Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

1 Eine föderierte AA-Infrastruktur erleichtert die Integration von Internet Diensten Ato Ruppert UB Freiburg Berlin 29. Mai 2006 Thomas Lenggenhager SWITCH,

Ähnliche Präsentationen


Präsentation zum Thema: "1 Eine föderierte AA-Infrastruktur erleichtert die Integration von Internet Diensten Ato Ruppert UB Freiburg Berlin 29. Mai 2006 Thomas Lenggenhager SWITCH,"—  Präsentation transkript:

1 1 Eine föderierte AA-Infrastruktur erleichtert die Integration von Internet Diensten Ato Ruppert UB Freiburg Berlin 29. Mai 2006 Thomas Lenggenhager SWITCH, Zürich

2 2 Übersicht Motivation AAI Der Lösungsansatz Shibboleth Die Projekte SWITCHaai und AAR (DFN-AAI) Die Föderation Rechtliche und organisatorische Rahmenbedingungen Schritte zur Umsetzung

3 3 Single Sign-On im Wiki Vorteile –Zeitersparnis, da nur noch eine einzige Authentifizierung notwendig ist, um auf alle Systeme zugreifen zu können –Sicherheitsgewinn, da sich Benutzer nur noch ein Passwort merken müssen und nicht mehrere, die sie sich nicht merken können. –Sicherheitsgewinn, da das Passwort nur einmal übertragen werden muss Nachteile –Kann ein Angreifer die Identität eines Benutzers entwenden, so stehen ihm sofort alle Systeme, auf die dieser Benutzer Zugriff hat, zur Verfügung. Daher ist es sinnvoll, eine Form der biometrischen Authentifizierung zu verwenden, um potenziellen Angreifern das Eindringen zu erschweren.

4 4 SSO in deutschen Hochschulen und Forschungseinrichtungen? Innerhalb von einzelnen Einrichtungen im Aufbau Einrichtungsübergreifend sind (mir) nur wenige Dienste bekannt. (SaxIS/Bildungsportal Sachsen, ReDI/BW) Vielerorts als „Vision“ erwähnt Die Voraussetzungen werden derzeit (fast) überall geschaffen: IdentityManagement-Systeme

5 2006 © SWITCH 5 Swiss Virtual Campus als AAI Motivator Ziel des Swiss Virtual Campus E-Learning an Universitäten fördern Kurse mit hoher Qualität entsprechend jenen der besten Institutionen auf ihrem Gebiet. Kurse mit hoher Qualität entsprechend jenen der besten Institutionen auf ihrem Gebiet – 2003Impulsprogramm 2000 – 2003Impulsprogramm ≥ 3 teilnehmende Hochschulen pro Projekt 50 Projekte ~ 40 Mio CHF (24 Mio EUR)  Bedarf für koordinierte Authentisierung der Benutzer 2004 – 2007Konsolidierungsprogramm 2004 – 2007Konsolidierungsprogramm 

6 6 Wissenschaftportale zur Vermittlung von Informationen Das Beispiel vascoda vascoda ist ein interdisziplinäres Internetportal für wissenschaftliche Information in Deutschland. vascoda vereinigt Internetdienste zahlreicher leistungsstarker wissenschaftlicher Bibliotheken und Informationseinrichtungen. Mit vascoda wird der Grundbaustein für eine "Digitale Bibliothek Deutschland" gelegt. An vascoda sind heute über 40 Einrichtungen mit fast 30 Angeboten beteiligt.

7 7

8 8

9 9

10 10

11 11

12 12

13 13 Leitsätze zur Nutzung verteilter Informationen im Internet aus Sicht der Nutzer, Einrichtungen und Anbieter Nutzer: Der Zugriff auf lizenzierte Inhalte soll unabhängig vom gewählten Arbeitsplatz und dem Zugriffsweg möglich sein. Alle lizenzierten Inhalte sollten nach nur einmaliger Authentifizierung und Autorisierung (Single Sign-On) zur Verfügung stehen. Einrichtungen (etwa Hochschulen): Die Einrichtung soll ein beliebiges Authentifizierungssystem wählen dürfen. Der Aufwand der Rechteverwaltung soll möglichst gering sein. Anbieter: Die lizenzpflichtigen Inhalte der Anbieter sollen vor unberechtigten Zugriff geschützt werden. Was wollen wir erreichen?

14 14 Übersicht Motivation AAI Der Lösungsansatz Shibboleth Die Projekte SWITCHaai und AAR (DFN-AAI) Die Föderation Rechtliche und organisatorische Rahmenbedingungen Schritte zur Umsetzung

15 2006 © SWITCH 15 Autorisierung Benutzerverwaltung Authentifizierung Ressource Passwort Aufwändige Registrierung bei allen Ressourcen Unzuverlässige und veraltete Daten Verschiedene Login-Verfahren Viele Passworte Viele Ressourcen werden nicht geschützt Wenn geschützt, dann oft nur durch IP-Adressen Ohne Shibboleth Universität A Bibliothek B Universität C Stud. Admin. Web Mail e-Learning Literatur DB e-Learning Research DB e-Zeitschriften

16 2006 © SWITCH 16 Autorisierung Benutzerverwaltung Authentifizierung Ressource Passwort Registrierung bei den Ressourcen entfällt Einheitliches Login-Verfahren Single-Sign-On Erschliesst Benutzern neue Ressourcen Standort-unabhängig Mit Shibboleth Universität A Bibliothek B Universität C Shibboleth Stud. Admin. Web Mail e-Learning Literatur DB e-Learning Research DB e-Zeitschriften

17 2006 © SWITCH 17 Shibboleth Federated Identity Management Architektur und Implementation Open Source Lizenz Basiert auf SAML: Security Assertion Markup Language Wird durch Internet2 entwickelt 

18 18 Woher kommt „Shibboleth“? Hintergrund ist eine Stelle aus dem Alten Testament, Buch Richter Kapitel 12 Vers 5ff: Und die Gileaditer nahmen ein die Furt des Jordans vor Ephraim. Wenn nun sprachen die Flüchtigen Ephraims: Laß mich hinübergehen, so sprachen die Männer von Gilead zu ihm: Bist du ein Ephraiter? Wenn er dann antwortete: Nein, so hießen sie ihn sprechen: Schiboleth, so sprach er: Siboleth, und konnte es nicht recht reden. So griffen sie ihn und schlugen ihn an der Furt des Jordans, daß zu der Zeit von Ephraim fielen zweiundvierzigtausend. Das Wort „Shibboleth“ ist somit wohl das erste biometrische Autorisierungsverfahren gewesen (Zitat

19 19 Heimateinrichtung Benutzerin Anbieter 1 authentifiziert? (1) (4) (5) Benutzerin berechtigt? (6) (7) (8) verweigert nein ja nein Lokalisierungsdienst WAYF (2) (3) Wie funktioniert Shibboleth? (Erstkontakt) (9) gestattet Zugriff ja

20 20 Heimateinrichtung Benutzerin Anbieter 1 authentifiziert ? (1) verweigert nein ja nein (2) Wie funktioniert Shibboleth ? (Folgekontakt gleicher Anbieter) (9) gestattet Zugriff ja Benutzerin berechtigt?

21 21 Heimateinrichtung Benutzerin Anbieter 2 authentifiziert ? (1) (4) Benutzerin berechtigt? (6) (7) (8) verweigert nein ja nein Lokalisierungsdienst (2) Wie funktioniert Shibboleth ? (Folgekontakt neuer Anbieter) (9) gestattet Zugriff ja

22 2006 © SWITCH 22 Bestehende digitale Identitäten können auch ausserhalb einer Organisation für Authentisierung und Autorisierung genutzt werden Föderation Heim Organisation Ressourcen Bestehendes Vertrauen SPService Providers IdPIdentity Providers Federated Identity Management

23 2006 © SWITCH 23 Identity Management Kein Federated Identity Management ohne lokales Identity Management ! Damit eine Universität AAI sinnvoll nutzen kann benötigt sie ein lokales Identity Management Prozesse für Eintritte / Mutationen / Austritte Datenzusammenführung (Meta-Directory) Verzeichnisdienst

24 2006 © SWITCH 24 Unterstützte Schnittstellen: Authentisierungs System Alle die mit Apache oder Tomcat integriert werden können Unter Windows: Kerberos AuthN mit Active Directory Windows AuthN mit IIS Benutzerverzeichnis JNDI (z.B. OpenLDAP, AD) JDBC (SQL Datenbanken) Identity Provider Integration AuthN = AuthentisierungDer Shibboleth IdP ist in Java geschrieben Benutzer Verzeichnis Authentisierungs System AAI Identity Provider mit AAI

25 2006 © SWITCH 25 Service Provider Integration Normalfall Web Server: Apache 1 & 2 Tomcat via mod_jk Microsoft IIS Autorisierung (AuthZ) Anwendungen werden durch Regeln geschützt Anwendungen verwenden die Benutzer-Attribute zur Zugangsbeschränkung AAI Web Server Web Anwen- dung Service Provider mit AAI Der Shibboleth SP ist in C++ geschrieben Shibboleth 2 bringt zusätzlich Java SP

26 2006 © SWITCH 26 SAML Security Assertion Markup Language OASIS Standard basiert auf XML definiert das Format für Aussagen zu Identitäten Attribute Berechtigungen SAML 2.0 (2005) basiert auf Praxis-Erfahrung von Liberty Alliance ID-FF Identity Federation Framework Shibboleth Steigende Akzeptanz

27 2006 © SWITCH 27 Interoperabilität Koordination ist das non-plus-ultra ! Bilaterale Interoperabilität ist möglich, skaliert aber nicht Bestehendes Vertrauen zwischen Organisationen soll für AAI gesichert werden: Verträge, Vereinbarungen und Regeln Technische Vorkehren: Verwendete Standards Digitale Server Zertifikate (X.509) für geschützte Kommunikation Konfigurationsdaten der akzeptierten Partner Interpretation der auszutauschenden Daten Persönliches Netzwerk der Beteiligten

28 2006 © SWITCH 28 Stand Shibboleth International Etablierte nationale Föderation Finnland (HAKA), Schweiz (SWITCHaai), USA (InCommon) Nationale Föderation im Werden im Aufbau UK (Access Management Federation) in Vorbereitung Australien (MAMS Testbed) Dänemark, Deutschland, Schweden (SWIF) Koordination um regionale Aktivitäten Belgien, Frankreich (CRU) Wachsendes Interesse in weiteren Ländern, aber noch keine Entscheidungen bekannt

29 2006 © SWITCH 29 AAI neben Shibboleth? Etablierte nationale Föderation Kroatien Proprietäre Lösung um LDAP Niederlande (SURFnet) Verwendet A-Select, kann nun auf Shibboleth SP zugreifen Norwegen (FEIDE) Verwendet Moria, wechselt zu SAML 2 (Sun Identity Provider), Zugriff auf Shibboleth SP geplant Spanien (RedIRIS) Verwendet PAPI, Zugriff auf Shibboleth SP geplant

30 30 Unterstützung von Shibboleth bei Dienstanbietern ArtSTOR Blackboard Bodington.org CSA Darwin Streaming Server Digitalbrain PLC eAcademy EBSCO Publishing Elsevier Science Direct ExLibris-SFX Fedora Higher Markets Horde Hupnet ILIAS JSTOR Moodle Napster NSDL OCLC OLAT Ovid Technologies Inc. Proquest Information and Learning Serials Solutions SYMPA ThomsonGale TWiki Useful Utilities-EZproxy Web Assign WebCT –Infoconnex –vascoda –ReDI –SaxIS –FIZ-Technik –FIZ-Karlsruhe Index of Shibboleth-Enabled Applications and Services (Quelle: internet2) in Deutschland:

31 31 Übersicht Motivation AAI Der Lösungsansatz Shibboleth Die Projekte SWITCHaai und AAR (DFN-AAI) Die Föderation Rechtliche und organisatorische Rahmenbedingungen Schritte zur Umsetzung

32 2006 © SWITCH 32 Das SWITCHaai Projekt Die Stiftung SWITCH SWITCHaai Projektverlauf Projektstand Die Virtuelle Heim Organisation – VHO Projektfinanzierung

33 2006 © SWITCH 33 Die Stiftung SWITCH SWITCH ist eine Stiftung des Bundes und der Hochschul-Kantone Teleinformatikdienste für Lehre und Forschung Netzwerk: Planung & Betrieb des Backbones NetServices: e-Conferencing & Content Delivery Security: CERT, PKI & Middleware (AAI, Grid & Roaming) Domain Registration für.ch und.li Total 70 Mitarbeiter Outsourcing für Helpdesk und Billing der Domain Registration

34 2006 © SWITCH Implementation PilotProduktiver BetriebStudie Architektur Evaluation  Shibboleth Studie, Planung … SWITCHaai Projektverlauf Nov 1999: Term AAI das erste Mal in einem Dokument verwendet Nov 2000: AAI Workshop

35 2006 © SWITCH 35 SWITCHaai Identity Providers Abdeckung: 140’000 Benutzer (> 70%) der CH Hochschulen ETH Zürich Universität Zürich SWITCH Université de Genève Zürcher Hochschule Winterthur Universität Luzern Université de Fribourg Universität Bern Université de Lausanne Université de Neuchâtel Universitätsspital Zürich EPFL SUPSI Universität St. Gallen Pädagogische Hochschule Bern Fachhochschule Zentralschweiz HES-SO VHO IdP in Betrieb IdP im Aufbau VHO = Virtual Home Organization Università della Svizzera italiana Universität Basel

36 2006 © SWITCH 36 Service Provider in SWITCHaai E-LearningBibliotheken Andere Web Anwendungen DOIT VITELS WebCT Vista AD Learn EZproxy kommerziell ScienceDirect JSTOR WebCT Campus OLAT Moodle BSCW Blackboard SwissLex EBSCO ILIAS Bundesgericht dokeos RERO Microsoft eConf-Portal CompiCampus IS-Academia uPortal jahia Lenya SAP-CM Fedora EVA WebSMS

37 2006 © SWITCH 37 Projektfinanzierung Aufwand PilotRealisierung Betrieb SWITCH & Universitäten Bundesmittel Tarife Grafik ist qualitativ, nicht quantitativ

38 38 Das Projekt AAR (UB Freiburg, UB Regensburg) Projektauftrag BMBF (PT-NMB+F ):(PT-NMB+F ) Es werden die notwendigen Komponenten und kommunikations- prozeduren für Authentifizierungsserver, Autorisierungsserver und Rechteserver definiert, entwickelt und im realen Betrieb eingesetzt und erprobt (mit Shibboleth). Weiterhin wird ein Organisationsmodell erarbeitet, dass den weiteren Betrieb nach der Projektlaufzeit sicherstellt. –Zeitraum: – –Kosten: rd ,- Eur (2 Stellen + Sachmittel) Auftragserweiterung für 2007: Aufbau einer Föderation zum Betrieb der AAI gemeinsam mit dem DFN.

39 39 Zeitplan des Projekts AAR Abstimmung mit vascoda Entwicklungs-umgebung Analyse Abstimmung Implemen-tierung Realbetrieb vascoda Workshops Dokumentation Aufbau Föderation Projektmonat 17 (Mai 2006) 29. Mai 2006

40 40 Übersicht Motivation AAI Der Lösungsansatz Shibboleth Die Projekte SWITCHaai und AAR (DFN-AAI) Die Föderation Rechtliche und organisatorische Rahmenbedingungen Schritte zur Umsetzung

41 2006 © SWITCH 41 Was ist eine Föderation? Gruppe von Organisationen Akzeptieren gegenseitig Bestätigungen zu Identitäten Beschreibende Aussagen (Attribute) Befolgen gemeinsame Regeln Sind selbstständig Nutzen gemeinsame Standards  Circle of Trust Föderation

42 2006 © SWITCH 42 Aufgaben und Rollen (1) Basis Dienste einer Föderation Koordination, Strategie und Weiterentwicklung Dokumentation & Metadaten bereitstellen Beratung, Training Betrieb des zentralen WAYF Betrieb der Test Infrastruktur Bereitstellen von Werkzeugen Update Scripts Resource Registry WAYF = 'Where Are You From?' Server

43 2006 © SWITCH 43 Aufgaben und Rollen (2) Erweiterte Dienste einer Föderation Unterstützung bei der Integration von Anwendungen Unterstützung der Identity Provider evtl. Outsourcing anbieten Virtuelle Heim Organisation

44 2006 © SWITCH 44 Virtuelle Heim Organisation – VHO Integration von Benutzern ohne Identity Provider  SP Admin erzeugt bei der VHO “AAI-enabled” Konten für die Benutzer ohne Identity Provider  Ein VHO Konto ist nur für die SP von Nutzen, die der SP Admin kontrolliert. Dritte werden diesen Identitäten nicht trauen Föderations Mitglied Home Org SP Admin Benutzer Admin Einige Benutzer ohne Identity Provider VHO User Dir VHO Policy

45 2006 © SWITCH 45 Die SWITCHaai Föderation SWITCH ist der Betreiber der SWITCHaai Föderation Mitglied der Föderation durch Unterschreiben des Service Agreements

46 2006 © SWITCH 46 Regeln, Richtlinien und Zertifikate Federation Policy VHO Policy Policy für akzeptierte Zertifikate Attribut Spezifikation Anforderungen ans Identity Management 'Best Practice' Dokumente

47 47 Datenschutz 1 (Datenhaltung) Europäisches Recht (Art. 6): Personenbezogene Daten dürfen nur für spezielle Aufgaben verarbeitet werden! Die Einrichtungen (= Identitiy Provider) müssen den Zweck der Datenhaltung festlegen und beschreiben. In Universitäten z.B. (verkürzt): Unterstützung von Forschung und Lehre. Die Ziele aller Mitglieder einer Föderation müssen diesem Zweck entsprechen! (Bei Unis u.a. ist das per se so) Auf Seiten der (auch kommerziellen) Dienstanbieter (SP): Z.B. Buchhandel, ZS-Verlage, wiss. Infodienste: Ja Z.B. EBAY, Kaufhäuser: Einschränkungen möglich Behörden: ?

48 48 Datenschutz 2 (Weitergabe von Attributen) Europäisches Recht (Art. 7): Weitergabe personenbezogener Daten nur wenn notwendig 1.Zur Vertragserfüllung (mit den Anbietern) 2.Gesetzliche Grundlagen vorliegen 3.Zum Schutz vitaler Interessen (der Anbieter) 4.Zur Erfüllung der Leistung eines Auftrages (des Anbieters) –und 5.Nach ausdrücklicher Zustimmung der betroffenen Person

49 49 Weitergabe von Attributen: Das Modell Autograph (MAMS) Die Attribute, die an einen Service-Provider weitergegeben werden, werden den Benutzern in Form von Visitenkarten präsentiert. Benutzer können für jeden Service-Provider individuelle Visitenkarten erstellen. Die Bedienung ist sehr intuitiv: –Streichen von Attributen schränkt die verfügbaren Dienste entsprechend ein –Auswahl eines gewünschten Dienstes fügt automatisch die notwendigen Attribute hinzu Demo

50 2006 © SWITCH 50 Metadaten Metadaten sind fundamental für die Föderation! Vertrauen & Sicherheit Infos über Zertifikate und providerID, damit man weiss mit wem man Daten austauscht Datenschutz Attribute Release Policy (beim IdP) Metadaten müssen aktuell und synchron sein, sonst klappt die Interoperabilität nie Bilateraler Austausch skaliert schlecht  Ein Werkzeug für die Verwaltung der Metadaten wird benötigt

51 2006 © SWITCH 51 Die Resource Registry Ziel Skalierende Metadaten Verwaltung Unterstützung für administrative Prozesse

52 2006 © SWITCH 52 Attribute für SWITCHaai Personen bezogen Eindeutige ID Nachname Vorname Adresse Telefonnummer Bevorzugte Sprache Geburtsdatum Geschlecht Gruppen bezogen Name der Heim Organisation Art der Heim Organisation Status (student, staff, faculty, …) Studienrichtung Studienstufe Mitarbeiterkategorie Gruppen Zugehörigkeit DN der Organisation DN der Organi- sationseinheit Basiert auf eduPerson Spezifikation Werte für Studienrichtung etc. aus der CH-Hochschulstatistik Benutzername & Passwort fehlen  nur lokal benutzen! Attribute die nicht bei allen Heim Organisationen vorhanden sein müssen

53 2006 © SWITCH 53 Attribute und deren Bedeutung Zwei Beispiele swissEduPersonStudyBranch Standardisierte Werte dank schweiz. Hochschulstatistik z.B. für Zugangsbeschränkung zu med. E-Learning Kurs eduPersonAffiliation Abschliessende Liste von Werten faculty, student, staff, alum, member, affiliate, employee 6200Humanmedizin 6300Zahnmedizin 6400Veterinärmedizin 7905Forstwirtschaft 7910Agrarwirtschaft 7915Lebensmittelwissenschaft

54 54 Attribut-Schemata Mehrere Grundlagen liegen vor: –eduPerson Specification (Internet2) –funetEduPerson (HAKA) –SCHAC-IAD Version (Terena) –swissEduPerson (SWITCH) Beachte:Weltweit operierende, kommerzielle Anbieter halten sich bisher i.a. an eduPerson! (wg.InCommon)

55 55 Shibboleth-Standardattribute Shibboleth/InCommon-Standardattribute basieren auf dem eduPerson-Schema Internationale Anbieter halten sich üblicherweise an diesen Standard (insb. eduPersonEntitlement) Anbieter kommen meistens mit einigen wenigen Attributen aus, die in der Shibboleth-Software bereits vor konfiguriert sind Beispiele:

56 2006 © SWITCH 56 Was bedeutet dies? Confoederatio Helvetica CH

57 2006 © SWITCH 57 eduGAIN: jenseits nationaler Grenzen eduGAIN: das AAI Forschungsprojekt von GÉANT2 Ziel ist die Konföderation nationaler AAI Föderationen um grenzüberschreitend Dienste nutzen zu können Gemeinsame 'Sprache' ist SAML 'Übergabepunkte' dienen der Vernetzung, sie wissen welche Dienste es in ihrer Föderation gibt was wie zu übersetzen ist wem wie weit zu vertrauen ist wer was darf

58 58 Übersicht Motivation AAI Der Lösungsansatz Shibboleth Die Projekte SWITCHaai und AAR (DFN-AAI) Die Föderation Rechtliche und organisatorische Rahmenbedingungen Schritte zur Umsetzung

59 2006 © SWITCH 59 Die SWITCHaai Föderation SWITCH ist der Betreiber der SWITCHaai Föderation Mitglied der Föderation durch Unterschreiben des Service Agreements

60 2006 © SWITCH 60 Rechtlicher Rahmen für SWITCHaai Bundesrecht, kantonales Recht (spez. Datenschutz) SWITCH AAI Policy Service Agreement Org... User Regulations Org... User Regulations Org... User Regulations Org... User Regulations

61 61 DFN-AAI, was ist zu tun? Aufbau eines Rahmens für die Föderation –Vorgabe von Richtlinien (Policy) Gremien Befugnisse Vertragsprinzipien grundsätzliche technische Entscheidungen –zentrale betriebliche Aufgaben z.B. WAYF, Testumgebung, Support, Zertifizierungsstelle –Public Relations –internationale Vertretung –Vertragsgestaltung und -abschluss

62 62 Vertragsgestaltung DFN-Rahmenvertrag DFNInternet DFNFernsprechen DFNAAI Dienstbeschreibung Technische Grundlagen Policy Zentrale betriebliche Aufgaben Entgelte

63 63 Anforderungen an IdM-Systeme Personen erhalten elektronische Identität –Attribute beschreiben die Rolle der Person Qualitätsanforderungen: –Verlässlichkeit Sicherheitsstufen, Missbrauchverhinderung –Aktualität zeitnahe Änderung –Nachvollziehbarkeit Dokumentation, Logging –Ausfallsicherheit Back-up-Systeme Einklang mit rechtlichen Vorgaben –Datenschutzgesetz

64 64 Attribute eduPerson-Schema (aus Internet2) –Internationale und kommerzielle Partner verwenden eduPerson verbindliche Menge soll minimal sein Erweiterungen sollen möglich sein, falls erforderlich –Beispiele: eLearning-Zeugnisse Anmerkung: –Die in der DFN-AAI definierten Attribute müssen aus den lokalen IdM-Systemen abgebildet werden können, sie müssen nicht identisch existieren!

65 65 Übersicht Motivation AAI Der Lösungsansatz Shibboleth Die Projekte SWITCHaai und AAR (DFN-AAI) Die Föderation Rechtliche und organisatorische Rahmenbedingungen Schritte zur Umsetzung

66 66 Stand und Ausblick zum Projekt AAR und der DFN-AAI Alle Komponenten von Shibboleth sind in Testumgebungen verfügbar Gespräche mit Dienstanbietern entwickeln sich sehr positiv (im Rahmen von Kaufverhandlungen, etwa 100 kommerzielle Service Provider) Das Portal (Regionale DatenbankInformationen Baden- Württemberg) ist als Pilotprojekt auf Shibboleth umgestellt (mit einer „internen“ Föderation, etwa 60 Identity Provider)

67 67

68 68 Stand und Ausblick zum Projekt AAR Alle Komponenten von Shibboleth sind in Testumgebungen verfügbar Gespräche mit Dienstanbietern entwickeln sich sehr positiv (im Rahmen von Kaufverhandlungen, etwa 100 kommerzielle Service Provider) Das Portal (Regionale DatenbankInformationen Baden- Württemberg) ist als Pilotprojekt auf Shibboleth umgestellt (mit einer „internen“ Föderation, etwa 60 Identity Provider) Die Betriebssoftware IPS von vascoda wird bis Mitte 2006 auf Shibboleth umgestellt (Test mit Anbieter Infoconnex) Am 10. Oktober 2006 wird der 3. Workshop zu Shibboleth in Freiburg stattfinden Eine Lösung für die DFG-Nationallizenzen mit Shibboleth wird derzeit erarbeitet.

69 69 Nationallizenzen: Die Situation heute – institutionelle Nutzer Verlag-1 Verlag-m Verlag-2 Einrichtung-1 Einrichtung-2 z.B. ReDI Zugangsvermittlung mit proprietären Verfahren IP-Kontrolle IP- List e IP-Kontrolle IP- List e IP-Kontrolle

70 70 Ziel mit AAI 1x NL VHO ReWriting Proxy (HAN) Verlag-1 Verlag-m Verlag-2 Shib idp Shib sp Shib sp Shib idp Shib sp IP- Ctrl Ggf mehrere Instanzen (Einrichtungen) IPIP IPIP Falls Einrichtung über IP authentifiziert IPIP IPIP

71 2006 © SWITCH 71 Voraussetzungen für AAI Installation Vorkenntnisse Sysadmin Erfahrung IdP:Java Tomcat SP:Web Server Konfig Bereitschaft für neue Technologie Support bei Problemen gewährleistet NB:Ein IdP benötigt ein existierendes Identity Management…

72 2006 © SWITCH 72 Erfolgsfaktoren für SWITCHaai Motivator: Swiss Virtual Campus Gute Zusammenarbeit mit den Universitäten Arbeitsgruppen Unterstützung auf allen Ebenen Bund Universitätsleitungen Informatikdienste Verfügbarkeit der Shibboleth Software von Internet2

73 73 Danke für Ihre Aufmerksamkeit! AAR ist ein Projekt der UB Freiburg und UB Regensburg Gefördert vom BMBF (PT-NMB+F ) aar.vascoda.de SWITCHaai Clip

74 2006 © SWITCH 74 Service Provider Integration (2) Spezialfall Black-Box Anwendungen mit integriertem Web Server: Externer Zugang zum AuthN- System benötigt, z.B. über API Mit (transparentem) AAIportal als AuthN-Gateway Zusatzdienste des AAIportals z.B. direkte Einladung zu Kursen WebCT E-Learning Systeme werden z.B. so in SWITCHaai integriert AAIportal ist Open Source Black Box Service Provider mit AAI AAI portal Web Server Web Anwendung AuthN API

75 2006 © SWITCH 75 SWITCHaai Federation Partner Federation Partner bringen einen Service Provider in die Föderation ein Content Provider Elsevier, NL EuQoS Projekt Teilnehmer ENSICA, FR NICTA, AU Università di Pisa, IT Università di Roma, IT Universität Tübingen, DE Warsaw University of Technology, PL


Herunterladen ppt "1 Eine föderierte AA-Infrastruktur erleichtert die Integration von Internet Diensten Ato Ruppert UB Freiburg Berlin 29. Mai 2006 Thomas Lenggenhager SWITCH,"

Ähnliche Präsentationen


Google-Anzeigen