Präsentation herunterladen
Die Präsentation wird geladen. Bitte warten
1
Eine föderierte AA-Infrastruktur erleichtert die Integration von Internet Diensten
Thomas Lenggenhager SWITCH, Zürich Ato Ruppert UB Freiburg Berlin 29. Mai 2006 1
2
Übersicht Motivation AAI Der Lösungsansatz Shibboleth
Die Projekte SWITCHaai und AAR (DFN-AAI) Die Föderation Rechtliche und organisatorische Rahmenbedingungen Schritte zur Umsetzung 2
3
Single Sign-On im Wiki Vorteile Nachteile
Zeitersparnis, da nur noch eine einzige Authentifizierung notwendig ist, um auf alle Systeme zugreifen zu können Sicherheitsgewinn, da sich Benutzer nur noch ein Passwort merken müssen und nicht mehrere, die sie sich nicht merken können. Sicherheitsgewinn, da das Passwort nur einmal übertragen werden muss Nachteile Kann ein Angreifer die Identität eines Benutzers entwenden, so stehen ihm sofort alle Systeme, auf die dieser Benutzer Zugriff hat, zur Verfügung. Daher ist es sinnvoll, eine Form der biometrischen Authentifizierung zu verwenden, um potenziellen Angreifern das Eindringen zu erschweren. 3
4
SSO in deutschen Hochschulen und Forschungseinrichtungen?
Innerhalb von einzelnen Einrichtungen im Aufbau Einrichtungsübergreifend sind (mir) nur wenige Dienste bekannt. (SaxIS/Bildungsportal Sachsen, ReDI/BW) Vielerorts als „Vision“ erwähnt Die Voraussetzungen werden derzeit (fast) überall geschaffen: IdentityManagement-Systeme 4
5
Swiss Virtual Campus als AAI Motivator
Ziel des Swiss Virtual Campus E-Learning an Universitäten fördern Kurse mit hoher Qualität entsprechend jenen der besten Institutionen auf ihrem Gebiet. 2000 – 2003 Impulsprogramm ≥ 3 teilnehmende Hochschulen pro Projekt 50 Projekte ~ 40 Mio CHF (24 Mio EUR) Bedarf für koordinierte Authentisierung der Benutzer 2004 – 2007 Konsolidierungsprogramm
6
Wissenschaftportale zur Vermittlung von Informationen
Das Beispiel vascoda vascoda ist ein interdisziplinäres Internetportal für wissenschaftliche Information in Deutschland. vascoda vereinigt Internetdienste zahlreicher leistungsstarker wissenschaftlicher Bibliotheken und Informationseinrichtungen. Mit vascoda wird der Grundbaustein für eine "Digitale Bibliothek Deutschland" gelegt. An vascoda sind heute über 40 Einrichtungen mit fast 30 Angeboten beteiligt. 6
7
7
8
8
9
9
10
10
11
11
12
12
13
Was wollen wir erreichen?
Leitsätze zur Nutzung verteilter Informationen im Internet aus Sicht der Nutzer, Einrichtungen und Anbieter Nutzer: Der Zugriff auf lizenzierte Inhalte soll unabhängig vom gewählten Arbeitsplatz und dem Zugriffsweg möglich sein. Alle lizenzierten Inhalte sollten nach nur einmaliger Authentifizierung und Autorisierung (Single Sign-On) zur Verfügung stehen. Einrichtungen (etwa Hochschulen): Die Einrichtung soll ein beliebiges Authentifizierungssystem wählen dürfen. Der Aufwand der Rechteverwaltung soll möglichst gering sein. Anbieter: Die lizenzpflichtigen Inhalte der Anbieter sollen vor unberechtigten Zugriff geschützt werden. 13
14
Übersicht Motivation AAI Der Lösungsansatz Shibboleth
Die Projekte SWITCHaai und AAR (DFN-AAI) Die Föderation Rechtliche und organisatorische Rahmenbedingungen Schritte zur Umsetzung 14
15
Ohne Shibboleth Aufwändige Registrierung bei allen Ressourcen
Universität A Bibliothek B Universität C Stud. Admin. Web Mail e-Learning Literatur DB Research DB e-Zeitschriften Aufwändige Registrierung bei allen Ressourcen Unzuverlässige und veraltete Daten Verschiedene Login-Verfahren Viele Passworte Viele Ressourcen werden nicht geschützt Wenn geschützt, dann oft nur durch IP-Adressen The next two slides are a very brief introduction, why the SWITCHaai project was started some years ago. Here we have the situation without AAI. In this picture we have 2 Universities and a Library with each of them having several resources. Here, the user administration and authentication ….. This model has a couple of well known disadvantages …. Autorisierung Benutzerverwaltung Authentifizierung Ressource Passwort
16
Mit Shibboleth Registrierung bei den Ressourcen entfällt
Universität A Bibliothek B Universität C Shibboleth Stud. Admin. Web Mail e-Learning Literatur DB Research DB e-Zeitschriften Registrierung bei den Ressourcen entfällt Einheitliches Login-Verfahren Single-Sign-On Erschliesst Benutzern neue Ressourcen Standort-unabhängig This is the world with AAI. Here, the user administration and authentication is very close to the place where the users are known best: e.g. the central student administration of a universitiy. We call the orange boxes the AAI home organizations (in Shibboleth terms they are called Origins). In this situation the disadvantages listed before have disappeared. So, … Autorisierung Benutzerverwaltung Authentifizierung Ressource Passwort
17
Shibboleth Federated Identity Management Architektur und Implementation Open Source Lizenz Basiert auf SAML: Security Assertion Markup Language Wird durch Internet2 entwickelt
18
Woher kommt „Shibboleth“?
Hintergrund ist eine Stelle aus dem Alten Testament, Buch Richter Kapitel 12 Vers 5ff: Und die Gileaditer nahmen ein die Furt des Jordans vor Ephraim. Wenn nun sprachen die Flüchtigen Ephraims: Laß mich hinübergehen, so sprachen die Männer von Gilead zu ihm: Bist du ein Ephraiter? Wenn er dann antwortete: Nein, so hießen sie ihn sprechen: Schiboleth, so sprach er: Siboleth, und konnte es nicht recht reden. So griffen sie ihn und schlugen ihn an der Furt des Jordans, daß zu der Zeit von Ephraim fielen zweiundvierzigtausend. Das Wort „Shibboleth“ ist somit wohl das erste biometrische Autorisierungsverfahren gewesen (Zitat 18
19
Wie funktioniert Shibboleth? (Erstkontakt)
Heimateinrichtung Benutzerin Anbieter 1 authentifiziert? (1) (3) ja nein Lokalisierungsdienst WAYF (2) (4) Benutzerin berechtigt? (6) (5) (7) (9) gestattet Zugriff ja (8) verweigert nein 19
20
Wie funktioniert Shibboleth? (Folgekontakt gleicher Anbieter)
Heimateinrichtung Benutzerin Anbieter 1 authentifiziert? (1) ja nein (2) Benutzerin berechtigt? (9) gestattet Zugriff ja verweigert nein 20
21
Wie funktioniert Shibboleth? (Folgekontakt neuer Anbieter)
Heimateinrichtung Benutzerin Anbieter 2 authentifiziert? (1) ja nein Lokalisierungsdienst (2) (4) Benutzerin berechtigt? (6) (7) (9) gestattet Zugriff ja (8) verweigert nein 21
22
Federated Identity Management
Bestehende digitale Identitäten können auch ausserhalb einer Organisation für Authentisierung und Autorisierung genutzt werden Bestehendes Vertrauen Föderation Heim Organisation Ressourcen SP Service Providers IdP Identity Providers
23
Identity Management Kein Federated Identity Management ohne lokales Identity Management ! Damit eine Universität AAI sinnvoll nutzen kann benötigt sie ein lokales Identity Management Prozesse für Eintritte / Mutationen / Austritte Datenzusammenführung (Meta-Directory) Verzeichnisdienst
24
Identity Provider Integration
Unterstützte Schnittstellen: Authentisierungs System Alle die mit Apache oder Tomcat integriert werden können Unter Windows: Kerberos AuthN mit Active Directory Windows AuthN mit IIS Benutzerverzeichnis JNDI (z.B. OpenLDAP, AD) JDBC (SQL Datenbanken) Benutzer Verzeichnis Authentisierungs System AAI Identity Provider mit AAI Der Shibboleth IdP ist in Java geschrieben AuthN = Authentisierung
25
Service Provider Integration
Normalfall Web Server: Apache 1 & 2 Tomcat via mod_jk Microsoft IIS Autorisierung (AuthZ) Anwendungen werden durch Regeln geschützt Anwendungen verwenden die Benutzer-Attribute zur Zugangsbeschränkung AAI Web Server Web Anwen- dung Service Provider mit AAI Der Shibboleth SP ist in C++ geschrieben Shibboleth 2 bringt zusätzlich Java SP
26
SAML Security Assertion Markup Language
OASIS Standard basiert auf XML definiert das Format für Aussagen zu Identitäten Attribute Berechtigungen SAML 2.0 (2005) basiert auf Praxis-Erfahrung von Liberty Alliance ID-FF Identity Federation Framework Shibboleth Steigende Akzeptanz
27
Interoperabilität Koordination ist das non-plus-ultra !
Bilaterale Interoperabilität ist möglich, skaliert aber nicht Bestehendes Vertrauen zwischen Organisationen soll für AAI gesichert werden: Verträge, Vereinbarungen und Regeln Technische Vorkehren: Verwendete Standards Digitale Server Zertifikate (X.509) für geschützte Kommunikation Konfigurationsdaten der akzeptierten Partner Interpretation der auszutauschenden Daten Persönliches Netzwerk der Beteiligten
28
Stand Shibboleth International
Etablierte nationale Föderation Finnland (HAKA), Schweiz (SWITCHaai), USA (InCommon) Nationale Föderation im Werden im Aufbau UK (Access Management Federation) in Vorbereitung Australien (MAMS Testbed) Dänemark, Deutschland, Schweden (SWIF) Koordination um regionale Aktivitäten Belgien, Frankreich (CRU) Wachsendes Interesse in weiteren Ländern, aber noch keine Entscheidungen bekannt
29
AAI neben Shibboleth? Etablierte nationale Föderation
Kroatien Proprietäre Lösung um LDAP Niederlande (SURFnet) Verwendet A-Select, kann nun auf Shibboleth SP zugreifen Norwegen (FEIDE) Verwendet Moria, wechselt zu SAML 2 (Sun Identity Provider), Zugriff auf Shibboleth SP geplant Spanien (RedIRIS) Verwendet PAPI, Zugriff auf Shibboleth SP geplant
30
Unterstützung von Shibboleth bei Dienstanbietern
Index of Shibboleth-Enabled Applications and Services (Quelle: internet2) in Deutschland: Infoconnex vascoda ReDI SaxIS FIZ-Technik FIZ-Karlsruhe ArtSTOR Blackboard Bodington.org CSA Darwin Streaming Server Digitalbrain PLC eAcademy EBSCO Publishing Elsevier Science Direct ExLibris-SFX Fedora Higher Markets Horde Hupnet ILIAS JSTOR Moodle Napster NSDL OCLC OLAT Ovid Technologies Inc. Proquest Information and Learning Serials Solutions SYMPA ThomsonGale TWiki Useful Utilities-EZproxy Web Assign WebCT 30
31
Übersicht Motivation AAI Der Lösungsansatz Shibboleth
Die Projekte SWITCHaai und AAR (DFN-AAI) Die Föderation Rechtliche und organisatorische Rahmenbedingungen Schritte zur Umsetzung 31
32
Das SWITCHaai Projekt Die Stiftung SWITCH SWITCHaai Projektverlauf
Projektstand Die Virtuelle Heim Organisation – VHO Projektfinanzierung
33
Die Stiftung SWITCH SWITCH ist eine Stiftung des Bundes und der Hochschul-Kantone Teleinformatikdienste für Lehre und Forschung Netzwerk: Planung & Betrieb des Backbones NetServices: e-Conferencing & Content Delivery Security: CERT, PKI & Middleware (AAI, Grid & Roaming) Domain Registration für .ch und .li Total 70 Mitarbeiter Outsourcing für Helpdesk und Billing der Domain Registration
34
SWITCHaai Projektverlauf
2001 2002 2003 2004 2005 2006 2007 Studie Pilot Implementation Produktiver Betrieb Studie, Planung … Architektur Evaluation Shibboleth Now, having the vision of such an AAI in mind, SWITCH started an AAI project about 3 years ago. It all began with the AAI Study. In this study,an working group composed of participants from the Swiss Universities as well as SWITCH looked at the feasibility of an AAI inSwitzerland from several points of view: organisational, technical, legal, financial, etc. The result was, that building up such an AAI it seemed feasible. After that, the pilot phase was startet. The goal of the pilot phase was proofing feasibility and also evaluating technologies. We started with two technologies: PAPI from the Spanish NREN RedIRIS and Shibboleth from Internet 2. At a later phase, also TEQUILA, a development of the EPFL in Switzerland joined the list of candidates. At the Beginning of 2003, we made a technology evaluation. The winner Was Shibboleth. Finally Shibboleth was the winner, mainly due to it’s convincing architecture the large community that stand behind it the contacts of Internet2 with content providers -the fact, that it relies on standards, such as SAML At that point in time, the decision was not easy. However, we have never regret it. Nov 1999: Term AAI das erste Mal in einem Dokument verwendet Nov 2000: AAI Workshop
