn und schlugen ihn an der Furt des Jordans, daß zu der Zeit von Ephraim fielen zweiundvierzigtausend. (Zitat http://www.spiritproject.de/orakel/magie/lyrik/bibel/richter.htm) Das Wort „Shibboleth“ war somit wohl das erste biometrische Autorisierungsverfahren! Bernd Oberknapp, UB Freiburg

  9. Wie funktioniert Shibboleth?(Erstkontakt) (1) Benutzerin bekannt? (2) nein (3) Lokalisierungsdienst (WAYF, IdP Discovery) (6) (5) Login Benutzerin berechtigt? (4) (9) (7) ja gestattet Zugriff nein verweigert (8) Benutzerin Heimateinrichtung (Identity-Provider) Anbieter (Service-Provider) Bernd Oberknapp, UB Freiburg

  10. Wie funktioniert Shibboleth?(Folgekontakt, gleicher Anbieter) (1) Benutzerin bekannt? (9) ja gestattet Zugriff nein verweigert (2) ja Benutzerin Benutzerin berechtigt? Heimateinrichtung (Identity-Provider) Anbieter (Service-Provider) Bernd Oberknapp, UB Freiburg

  11. Wie funktioniert Shibboleth?(Folgekontakt, anderer Anbieter) (1) Benutzerin bekannt? (2) nein Lokalisierungsdienst (WAYF, IdP Discovery) ja (6) Benutzerin berechtigt? (4) (9) (7) ja gestattet Zugriff nein verweigert (8) (3) Benutzerin Heimateinrichtung (Identity-Provider) Anbieter (Service-Provider) Bernd Oberknapp, UB Freiburg

  12. Warum Shibboleth? • einrichtungsübergreifendes Single Sign-On • Autorisierung und Zugriffskontrolle über Attribute mit der Möglichkeit zur anonymen/pseudonymenNutzung von Angeboten • basiert auf bewährter Software (Apache, Tomcat, OpenSSL) und Standards (SAML) • Aufwand für Integration mit vorhandenem Identity-Management und (webbasierten) Anwendungen ist in vielen Fällen vergleichsweise gering • weltweithohe Akzeptanz, auch bei kommerziellen Anbietern (Elsevier, JSTOR, EBSCO, CSA, Ovid, GENIOS, ...) Bernd Oberknapp, UB Freiburg

  13. Anwendungsmöglichkeiten • Zugang zu geschützten (kommerziellen) elektronischen Informationsangeboten: • Zeitschriften, Datenbanken, Bücher, ... • Portale: ReDI, vascoda, Virtuelle Fachbibliotheken, ... • Repositories: MyCoRe, EPrints, ... • DFG-Nationallizenzen • e-Learning • e-Science • Verwaltungssysteme • Grid-Computing Bernd Oberknapp, UB Freiburg

  14. Autorisierung und Zugriffskontrolle • Attribute bilden die Grundlage für die Autorisierung und Zugriffskontrolle in Shibboleth: • Identity-Provider stellen mit Attributen die notwendigen Informationen über ihre Benutzer zur Verfügung. • Service-Provider werten die Attribute anhand ihrerRegeln aus und gestatten oder verweigern je nachErgebnis den Zugriff. • Hierfür sind Absprachen zwischen Identity- und Service-Providern notwendig, die durch Verwendung eines einheitlichen Schemas vereinfacht werden! • Voraussetzung sind verlässliche Benutzerdaten, also ein funktionierendes lokales Identity-Management! Bernd Oberknapp, UB Freiburg

  15. Standard-Attribute • InCommon hat mit eduPerson den Standard für den Austausch von Attributen vorgegeben. • Andere Föderationen und internationale Anbieter orientieren sich üblicherweise an diesem Standard. • Die meisten Service-Provider kommen dabei mit wenigen Attributen aus, häufig verwendet werden: • eduPersonAffiliation: member, faculty, staff, student, ... • eduPersonEntitlement: beliebige Rechteinformationen, z.B. urn:mace:dir:entitlement:common-lib-terms • eduPersonPrincipalName: „Net-ID“ des Benutzers • eduPersonTargetedID: eindeutiges Pseudonym des Benutzers für einen Anbieter, z.B. für Personalisierung Bernd Oberknapp, UB Freiburg

  16. Attribute und Datenschutz • Attribute können personenbezogene Daten sein (Beispiele: Benutzerkennung, E-Mailadresse). • Personenbezogene Daten dürfen nach den (EU-) Datenschutzbestimmungen nur weitergegeben werden, wenn dies für die Erbringung des Dienstes notwendig ist und der Benutzer der Weitergabe ausdrücklichzustimmt. • Die Weitergabe der Attribute wird in Shibboleth über Attribute Release Policies auf Einrichtungs-, Gruppen- und Benutzerebene (sehr intuitiv über „Visitenkarten“ mit ShARPE/Autograph) gesteuert. Bernd Oberknapp, UB Freiburg

  17. Zugriffskontrolle mit Rechteserver Der Rechteserver • kann für die Zugriffskontrolleeingesetzt werden (auchunabhängig von Shibboleth) • ermöglicht die Abbildung vonAutorisierungsinformationenauf komplexe Nutzungsbe-dingungen wie Moving Walls,Embargos und sonstige (zeitliche) Beschränkungen • kann lokal (beim Anbieter) oderzentral eingesetzt werden • ist das Teilprojekt unseres Projektpartners UB Regensburg Rechteserver Bernd Oberknapp, UB Freiburg

  18. Was ist eine Föderation? • Eine Föderation ist ein Zusammenschluss von Einrichtungen und (auch kommerziellen) Anbietern auf Basis gemeinsamer Richtlinien. • Eine Föderation schafft das notwendige Vertrauens-verhältnis zwischen Einrichtungen und Anbietern und den organisatorischen Rahmen für den Austausch von Benutzerinformationen. • Unter Koordination des DFN wird eine deutschland-weite Föderation (DFN-AAI) als Dienst des DFN aufgebaut. Bernd Oberknapp, UB Freiburg

  19. Aufbau einer Föderation • Festlegung des Rahmens für die Föderation: • Gremien, Befugnisse, Vertragsprinzipien • Voraussetzungen für die Mitgliedschaft • Rechte und Pflichten der Föderation und der Mitglieder • Richtlinien (Policies), insbesondere für den Austausch von Attributen und für Zertifikate • Aufbau derBetriebsstrukturen: • Verwaltung der Metadaten (Informationen über Identity- und Service-Provider und Zertifikate – fundamental für Vertrauen und Sicherheit in der Föderation!) • zentrale Dienste (Lokalisierungsdienst, Testumgebung) • technischer Support Bernd Oberknapp, UB Freiburg

  20. Ausblick: AAR „ToDo-Liste“ • Aufbau der DFN-AAI in Kooperation mit dem DFN • Unterstützung von Hochschulen und Anbietern bei der Einführung von Shibboleth, insbesondere • Einführung von Shibboleth und Rechteserver für das vascoda-Portal und Virtuelle Fachbibliotheken, zunächst Pilotinstallation mit HBZ Köln (vacoda-Portal), IZ Sozialwissenschaften (Infoconnex) und DIPF (Fachportal Pädagogik) • Übergabe des Betriebs der Identity-Provider an die Hochschulen in Baden-Württemberg bzw. an das BSZ Konstanz (Hosting für Horizon-Bibliotheken) Bernd Oberknapp, UB Freiburg

  21. Ausblick: Shibboleth 2.x • Zeitrahmen für Shibboleth 2.0: Anfang 2007? • erweiterte Authentifizierungsfunktionalität • Single Logout (technisch schwer umzusetzen!) • Java Service-Provider • Schnittstelle für ShARPE/Autograph • Verbessertes IdP Discovery-Verfahren? • Delegation (WS Federation?) • Einbindung nicht webbasierter Dienste Bernd Oberknapp, UB Freiburg

  22. Weitere Informationen • AAR-Webseite: http://aar.vascoda.de/ • AAR-Team: info@aar.vascoda.de • Nächster AAR-Workshop:10. Oktober 2006 in Freiburg Vielen Dank für Ihre Aufmerksamkeit! Bernd Oberknapp, UB Freiburg

More Related