und Einführung in die Thematik Projektübersicht AAR und Einführung in die Thematik Das Projekt Authentifizierung, Autorisierung und Rechteverwaltung (AAR) Ato Ruppert UB Freiburg 2. Shibboleth-Workshop 23. März 2006
Fragestellung und Motivation Suche nach wissenschaftlicher Information im Internet Quelle wird gefunden, aber… …Zugang nur gegen Passwort oder Zahlung ->Wiss. Bibliotheken kaufen Nutzungslizenzen für elektronische Informationen. Daher ist der Zugang über die Bibliotheken i.d.R. möglich. 2
Wissenschaftportale 1 vascoda ist ein interdisziplinäres Internetportal für wissenschaftliche Information in Deutschland. vascoda vereinigt Internetdienste zahlreicher leistungsstarker wissenschaftlicher Bibliotheken und Informationseinrichtungen. Mit vascoda wird der Grundbaustein für eine "Digitale Bibliothek Deutschland" gelegt. An vascoda sind heute über 40 Einrichtungen mit fast 30 Angeboten beteiligt. www.vascoda.de 3
Wissenschaftportale 2 ReDI Regionale DatenbankInformationen Baden-Württemberg (www.redi-bw.de): Angebot insgesamt: 493 Datenbanken - Nutzung externer Verlagsserver: 147 - Windows-basierte CD-Angebote 337 - Reference-Linking zu den Volltexten Über 60 Teilnehmereinrichtungen ReDI 4
Was also wollen wir erreichen? Leitsätze zur Nutzung verteilter Informationen im Internet aus Sicht der Nutzer, Einrichtungen und Anbieter Nutzer: Der Zugriff auf lizenzierte Inhalte soll unabhängig vom gewählten Arbeitsplatz und dem Zugriffsweg möglich sein. Alle lizenzierten Inhalte sollten nach nur einmaliger Authentifizierung und Autorisierung (Single Sign-On) zur Verfügung stehen. Einrichtungen (etwa Hochschulen): Die Einrichtung soll ein beliebiges Authentifizierungssystem wählen dürfen. Der Aufwand der Rechteverwaltung soll möglichst gering sein. Anbieter: Die lizenzpflichtigen Inhalte der Anbieter sollen vor unberechtigten Zugriff geschützt werden. 5
Was ist AAR? AAR ist eine Infrastruktur zur Authentifizierung, Autorisierung und Rechteverwaltung AAR ist ein Single Sign-on System, mit dem verschiedene Ressourcen mit einem einzigen Login genutzt werden können („Reference Linking“) AAR basiert auf einem föderativen Ansatz: Die Einrichtung verwaltet und authentifiziert ihre Mitglieder und der Anbieter kontrolliert den Zugang zu seinen Ressourcen AAR baut auf Shibboleth (Internet2-Projekt) auf AAR ergänzt Shibboleth um einen Rechteserver 6
Woher kommt „Shibboleth“. (Zitat http://www. spiritproject Hintergrund ist eine Stelle aus dem Alten Testament, Buch Richter Kapitel 12 Vers 5ff: Und die Gileaditer nahmen ein die Furt des Jordans vor Ephraim. Wenn nun sprachen die Flüchtigen Ephraims: Laß mich hinübergehen, so sprachen die Männer von Gilead zu ihm: Bist du ein Ephraiter? Wenn er dann antwortete: Nein, so hießen sie ihn sprechen: Schiboleth, so sprach er: Siboleth, und konnte es nicht recht reden. So griffen sie ihn und schlugen ihn an der Furt des Jordans, daß zu der Zeit von Ephraim fielen zweiundvierzigtausend. Das Wort „Shibboleth“ ist somit wohl das erste biometrische Autorisierungsverfahren gewesen ! 7
Was ist eine Föderation? Eine Föderation ist ein Zusammenschluss von Einrichtungen und (auch kommerziellen) Anbietern auf Basis gemeinsamer Richtlinien. Eine Föderation schafft das für Shibboleth notwendige Vertrauensverhältnis zwischen Einrichtungen und Anbietern und einen organisatorischen Rahmen für den Austausch von Benutzerinformationen. Unter Koordination des DFN wird eine deutschlandweite Föderation aufgebaut (DFN-AAI). Am 14. März 2006 wurde in Berlin eine Arbeitsgruppe zum Aufbau der Föderation gebildet. Mitglieder sind: DFN, AAR, Bibliotheken, GRID-Gruppen, CERT, RZ‘s, u.a. DFN und AAR haben internationale Kontakte zu Internet2, Switch, Haka, MAMS. Das Projekt ist koordiniert mit anderen europäischen Aktivitäten (z.B. Terena, Geant2). 8
Teilnehmer der Föderation und ihre Rollen Mitglieder (Unis, FHs, etc): Einrichtung = Identity Provider (IdP) Anbieter (etwa eLearning-Angebote) = Service Provider (SP) Partner Anbieter (auch kommerzielle!) = Service Provider (SP) Steuerungsgremien Überwachung und Entscheidung Operator Koordinationsdienst für die Föderationsverwaltung Technische Dienste 9
Beispiel: Haka/Finnland (Quelle: Mikael Linden, CSC) Die Organisationsstruktur von Haka entspricht der von SWITCHaai Operator CSC – scientific computing ltd Central AAI services Advisory comm. Operations comm. Federation members Federation partners IdP Palvelu IdP Palvelu Palvelu IdP Palvelu Palvelu SP SP Palvelu SP SP SP SP 10
Datenschutz 1 (Datenhaltung) Europäisches Recht (Art. 6): Personenbezogene Daten dürfen nur für spezielle Aufgaben verarbeitet werden! Die Einrichtungen (= Identitiy Provider) müssen den Zweck der Datenhaltung festlegen und beschreiben. In Universitäten z.B. (verkürzt): Unterstützung von Forschung und Lehre. Daraus folgt: Die Ziele aller Mitglieder einer Föderation müssen diesem Zweck entsprechen! (Bei Unis u.a. ist das per se so) Auf Seiten der (auch kommerziellen) Dienstanbieter (SP): Z.B. Buchhandel, ZS-Verlage, wiss. Infodienste: Ja Z.B. EBAY, Kaufhäuser: Einschränkungen sind denkbar Behörden: ? 11
Datenschutz 2 (Weitergabe von Attributen) Europäisches Recht (Art. 7), §§18-20 LDSG-BW: Weitergabe personenbezogener Daten nur wenn notwendig Zur Vertragserfüllung (mit den Anbietern) Gesetzliche Grundlagen vorliegen Zum Schutz vitaler Interessen (der Anbieter) Zur Erfüllung der Leistung eines Auftrages (des Anbieters) und 5. Nach ausdrücklicher Zustimmung der betroffenen Person 12
Dienste des Föderationsoperators Vorgabe von Richtlinien (Policies) Verwaltung Metadaten der Mitglieder Betrieb eines Lokalisierungsdienstes Betrieb einer Zertifizierungsstelle Betrieb einer Testumgebung Technischer Support Status in Arbeit verfügbar: AAR verfügbar: DFN 13
Anwendungsmöglichkeiten Portale: vascoda, ReDI … Verwaltungssysteme eScience-Projekte eLearning-Systeme Repositories, z.B. MyCoRe Grid-Computing Öffentliches Angebot der DFG-Nationallizenzen (Planung: Realisierung bis Ende Mai 2006) 14
Nationallizenzen: Die Situation heute – institutionelle Nutzer IP-Liste IP-Liste Zugangsvermittlung mit proprietären Verfahren z.B. ReDI IP-Kontrolle Verlag-1 Einrichtung-1 Verlag-2 IP-Kontrolle IP-Liste IP-Liste IP-Liste IP-Kontrolle IP-Kontrolle Einrichtung-2 Verlag-m IP-Liste IP-Liste 15
Ziel mit AAR Shib idp Shib sp Shib idp NL VHO 1x Shib sp IP- Ctrl Shib Verlag-1 Shib idp Shib sp Falls Einrichtung über IP authentifiziert ReWriting Proxy (HAN) Verlag-2 Shib sp IP- Ctrl Ggf mehrere Instanzen (Einrichtungen) IP Verlag-m Shib idp Shib sp www.nationallizenzen.de 16
Danke für Ihre Aufmerksamkeit! AAR ist ein Projekt der UB Freiburg und UB Regensburg. Gefördert vom BMBF (PT-NMB+F ) aar.vascoda.de info@aar.vascoda.de ruppert@ub.uni-freiburg.de 17