Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Authentifizierung, Autorisierung und Rechteverwaltung Föderationen: Richtlinien, Zertifikate und Attribute Shibboleth-Workshop Freiburg, 12. Oktober 2005.

Ähnliche Präsentationen


Präsentation zum Thema: "Authentifizierung, Autorisierung und Rechteverwaltung Föderationen: Richtlinien, Zertifikate und Attribute Shibboleth-Workshop Freiburg, 12. Oktober 2005."—  Präsentation transkript:

1 Authentifizierung, Autorisierung und Rechteverwaltung Föderationen: Richtlinien, Zertifikate und Attribute Shibboleth-Workshop Freiburg, 12. Oktober 2005 Bernd Oberknapp, UB Freiburg

2 2 Übersicht Was ist eine Föderation? Aufgaben einer Föderation Aufbau einer Föderation Richtlinien Zertifikate Attribute

3 3 Bernd Oberknapp, UB Freiburg Föderation EinrichtungAnbieteren Was ist eine Föderation?

4 4 Bernd Oberknapp, UB Freiburg Eine Föderation ist ein Zusammenschluss von Einrichtungen und Anbietern auf Basis gemeinsamer Richtlinien. Eine Föderation schafft das für Shibboleth notwendige Vertrauensverhältnis zwischen Einrichtungen und Anbietern und einen organisatorischen Rahmen für den Austausch von Benutzerinformationen. Was ist eine Föderation?

5 5 Bernd Oberknapp, UB Freiburg Aufgaben einer Föderation sind: Vorgabe von Richtlinien (Policies) Verwaltung der Metadaten der Mitglieder Betrieb des Lokalisierungsdienstes (WAYF) Betrieb einer Zertifizierungsstelle Technischer Support Aufgaben einer Föderation

6 6 Bernd Oberknapp, UB Freiburg Einrichtungen aus dem Hochschulbereich schließen sich üblicherweise landesweit zu Föderationen zusammen, zum Beispiel: USA (InCommon), Großbritannien (SDSS), Schweiz (SWITCH), Finnland (HAKA) Einrichtungen und Anbieter können jeweils zu mehreren Föderationen gehören! Aufbau einer deutschlandweiten Föderation im Rahmen des DFN wird angestrebt Aufbau einer Föderation

7 7 Bernd Oberknapp, UB Freiburg Aufbau einer Föderation Für den Aufbau einer Föderation müssen (mindestens) festgelegt werden: Organisationsstruktur Voraussetzungen für die Mitgliedschaft Rechte und Pflichten der Föderation Rechte und Pflichten der Mitglieder Richtlinien

8 8 Bernd Oberknapp, UB Freiburg Richtlinien In den Richtlinien sollten unter anderem folgende Punkte geregelt werden: Aufnahmeverfahren für neue Mitglieder Aktualisierung der Metadaten akzeptierte (CA-)Zertifikate Standardattribute Vorgehensweise bei Missbrauch

9 9 Bernd Oberknapp, UB Freiburg Richtlinien Mitglieder der Föderation müssen üblicherweise folgende Punkte dokumentieren bzw. es werden Mindeststandards festgesetzt für: Identity Provider: –Benutzerverwaltung –Authentifizierungssystem Service Provider: –benötigte Attribute –Datenschutzrichtlinien

10 10 Bernd Oberknapp, UB Freiburg Föderationen: Beispiele Schweiz/SWITCH (Stiftung): –AAI Service Agreement –AAI Policy –AAI Federation Partner Agreement USA/InCommon (GmbH): –Participation Agreement –Participant Operational Practices –Federation Operating Practices and Procedures

11 11 Bernd Oberknapp, UB Freiburg Zertifikate Zertifikate werden bei Shibboleth zum Signieren von Dokumenten und zum Verschlüsseln der Kommunikation (TLS/SSL) verwendet: Kommunikation Browser mit Webserver Kommunikation shibd mit AA Signieren von SAML-Dokumenten Signieren der Metadaten der Föderation (Shibboleth extkeytool)

12 12 Bernd Oberknapp, UB Freiburg Zertifikate für die Webserver (IdPs, SPs, WAYF) können im Prinzip beliebige Zertifikate verwendet werden Zertifikate für die interne Kommunikation bzw. die entsprechenden CA-Zertifikate müssen in den Metadaten eingetragen sein welche Zertifikate verwendet werden dürfen, wird üblicherweise in den Richtlinien festgelegt Beispiel SWITCHaai CA Acceptance Policy: SwissSign, TC TrustCenter (Class 2 und 3), Thawte Server (Premium), Verisign (Class 3)

13 13 Bernd Oberknapp, UB Freiburg Shibboleth-Standardattribute Shibboleth/InCommon-Standardattribute basieren auf dem eduPerson-Schema: docs/policies/federatedattributes.html Internationale Anbieter halten sich üblicherweise an diesen Standard Service Provider kommen meistens mit einigen wenigen Attributen aus, die in der Shibboleth-Software bereits weitgehend vorkonfiguriert sind

14 14 Bernd Oberknapp, UB Freiburg Shibboleth-Standardattribute eduPersonScopedAffiliation: Beispiel: Grobzuordnung der Benutzer zu Mitglieder (member), Mitarbeiter (staff), Studierende (student), usw. der Einrichtung bei vielen nicht personalisierten Anwendungen das einzige Attribut, das benötigt wird Anwendungsbeispiel: Campuslizenz für eine Hochschule mit Zugriff für alle Mitglieder

15 15 Bernd Oberknapp, UB Freiburg eduPersonPrincipalName: Beispiel: eindeutiger, persistenter Identifier des Benutzers inklusive Domain (NetID) sollte aus Datenschutzgründen nur verwendet werden, wenn die Nutzung einer Anwendung nicht anonym oder pseudonym erfolgen kann Anwendungsbeispiel: Zugriff auf eine Anwendung (z.B. Wiki oder Webseite) mit Schreibrechten Shibboleth-Standardattribute

16 16 Bernd Oberknapp, UB Freiburg eduPersonTargetedID: eindeutiges, persistentes Pseudonym des Benutzers für einen Service Provider ermöglicht die Wiederkennung des Benutzers (z.B. für personalisierte Anwendungen notwendig) ohne die Identität des Benutzers kennen zu müssen und ohne dass zwei Anbieter Informationen über den Benutzer zusammenführen könnten Anwendungsbeispiel: diverse kommerzielle Anbieter wie Napster Shibboleth-Standardattribute

17 17 Bernd Oberknapp, UB Freiburg eduPersonEntitlement: Beispiele: urn:mace:incommon:entitlement:common:1 urn:mace:aar:entitlement:redi:unifr:jura urn:mace:aar:entitlement:ezb:admin urn:mace:ebsco.com: beliebige Rechteinformationen, Bedeutung muss zwischen Heimateinrichtung und Anbieter oder im Rahmen der Föderation vereinbart werden Anwendungsbeispiele: InCommon, ReDI, EZB, JVCS Booking System, EBSCO,... Shibboleth-Standardattribute

18 18 Bernd Oberknapp, UB Freiburg Welche Attribute werden überhaupt für welche Anwendungen benötigt? Welche Standardattribute sollten im Rahmen der Föderation definiert werden? Wo werden die Attribute gespeichert? Alternativen: –in der Benutzerdatenbank –in einer eigenen Rechtedatenbank (beim Anbieter oder bei der Heimateinrichtung) –im AAR-Rechteserver Attribute: Offene Fragen


Herunterladen ppt "Authentifizierung, Autorisierung und Rechteverwaltung Föderationen: Richtlinien, Zertifikate und Attribute Shibboleth-Workshop Freiburg, 12. Oktober 2005."

Ähnliche Präsentationen


Google-Anzeigen