Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Das Projekt AAR Authentifizierung, Autorisierung und Rechteverwaltung Ato Ruppert, Franck Borel UB Freiburg.

Ähnliche Präsentationen


Präsentation zum Thema: "Das Projekt AAR Authentifizierung, Autorisierung und Rechteverwaltung Ato Ruppert, Franck Borel UB Freiburg."—  Präsentation transkript:

1 Das Projekt AAR Authentifizierung, Autorisierung und Rechteverwaltung Ato Ruppert, Franck Borel UB Freiburg

2 2 Authentifizierung, Autorisierung, Rechteverwaltung Anwendungsfälle: Wissenschaftsportale (ReDI, vascoda) Was ist AAR? Föderationen und Rechtliches AAR ist ein Projekt der UB Freiburg und UB Regensburg. Gefördert vom BMBF ( PT-NMB+F )Gefördert vom BMBF ( PT-NMB+F ) Übersicht

3 3 Wissenschaftportale 1 vascoda ist ein interdisziplinäres Internetportal für wissenschaftliche Information in Deutschland. vascoda vereinigt Internetdienste zahlreicher leistungsstarker wissenschaftlicher Bibliotheken und Informationseinrichtungen. Mit vascoda wird der Grundbaustein für eine "Digitale Bibliothek Deutschland" gelegt. An vascoda sind heute über 30 Einrichtungen mit fast 30 Angeboten beteiligt.

4 4 Wissenschaftportale 2 Regionale DatenbankInformationen Baden-Württemberg (www.redi-bw.de):www.redi-bw.de Angebot insgesamt: 476 Datenbanken - Nutzung externer Verlagsserver:142 - Windows-basierte CD-Angebote Reference-Linking zu den Volltexten Über 60 Teilnehmereinrichtungen Anfragen aus NRW, Sachsen, Hessen Zentraler Einkauf über das Konsortium Baden- Württemberg (http://www.konsortium-bw.de) sowie Bildung von Betriebsgemeinschaftenhttp://www.konsortium-bw.de

5 5 Leitsätze zur Nutzung verteilter Informationen im Internet aus Sicht der Nutzer, Einrichtungen und Anbieter Nutzer: Der Zugriff auf lizenzierte Inhalte soll unabhängig vom gewählten Arbeitsplatz und dem Zugriffsweg möglich sein. Alle lizenzierten Inhalte sollten nach nur einmaliger Authentifizierung und Autorisierung (Single Sign-On) zur Verfügung stehen. Einrichtungen (etwa Hochschulen): Die Einrichtung soll ein beliebiges Authentifizierungssystem wählen dürfen. Der Aufwand der Rechteverwaltung soll möglichst gering sein. Anbieter: Die lizenzpflichtigen Inhalte der Anbieter sollen vor unberechtigten Zugriff geschützt werden. Was wollen wir erreichen? Demo:

6 6 AAR ist eine Infrastruktur zur Authentifizierung, Autorisierung und Rechteverwaltung AAR ist ein Single Sign-on System, mit dem verschiedene Ressourcen mit einem einzigen Login genutzt werden können AAR basiert auf einem föderativen Ansatz: Die Einrichtung verwaltet und authentifiziert ihre Mitglieder und der Anbieter kontrolliert den Zugang zu seinen Ressourcen AAR baut auf Shibboleth (Internet2-Projekt) auf AAR ergänzt Shibboleth um einen Rechteserver Was ist AAR?

7 7 Heimateinrichtung Benutzerin Anbieter Benutzerin bekannt? (1) (4) (5) Benutzerin berechtigt? (6) (7) (8) verweigert nein ja nein Lokalisierungsdienst (2) (3) Wie funktioniert AAR? (9) gestattet Zugriff ja

8 8 Wie funktioniert AAR? AAR verwendet Shibboleth v 1.3 (später 2.0) –Shibboleth baut auf folgende Standards auf: HTTP XML XML Schema (XSD) XML Signatur (XMLDisg) SOAP SAML 1.1 (später 2.0)

9 9 Wie funktioniert AAR? Transport und Aufbau einer Shibboleth-Nachricht HTTP/HTTPS SOAP Nachricht SOAP Header SOAP Body SAML Anfrage/Antwort

10 10 Wie funktioniert AAR? (auf der Einrichtungsseite) Apache mod_jk Tomcat SSO (HS) Attribute Authority ARP Authentifizierung über Tomcat oder Apache schützt SSO (HS) Autorisierung Einrichtung (Identity Provider) Benutzerdaten Richtlinien für die Freigabe von Attributen LDAP... SQL Benutzer- attribute

11 11 Wie funktioniert AAR? (auf der Anbieterseite) Apache Assertion Consumer Service AAP Anbieter (Service Provider) Attribute Requester Ressourcen fragt Attribute bei der Attribute Authority (IdP) ab Access Control definiert, welche Attribute für den Zugriff auf die Ressourcen erforderlich sind kontrolliert den Zugriff auf die Ressourcen

12 12 Rechteserver Der Rechteserver (RS) ist nicht Bestandteil von Shibboleth. Er soll die Attribute (der Autorisierung) auf die Nutzungsbedingungen der Anbieter abbilden –Z.B.: moving wall, Embargos, Zeiteinschränkungen Der Rechteserver kann zentral oder dezentral (beim Anbieter) eingesetzt werden Der Rechteserver ist Teilprojekt unserer Projektpartner in der UB Regensburg. R

13 13 Eine Föderation ist ein Zusammenschluss von Einrichtungen und (auch kommerziellen) Anbietern auf Basis gemeinsamer Richtlinien. Eine Föderation schafft das für Shibboleth notwendige Vertrauensverhältnis zwischen Einrichtungen und Anbietern und einen organisatorischen Rahmen für den Austausch von Benutzerinformationen. Was ist eine Föderation?

14 14 Aufbau einer Föderation Für den Aufbau einer Föderation muss (mindestens) festgelegt werden: Organisationsstruktur Voraussetzungen für die Mitgliedschaft Rechte und Pflichten der Föderation und Mitglieder Richtlinien –Aufnahmeverfahren für neue Mitglieder –Aktualisierung der Metadaten –akzeptierte (CA-)Zertifikate –Standardattribute, Datenschutz –Vorgehensweise bei Missbrauch

15 15 Föderation als Konsortium mit externer Verwaltung E4 E… Die organisatorischen Aufgaben zu AAR werden extern vergeben. Alle Entscheidungen verbleiben in der Föderation. Verträge: Multilateral mit allen Beteiligten Grenze: Größe der Föderation En E2 Externer Verwalter Externer Verwalter (DFN) E3 E1 Föderation

16 16 Föderation als Dienstangebot einer zentralen Einrichtung E1 E2 E4 E3 E5 E… En Die organisatorischen Aufgaben werden als Dienst einer zentralen Einrichtung für eine Föderation angebotenen und von der Föderation kontrolliert. Verträge: Bilateral zwischen Teilnehmer und zentraler Einrichtung Beispiele: Switch, Haka, InCommon DFN Föderation

17 17 Beispiel: Haka/Finnland (Quelle: Mikael Linden, CSC) Die Organisationsstruktur von Haka entspricht der von SWITCHaai Federation partners Operator Federation members CSC – scientific computing ltd Central AAI services IdPPalvelu IdPPalvelu IdPSP Advisory comm.Operations comm.

18 18 Teilnehmer der Föderation und ihre Rollen Mitglieder (Unis, FHs, etc): –Einrichtung = Identity Provider –Anbieter (etwa eLearning-Angebote) Partner –Anbieter (auch kommerzielle!) Operator –Koordinationsdienst für die Föderationsverwaltung Steuerungsgremien –Überwachung und Entscheidung

19 19 Aufgaben der zentralen Stelle sind: Vorgabe von Richtlinien (Policies) Verwaltung der Metadaten der Mitglieder Betrieb eines Lokalisierungsdienstes (WAYF) Betrieb einer Zertifizierungsstelle Betrieb einer Testumgebung Technischer Support Aufgaben der zentralen Stelle (Operator)

20 20 Datenschutz 1 (Datenhaltung) Europäisches Recht (Art. 6): Personenbezogene Daten dürfen nur für spezielle Aufgaben verarbeitet werden! Die Einrichtungen (= Identitiy Provider) müssen den Zweck der Datenhaltung festlegen und beschreiben. In Universitäten z.B. (verkürzt): Unterstützung von Forschung und Lehre. Daraus folgt: Die Ziele aller Mitglieder einer Föderation müssen diesem Zweck entsprechen! (Bei Unis u.a. ist das per se so) Auf Seiten der (auch kommerziellen) Dienstanbieter (SP): Z.B. Buchhandel, ZS-Verlage, wiss. Infodienste: Ja Z.B. EBAY, Kaufhäuser: Nein Behörden: ?

21 21 Datenschutz 2 (Weitergabe von Attributen) Europäisches Recht (Art. 7), §§18-20 LDSG-BW: Weitergabe personenbezogener Daten nur wenn notwendig 1.Zur Vertragserfüllung (mit den Anbietern) 2.Gesetzliche Grundlagen vorliegen 3.Zum Schutz vitaler Interessen (der Anbieter) 4.Zur Erfüllung der Leistung eines Auftrages (des Anbieters) –und 5.Nach ausdrücklicher Zustimmung der betroffenen Person Fazit: Bei der Gründung der Föderation muss der Zweck festgelegt werden!

22 22 Attribut-Schemata Mehrere Grundlagen liegen vor: –eduPerson Specification (internet2) –funetEduPerson (Haka) –SCHAC-IAD Version (Terena) –SwissEduPerson (Switch) Beachte: Weltweite, kommerzielle Partner halten sich bisher i.a. an eduPerson! (wg. InCommon)

23 23 Shibboleth-Standardattribute Shibboleth/InCommon-Standardattribute basieren auf dem eduPerson-Schema: Internationale Anbieter halten sich üblicherweise an diesen Standard (insb. eduPersonEntitlement) Anbieter kommen meistens mit einigen wenigen Attributen aus, die in der Shibboleth-Software bereits vorkonfiguriert sind Beispiele:

24 24 Zum Abschluss: Stand und Ausblick zum Projekt Alle Komponenten von Shibboleth sind in einer Testumgebung verfügbar ReDI wird im Januar auf Shibboleth umgestellt (mit einer internen Föderation, etwa 60 Identity Provider) Gespräche mit Dienstanbietern entwickeln sich sehr positiv (im Rahmen von Kaufverhandlungen, etwa 100 kommerzielle Service Provider) Am 23. März 2006 wird ein Workshop für Anbieter in Freiburg stattfinden Die Betriebssoftware IPS von vascoda wird bis Mitte 2006 auf Shibboleth umgestellt Der Rechteserver wird bis Mitte 2006 als Prototyp zur Verfügung stehen.

25 25 Links Allgemeines –http://aar.vascoda.de/links.phphttp://aar.vascoda.de/links.php –http://www.terena.nl/tech/http://www.terena.nl/tech/ –http://www.geant2.net/upload/pdf/GN v6.pdfhttp://www.geant2.net/upload/pdf/GN v6.pdf Attribut-Schemata –http://www.csc.fi/suomi/funet/middleware/valinen/funetEduPerson_1_0.pdfhttp://www.csc.fi/suomi/funet/middleware/valinen/funetEduPerson_1_0.pdf –http://www.nmi-edit.org/eduPerson/draft-internet2-mace-dir-eduperson- 00.htmlhttp://www.nmi-edit.org/eduPerson/draft-internet2-mace-dir-eduperson- 00.html –http://www.terena.nl/tech/task-forces/tf-emc2/docs/schac/schac-schema-IAD- rc2.pdfhttp://www.terena.nl/tech/task-forces/tf-emc2/docs/schac/schac-schema-IAD- rc2.pdf –http://www.switch.ch/aai/docs/swissedu.schemahttp://www.switch.ch/aai/docs/swissedu.schema –http://www.incommonfederation.org/docs/policies/federatedattributes.htmlhttp://www.incommonfederation.org/docs/policies/federatedattributes.html Datenschutz –http://www.bfdi.bund.de/DE/Home/homepage__node.htmlhttp://www.bfdi.bund.de/DE/Home/homepage__node.html –http://www.baden-wuerttemberg.datenschutz.de/recht/ldsg/default.htmhttp://www.baden-wuerttemberg.datenschutz.de/recht/ldsg/default.htm –EU-RichtlinieEU-Richtlinie

26 26 Danke für Ihre Aufmerksamkeit!


Herunterladen ppt "Das Projekt AAR Authentifizierung, Autorisierung und Rechteverwaltung Ato Ruppert, Franck Borel UB Freiburg."

Ähnliche Präsentationen


Google-Anzeigen