ReDI als Pilotanwendung für Shibboleth

Slides:



Advertisements
Ähnliche Präsentationen
Ausblick auf Shibboleth 2.0
Advertisements

Migration der Arbeitsplatzrechner und Benutzerprofile in eine neue Domänenstruktur bei der WetterOnline GmbH Alexander Wiechert Migration der Arbeitsplatzrechner.
Was gibt´s neues im Bereich Sicherheit
Server- und Dienstestruktur an der Uni Paderborn
und Einführung in die Thematik
Anwendungen schützen mit Shibboleth
SG Web – weitere Schritte Benutzerversammlung des CMS K. Lányi.
Systemverwaltung wie es Ihnen gefällt.
BSZ VdB-Fortbildung Verknüpfen statt Kopieren Bibliothekskataloge mit Web-Resourcen verbinden W.Heymans, BSZ.
DINI Symposium Wiss. Publizieren in der Zukunft – Open Access, 23./ B. Diekmann Ein Dokumentenserver kostet ? Ökonomische Aspekte für Serverbetreiber.
Die Elektronische Zeitschriftenbibliothek
Zugriff von außen auf das Homeverzeichnis
Das Projekt AAR Authentifizierung, Autorisierung und Rechteverwaltung Vorstellung des Projektes und Informationsaustausch Mannheim, 13. Juni 2006 Franck.
Verteilte Authentifizierung mit Open Source Software – Integrationsplattform für Wissenschaft und Wirtschaft Kommunales Daten- und Identitätsmanagement.
Das Projekt AAR ReDI als Pilotanwendung für die Shibboleth-Authentifizierung vascoda AG Betrieb und Weiterentwicklung Köln, 24. August 2005 Bernd Oberknapp,
Das Projekt AAR Authentifizierung, Autorisierung und Rechteverwaltung
1 Allgemeine Fragestellung Suche nach wissenschaftlicher Information im Internet Quelle wird gefunden, aber… …Zugang nur gegen Passwort oder Zahlung Wiss.
Bernd Oberknapp, UB Freiburg
Authentifizierung, Autorisierung und Rechteverwaltung Einsatz und Funktion des Rechteservers 2. Shibboleth-Workshop Freiburg, 23. März 2006 Gerald Schupfner,
Föderationen: Richtlinien, Zertifikate und Attribute
Bernd Oberknapp, UB Freiburg
Einführung in den Identity Provider
Ulrich Kähler, DFN-Verein
Ulrich Kähler, DFN-Verein
DFN-AAI Stand des Testsystems Raoul Borenius, DFN-AAI-Team
Einbindung des Service Providers: Einfache Web-Applikation, Überwachungssystem NAGIOS 2. Shibboleth-Workshop, Freiburg, Franck Borel, UB Freiburg.
Technische Übersicht zu Shibboleth
Erweiterung B2B Usermanagement / LDAP-Anbindung
Sicherheit und Personalisierung Internet Portal der Universität München.
EGo-AKTUELL Zweckverband Elektronische Verwaltung für Saarländische Kommunen SAAR Dienstag, 27. Mai 2008 big Eppel – Kultur und Kongress, Eppelborn eGo-NET.
FH-Hof DBS II: Übersicht über die Vorlesung Richard Göbel.
Information und Technik Nordrhein-Westfalen Single Sign On mit CAS Düsseldorf, Single Sign On für Webanwendungen am Beispiel von CAS.
Treffen mit Siemens Siemens: Werner Ahrens Volkmar Morisse Projektgruppe: Ludger Lecke Christian Platta Florian Pepping Themen:
Gerlind Bruschek AK-SYS 2007 Erfahrungen beim Einsatz vom Bladeservern an der Hochschule Magdeburg-Stendal (FH) 1. Bisherige Server-Infrastruktur 2. Neue.
Universität Heidelberg Rechenzentrum Hartmuth Heldt Sicherheitskonzept - Netzwerk 1.
Einführung eines Remote Desktop Systems am RRZE
Fli4l Der Ein-Disketten-Router von Sebastian Röhl von Sebastian Röhl.
Dokumenten- und Objektverwaltung mit OPUS
Smartphones im Kanzleinetz Vergleich der technischen Umsetzung COLLEGA - TAG Freitag, 27. November 2009.
Identity für GSI Michael Dahlinger, GSI
Mailserver-Installation mit LDAP-Schnittstelle für die Firma XYZ GmbH
, S Arbeitssitzung Organisation u. IuK-Technik 21. – Bericht des Ministeriums -
Netzwerke Peer-to-Peer-Netz Client-Server Alleinstehende Server
LDAP Migration (Stand und Ausblick) Torsten Gosch CIS.
Zum Stand der Literatursuche: Zeitschriftenartikel
‚Digitale Bibliothek Uni Freiburg‘
Weltweite Kommunikation mit Exchange Server über das Internet
Zum Stand der Literatursuche: Zeitschriftenartikel Einstiegsseite: freiburg.de/bibliothekchirurgie.
Vorteile eines lokalen Netzwerks?
Systemaufbau / Komponenten
Christian Krause, URZ Jena Bereich P – IDM Arbeitsgruppe
Domain Name Service Grundlagen, Implementierung im Active Directory und Integration von Win2k-Domains in bestehende Umgebungen Kay Sander.
Content Management System
Profile virtueller Bibliotheksportale
Zentrale Authentifizierungsplattform mit Open Text Website Management bei Thieme.
VPN – Virtual Private Network
AG-Internet Sitzung am 21. März OvGU-web-Sites mittels EGOCMS Möglichkeiten zur Anlage.
Installation und Konfiguration des Identity Provider Shibboleth Workshop Freiburg, Franck Borel, AAR-Projekt, UB Freiburg.
Neue Shibboleth-Entwicklungen: Shibboleth 2.0 und SAML 2.0 VO-Management Workshop Schloss Birlinghoven, 19. Dezember 2006 Bernd Oberknapp Universitätsbibliothek.
Die Technik des Service Provider 2. Shibboleth-Workshop Freiburg, 23. März Dr. Jochen Lienhard AAR Projekt UB Freiburg Authentifizierung, Autorisierung.
Ziel - Konzept - Realisierung 28. August 2003 Ursula Jutzi.
1 Allgemeine Fragestellung Suche nach wissenschaftlicher Information im Internet Quelle wird gefunden, aber… …Zugang nur gegen Passwort oder Zahlung Wiss.
Verteilte Authentifizierung, Autorisierung und Rechteverwaltung (AAR) beim elektronischen Publizieren Forum Innovation Buchmesse Frankfurt, 20. Oktober.
MyCoRe in einem in einem Detlev Degenhardt Jena, den Umfeld - Umfeld.
Shibboleth. Agenda Shibboleth? Single-Sign-On SAML & Co. Shibboleth  Eigenschaften  Architektur & Komponenten  Implementierungen  Kommunikation 
9. Mai Basiskomponente Bibliotheksanwendung Virtuelle Bibliothek Bayern.
Rechen- und Kommunikationszentrum (RZ) Entwicklung einer Web- Oberfläche mit Apache Wicket am Beispiel des IdentityAdmins Seminarvortrag Melanie.
IT-Dienstleistungen E-Learning Systeme Content Management 1 Fallbeispiel ILIAS: Das Repository-Objekt-Plugin „Centra“
Identity Management.  Zentrale Begriffe und Probleme  Modellbildung  Methoden zur Authentisierung über HTTP  Technische Aspekte  Compliance  Hindernisse,
Physik für Mediziner : Die Rolle der Bibliothek Vortrag zum Workshop “Audiovisuelle Wissensmedien online“ am in Göttingen Projektidee Dr. Joachim.
 Präsentation transkript:

ReDI als Pilotanwendung für Shibboleth 2. Shibboleth-Workshop Freiburg, 23. März 2006 Bernd Oberknapp, UB Freiburg

Was ist ReDI? Die Regionale Datenbank-Information (ReDI) ist ein vom Ministerium für Wissenschaft, Forschung und Kunst geförderter kooperativer Dienst für die staatlichen Hochschulen und Landesbibliotheken in Baden-Württemberg. Ziel beim Aufbau war die nachhaltige Verbesserung der flächendeckenden Fachinformationsversorgung ReDI: zentraler Dienstleister für alle (technischen) Fragen rund um das Datenbankenangebot Konsortium Baden-Württemberg: Einkaufsgemeinschaft der Bibliotheken Bernd Oberknapp, UB Freiburg

ReDI: Aktueller Stand 490 Datenbanken aller Fachrichtungen im Angebot, darunter 335 Windows-Datenbanken und CrossFire Beilstein und Gmelin auf eigenen, gespiegelten Serversystemen in Freiburg und Stuttgart 62 teilnehmende Einrichtungen inklusive Gästen aus Bayern, Rheinland-Pfalz und Saarland mehr als 3.000.000 Suchanfragen pro Jahr erhebliche Synergien bei Betrieb und Betreuung, Hardwareeinkauf und Datenbanklizenzierung Bernd Oberknapp, UB Freiburg

Aktuelle ReDI-Authentifizierung Benutzer werden über ein für ReDI entwickeltes, verteiltes System über lokale Benutzerdatenbanken authentifiziert und autorisiert. ReDI-Authentifizierung wird genutzt von: 21 Einrichtungen über Horizon-Benutzerdatenbanken (13 FHs, 2 PHs, 2 MHs und 2 BAs über das BSZ) 6 Einrichtungen über andere Benutzerdatenbanken (LDAP, SQL, BiBer, SISIS, ...) 20 Einrichtungen (teilweise parallel zu Horizon) über den zentralen ReDI-Authentifizierungsserver ReDI-Authentifizierung wird genutzt für: ReDI, CrossFire, Elektra, ESem, ... Bernd Oberknapp, UB Freiburg

Aktuelle ReDI-Authentifizierung . ReDI-Server Einrichtungen IBplusAuthServer Benutzerdaten Uni Stuttgart Benutzerkennung Passwort Einrichtungsauswahl ReDI-Login IBplusServer FH Heilbronn Bernd Oberknapp, UB Freiburg

Probleme des aktuellen Systems Kein Single Sign-On: Bei allen Diensten wird derselbe Account verwendet, der Nutzer muss sich aber trotzdem bei jedem Dienst neu einloggen. Jeder Dienst verwendet eine eigene Login-Maske: der Nutzer muss Benutzerkennung und Passwort jedem einzelnen Dienst anvertrauen der Wiedererkennungswert ist gering Das ReDI-Verfahren ist proprietär und für einige Dienste/je nach Installation nicht sicher genug. Lösung: Shibboleth Bernd Oberknapp, UB Freiburg

Umstellung auf Shibboleth Ziel ist eine möglichst kurzfristige, flächendeckende Verfügbarkeit von Shibboleth, deshalb: Die Authentifizierung und Autorisierung wird für alle an ReDI teilnehmenden Einrichtungen auf einmal auf Shibboleth umgestellt. Alle dafür notwendigen Komponenten werden zunächst zentral installiert. Die Einrichtungen können den Betrieb der Komponenten dann später selbst übernehmen. Bernd Oberknapp, UB Freiburg

1. Schritt: Zentrale Installation Im ersten Schritt zentrale Implementierung aller Shibboleth-Komponenten in ReDI: ReDI als Service Provider (zusätzlich zu den anderen ReDI-Authentifizierungsverfahren) Identity Provider für alle Einrichtungen Zugriff auf Benutzerdatenbanken erfolgt zunächst auch für Shibboleth über das IBplus-Protokoll, in den Einrichtungen sind daher keine Änderungen erforderlich! Bernd Oberknapp, UB Freiburg

1. Schritt: Zentrale Installation ReDI-Server Einrichtungen Benutzerdaten Uni Stuttgart Einrichtungsauswahl ReDI-Login FH Heilbronn SSO AA IBplusAuthServer . . . . Bernd Oberknapp, UB Freiburg

Zentrale Identity-Provider 62 Identity-Provider implementiert und in interne ReDI-Föderation (aar) eingebunden Wesentliche Entwicklungsaufgaben: Anbindung an die lokalen Benutzerdatenbanken über das vorhandene IBplus-Protokoll Authentifizierung und Autorisierung trennen Funktionalität des IBplus-Systems nachbilden: IP-Adressen und Fehlermeldungen durchreichen Rechtedatenbank zur Verwaltung der Attribute Bernd Oberknapp, UB Freiburg

ReDI als Service-Provider Service-Provider auf den ReDI-Servern installiert und in Föderation eingebunden Anpassung der ReDI-Software war einfach: Neues Authentifizierungsverfahren „extern“ Zuordnung der Benutzer zu den ReDI-Benutzergruppen über entsprechende Attribute Zentrales Login-Skript ersetzt durch WAYF Wesentliche Entwicklungsaufgabe: WAYF Single-Logout erst mit Shibboleth 2.0! Bernd Oberknapp, UB Freiburg

ReDI als SP: Technik I ReDI verwendet „Lazy Authentication“: Die Authentifizierung erfolgt erst, wenn dies notwendig ist oder der Benutzer es wünscht. Wird die Authentifizierung ausgelöst, erfolgt ein Redirect zum ReDI-WAYF: /shib/login.php Die Authentifizierung für die vom Benutzer gewählte Einrichtung wird von ReDI über die SessionInitiator-URL des SP angestossen: /Shibboleth.sso/WAYF/aar? target=<ReDI-Rücksprungadresse>& providerId=<Provider-ID der Einrichtung> Bernd Oberknapp, UB Freiburg

ReDI als SP: Technik II Nach erfolgreicher Authentifizierung des Benutzers am IdP stellt der SP /shib/login.php die Attribute über HTTP-Header zur Verfügung: eduPersonEntitlement (vgl. Attribute-Vortrag) eduPersonPrincipalName (für Testphase) /shib/login.php baut damit eine ReDI-Sitzung auf, alles weitere übernimmt dann wie bisher ReDI. Apache-Konfiguration: <Location /shib> AuthType Shibboleth Require Shibboleth </Location> Bernd Oberknapp, UB Freiburg

Demo ReDI ohne Shibboleth: http://www.redi-bw.de/?prefs[shib]=0 ReDI mit Shibboleth (im Testbetrieb): http://www.redi-bw.de/?prefs[shib]=1 ReDI mit Shibboleth im Debug-Modus: http://www.redi-bw.de/shib/login.php?debug=1 Bernd Oberknapp, UB Freiburg

2. Schritt (optional): Übernahme der IdPs durch die Einrichtungen Im zweiten Schritt können die Einrichtungen (bei Horizon-Bibliotheken das BSZ) den Betrieb des Identity Providers selbst übernehmen. Der Zugriff auf die Benutzerdatenbanken kann dann direkt, ohne das IBplus-Protokoll, erfolgen. Dies ermöglicht dann auch die Nutzung von Service-Providern mit anderen Attribut-Anforderungen (Benutzergruppen) als ReDI. ReDI ist dann aus Shibboleth-Sicht nur noch ein Service-Provider. Bernd Oberknapp, UB Freiburg

2. Schritt (optional): Übernahme der IdPs durch die Einrichtungen ReDI-Server Einrichtungen Benutzerdaten Uni Stuttgart Einrichtungsauswahl ReDI-Login FH Heilbronn SSO AA Bernd Oberknapp, UB Freiburg

„Migrationscheckliste“ Wie werden die Ressourcen bisher geschützt (Apache, Tomcat, eigenes Verfahren, ...)? Existiert ein Sitzungsmanagement? Kann dieses weiter verwendet werden, z.B. indem eine Sitzung über Shibboleth aufgebaut wird? Existiert eine Rechteverwaltung? Können die dafür notwendigen Informationen per Shibboleth über Attribute bereitgestellt werden? Können die Identity-Provider die Attribute liefern? Bernd Oberknapp, UB Freiburg

Feedback: Datenschutzbestimmungen Feedback
Über Projekt: SlidePlayer Nutzungsbedingungen

© 2024 SlidePlayer.org Inc. All rights reserved.