Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Authentifizierung, Autorisierung und Rechteverwaltung Einsatz und Funktion des Rechteservers 2. Shibboleth-Workshop Freiburg, 23. März 2006 Gerald Schupfner,

Ähnliche Präsentationen


Präsentation zum Thema: "Authentifizierung, Autorisierung und Rechteverwaltung Einsatz und Funktion des Rechteservers 2. Shibboleth-Workshop Freiburg, 23. März 2006 Gerald Schupfner,"—  Präsentation transkript:

1 Authentifizierung, Autorisierung und Rechteverwaltung Einsatz und Funktion des Rechteservers 2. Shibboleth-Workshop Freiburg, 23. März 2006 Gerald Schupfner, UB Regensburg

2 2 Was soll der Rechteserver leisten? Verwaltung von Lizenz- und Rechteaussagen –ein Angehöriger der Uni Freiburg hat Zugriff auf die Jahrgänge 22 bis 27 der Zeitschrift xy des Anbieters Elsevier –ein Benutzer der Universität Stuttgart hat Administratorrechte in ReDI –einem Angehörigen der Universität Regensburg dürfen im vascoda-Portal bei einer Recherche in der Datenbank Wiso Plus vollständige Metadaten angezeigt werden

3 3 Gerald Schupfner, UB Regensburg Was soll der Rechteserver leisten? Schnittstelle zum Resource-Manager bzw. zur Anwendung eines Service-Providers –für die Zugriffskontrolle –für die Abbildung von Attributen auf Rechte in der Anwendung

4 4 Gerald Schupfner, UB Regensburg Ressource-Manager und Rechteserver Apache mod_shib (ACS) AAP shibd Ressourcen Ressource- Manager (RM) Rechteserver stellt eine Anfrage, ob der Zugriff auf eine Ressource erlaubt ist oder holt Rechte (Attribute) des Benutzers für eine Ressource

5 5 Gerald Schupfner, UB Regensburg Daten im Rechteserver Wer? Das Subjekt (ein Attribut des Benutzers) Was? Die Ressource (ein Zeitschriftenartikel, eine Datenbank) bei Wem? Der Provider damit Abfrage von: Lizenzaussagen und/oder Rechteaussagen

6 6 Gerald Schupfner, UB Regensburg Subjekt Subjekte (Benutzer) werden durch die Attribute, die der Identity-Provider liefert identifiziert: –eduPersonEntitlement urn:mace:ebsco.com: urn:mace:aar:entitlement:unist:redi:admin –aus eduPersonOrgUnitDN de.uni-freiburg de.uni-regensburg.physik im Rechteserver können Subjekte hierarchisch abgelegt werden

7 7 Gerald Schupfner, UB Regensburg Subjekt / Ressource Ressourcen werden durch vom Service- Provider vergebene Namen identifiziert in einer Abfrage an den Rechteserver können mehrere Subjekte (Benutzerattribute) und Ressourcen angegeben werden –Subjekte erben Lizenz- oder Rechteaussagen aus höheren Hierarchieebenen –Lizenz- oder Rechteaussagen werden dann additiv ausgewertet

8 8 Gerald Schupfner, UB Regensburg Provider Identifizierung durch ServiceProviderIdentifier (siehe ShARPE) urn:au:testfed:level-1:demo.federation.org.au urn:de:vascoda:www.vascoda.de

9 9 Gerald Schupfner, UB Regensburg Lizenzaussagen Beschränkungen der Ressourcennutzung –auf bestimmte Zeiträume, und/oder Jahrgänge und Hefte –Embargozeiten ("Moving Wall") bzw. rollierende Zeitfenster ("Window period", "rolling window") –Zahl der gleichzeitigen Nutzer

10 10 Gerald Schupfner, UB Regensburg Rechteaussagen Attribute, die die Anwendung des Service- Providers erwartet –werden vom Service-Provider definiert –beliebige Namen und Werte möglich Beispiele –Benutzergruppen der Anwendung –spezielle Rechte (Administration)

11 11 Gerald Schupfner, UB Regensburg Einsatzmöglichkeiten zentral für eine Gruppe von Service- Providern –vascoda-Partner bei einem Service-Provider für seine eigenen Anwendungen

12 12 Gerald Schupfner, UB Regensburg Vorteile beim Einsatz eines Rechteservers Erleichterung der Rechteverwaltung für Service-Provider Erleichterung der Attributverwaltung für Identity-Provider bei zentralem Einsatz Zentraler Anlaufpunkt für die Rechteverwaltung Eingabe und Kontrolle von Rechten durch Anbieter und Einrichtungen möglich

13 13 Gerald Schupfner, UB Regensburg Komponenten des Rechteservers HeimateinrichtungAnbieter Rechteserver AA Webserver shibd Ressource PDP (Policy Decision Point) Policy Administration Interface

14 14 Gerald Schupfner, UB Regensburg Komponenten des Rechteservers Zugriffskontrolle HeimateinrichtungAnbieter Rechteserver AA Webserver shibd Ressource PDP (Policy Decision Point) Com-Module Policy Administration Interface

15 15 Gerald Schupfner, UB Regensburg PDP Schnittstelle des Rechteservers für: –Access-Control Aussagen –Rechteaussagen Realisierung –derzeit einfache eigene XML-Schnittstelle –später XACML

16 16 Gerald Schupfner, UB Regensburg PDP-Schnittstelle XACML SAML SOAP HTTP(S) TCP/IP

17 17 Gerald Schupfner, UB Regensburg Demo des PDP Einfaches HTML-Interface zum Rechteserver

18 18 Gerald Schupfner, UB Regensburg Administrationsinterface

19 19 Gerald Schupfner, UB Regensburg Realisierung der Komponenten Datenspeicherung in einer MySQL- Datenbank PDP realisiert als Java-Applikation (JRE 1.4.1) Policy Administration Interface als Webinterface unter PHP 4 Com-Modul realisiert als DSO-Modul für Apache


Herunterladen ppt "Authentifizierung, Autorisierung und Rechteverwaltung Einsatz und Funktion des Rechteservers 2. Shibboleth-Workshop Freiburg, 23. März 2006 Gerald Schupfner,"

Ähnliche Präsentationen


Google-Anzeigen