Eine föderierte AA-Infrastruktur erleichtert die Integration von Internet Diensten Thomas Lenggenhager SWITCH, Zürich Ato Ruppert UB Freiburg Berlin 29. Mai 2006 1

Übersicht Motivation AAI Der Lösungsansatz Shibboleth Die Projekte SWITCHaai und AAR (DFN-AAI) Die Föderation Rechtliche und organisatorische Rahmenbedingungen Schritte zur Umsetzung 2

Single Sign-On im Wiki Vorteile Nachteile Zeitersparnis, da nur noch eine einzige Authentifizierung notwendig ist, um auf alle Systeme zugreifen zu können Sicherheitsgewinn, da sich Benutzer nur noch ein Passwort merken müssen und nicht mehrere, die sie sich nicht merken können. Sicherheitsgewinn, da das Passwort nur einmal übertragen werden muss Nachteile Kann ein Angreifer die Identität eines Benutzers entwenden, so stehen ihm sofort alle Systeme, auf die dieser Benutzer Zugriff hat, zur Verfügung. Daher ist es sinnvoll, eine Form der biometrischen Authentifizierung zu verwenden, um potenziellen Angreifern das Eindringen zu erschweren. 3

SSO in deutschen Hochschulen und Forschungseinrichtungen? Innerhalb von einzelnen Einrichtungen im Aufbau Einrichtungsübergreifend sind (mir) nur wenige Dienste bekannt. (SaxIS/Bildungsportal Sachsen, ReDI/BW) Vielerorts als „Vision“ erwähnt Die Voraussetzungen werden derzeit (fast) überall geschaffen: IdentityManagement-Systeme 4

Swiss Virtual Campus als AAI Motivator Ziel des Swiss Virtual Campus E-Learning an Universitäten fördern Kurse mit hoher Qualität entsprechend jenen der besten Institutionen auf ihrem Gebiet. 2000 – 2003 Impulsprogramm ≥ 3 teilnehmende Hochschulen pro Projekt 50 Projekte ~ 40 Mio CHF (24 Mio EUR)  Bedarf für koordinierte Authentisierung der Benutzer 2004 – 2007 Konsolidierungsprogramm  http://virtualcampus.ch

Wissenschaftportale zur Vermittlung von Informationen Das Beispiel vascoda vascoda ist ein interdisziplinäres Internetportal für wissenschaftliche Information in Deutschland. vascoda vereinigt Internetdienste zahlreicher leistungsstarker wissenschaftlicher Bibliotheken und Informationseinrichtungen. Mit vascoda wird der Grundbaustein für eine "Digitale Bibliothek Deutschland" gelegt. An vascoda sind heute über 40 Einrichtungen mit fast 30 Angeboten beteiligt. www.vascoda.de 6

7

8

9

10

11

12

Was wollen wir erreichen? Leitsätze zur Nutzung verteilter Informationen im Internet aus Sicht der Nutzer, Einrichtungen und Anbieter Nutzer: Der Zugriff auf lizenzierte Inhalte soll unabhängig vom gewählten Arbeitsplatz und dem Zugriffsweg möglich sein. Alle lizenzierten Inhalte sollten nach nur einmaliger Authentifizierung und Autorisierung (Single Sign-On) zur Verfügung stehen. Einrichtungen (etwa Hochschulen): Die Einrichtung soll ein beliebiges Authentifizierungssystem wählen dürfen. Der Aufwand der Rechteverwaltung soll möglichst gering sein. Anbieter: Die lizenzpflichtigen Inhalte der Anbieter sollen vor unberechtigten Zugriff geschützt werden. 13

Übersicht Motivation AAI Der Lösungsansatz Shibboleth Die Projekte SWITCHaai und AAR (DFN-AAI) Die Föderation Rechtliche und organisatorische Rahmenbedingungen Schritte zur Umsetzung 14

Ohne Shibboleth Aufwändige Registrierung bei allen Ressourcen Universität A Bibliothek B Universität C Stud. Admin. Web Mail e-Learning Literatur DB Research DB e-Zeitschriften Aufwändige Registrierung bei allen Ressourcen Unzuverlässige und veraltete Daten Verschiedene Login-Verfahren Viele Passworte Viele Ressourcen werden nicht geschützt Wenn geschützt, dann oft nur durch IP-Adressen The next two slides are a very brief introduction, why the SWITCHaai project was started some years ago. Here we have the situation without AAI. In this picture we have 2 Universities and a Library with each of them having several resources. Here, the user administration and authentication ….. This model has a couple of well known disadvantages …. Autorisierung Benutzerverwaltung Authentifizierung Ressource Passwort

Mit Shibboleth Registrierung bei den Ressourcen entfällt Universität A Bibliothek B Universität C Shibboleth Stud. Admin. Web Mail e-Learning Literatur DB Research DB e-Zeitschriften Registrierung bei den Ressourcen entfällt Einheitliches Login-Verfahren Single-Sign-On Erschliesst Benutzern neue Ressourcen Standort-unabhängig This is the world with AAI. Here, the user administration and authentication is very close to the place where the users are known best: e.g. the central student administration of a universitiy. We call the orange boxes the AAI home organizations (in Shibboleth terms they are called Origins). In this situation the disadvantages listed before have disappeared. So, … Autorisierung Benutzerverwaltung Authentifizierung Ressource Passwort

Shibboleth Federated Identity Management Architektur und Implementation Open Source Lizenz Basiert auf SAML: Security Assertion Markup Language Wird durch Internet2 entwickelt http://shibboleth.internet2.edu

Woher kommt „Shibboleth“? Hintergrund ist eine Stelle aus dem Alten Testament, Buch Richter Kapitel 12 Vers 5ff: Und die Gileaditer nahmen ein die Furt des Jordans vor Ephraim. Wenn nun sprachen die Flüchtigen Ephraims: Laß mich hinübergehen, so sprachen die Männer von Gilead zu ihm: Bist du ein Ephraiter? Wenn er dann antwortete: Nein, so hießen sie ihn sprechen: Schiboleth, so sprach er: Siboleth, und konnte es nicht recht reden. So griffen sie ihn und schlugen ihn an der Furt des Jordans, daß zu der Zeit von Ephraim fielen zweiundvierzigtausend. Das Wort „Shibboleth“ ist somit wohl das erste biometrische Autorisierungsverfahren gewesen (Zitat http://www.spiritproject.de/orakel/magie/lyrik/bibel/richter.htm) 18

Wie funktioniert Shibboleth? (Erstkontakt) Heimateinrichtung Benutzerin Anbieter 1 authentifiziert? (1) (3) ja nein Lokalisierungsdienst WAYF (2) (4) Benutzerin berechtigt? (6) (5) (7) (9) gestattet Zugriff ja (8) verweigert nein 19

Wie funktioniert Shibboleth? (Folgekontakt gleicher Anbieter) Heimateinrichtung Benutzerin Anbieter 1 authentifiziert? (1) ja nein (2) Benutzerin berechtigt? (9) gestattet Zugriff ja verweigert nein 20

Wie funktioniert Shibboleth? (Folgekontakt neuer Anbieter) Heimateinrichtung Benutzerin Anbieter 2 authentifiziert? (1) ja nein Lokalisierungsdienst (2) (4) Benutzerin berechtigt? (6) (7) (9) gestattet Zugriff ja (8) verweigert nein 21

Federated Identity Management Bestehende digitale Identitäten können auch ausserhalb einer Organisation für Authentisierung und Autorisierung genutzt werden Bestehendes Vertrauen Föderation Heim Organisation Ressourcen SP Service Providers IdP Identity Providers

Identity Management Kein Federated Identity Management ohne lokales Identity Management ! Damit eine Universität AAI sinnvoll nutzen kann benötigt sie ein lokales Identity Management Prozesse für Eintritte / Mutationen / Austritte Datenzusammenführung (Meta-Directory) Verzeichnisdienst

Identity Provider Integration Unterstützte Schnittstellen: Authentisierungs System Alle die mit Apache oder Tomcat integriert werden können Unter Windows: Kerberos AuthN mit Active Directory Windows AuthN mit IIS Benutzerverzeichnis JNDI (z.B. OpenLDAP, AD) JDBC (SQL Datenbanken) Benutzer Verzeichnis Authentisierungs System AAI Identity Provider mit AAI Der Shibboleth IdP ist in Java geschrieben AuthN = Authentisierung

Service Provider Integration Normalfall Web Server: Apache 1 & 2 Tomcat via mod_jk Microsoft IIS Autorisierung (AuthZ) Anwendungen werden durch Regeln geschützt Anwendungen verwenden die Benutzer-Attribute zur Zugangsbeschränkung AAI Web Server Web Anwen- dung Service Provider mit AAI Der Shibboleth SP ist in C++ geschrieben Shibboleth 2 bringt zusätzlich Java SP

SAML Security Assertion Markup Language OASIS Standard http://www.oasis-open.org basiert auf XML definiert das Format für Aussagen zu Identitäten Attribute Berechtigungen SAML 2.0 (2005) basiert auf Praxis-Erfahrung von Liberty Alliance http://www.projectliberty.org ID-FF Identity Federation Framework Shibboleth http://shibboleth.internet2.edu Steigende Akzeptanz

Interoperabilität Koordination ist das non-plus-ultra ! Bilaterale Interoperabilität ist möglich, skaliert aber nicht Bestehendes Vertrauen zwischen Organisationen soll für AAI gesichert werden: Verträge, Vereinbarungen und Regeln Technische Vorkehren: Verwendete Standards Digitale Server Zertifikate (X.509) für geschützte Kommunikation Konfigurationsdaten der akzeptierten Partner Interpretation der auszutauschenden Daten Persönliches Netzwerk der Beteiligten

Stand Shibboleth International Etablierte nationale Föderation Finnland (HAKA), Schweiz (SWITCHaai), USA (InCommon) Nationale Föderation im Werden im Aufbau UK (Access Management Federation) in Vorbereitung Australien (MAMS Testbed) Dänemark, Deutschland, Schweden (SWIF) Koordination um regionale Aktivitäten Belgien, Frankreich (CRU) Wachsendes Interesse in weiteren Ländern, aber noch keine Entscheidungen bekannt

AAI neben Shibboleth? Etablierte nationale Föderation Kroatien (AAI@EDU.HR) Proprietäre Lösung um LDAP Niederlande (SURFnet) Verwendet A-Select, kann nun auf Shibboleth SP zugreifen Norwegen (FEIDE) Verwendet Moria, wechselt zu SAML 2 (Sun Identity Provider), Zugriff auf Shibboleth SP geplant Spanien (RedIRIS) Verwendet PAPI, Zugriff auf Shibboleth SP geplant

Unterstützung von Shibboleth bei Dienstanbietern Index of Shibboleth-Enabled Applications and Services (Quelle: internet2) in Deutschland: Infoconnex vascoda ReDI SaxIS FIZ-Technik FIZ-Karlsruhe ArtSTOR Blackboard Bodington.org CSA Darwin Streaming Server Digitalbrain PLC eAcademy EBSCO Publishing Elsevier Science Direct ExLibris-SFX Fedora Higher Markets Horde Hupnet ILIAS JSTOR Moodle Napster NSDL OCLC OLAT Ovid Technologies Inc. Proquest Information and Learning Serials Solutions SYMPA ThomsonGale TWiki Useful Utilities-EZproxy Web Assign WebCT 30

Übersicht Motivation AAI Der Lösungsansatz Shibboleth Die Projekte SWITCHaai und AAR (DFN-AAI) Die Föderation Rechtliche und organisatorische Rahmenbedingungen Schritte zur Umsetzung 31

Das SWITCHaai Projekt Die Stiftung SWITCH SWITCHaai Projektverlauf Projektstand Die Virtuelle Heim Organisation – VHO Projektfinanzierung

Die Stiftung SWITCH SWITCH ist eine Stiftung des Bundes und der Hochschul-Kantone Teleinformatikdienste für Lehre und Forschung Netzwerk: Planung & Betrieb des Backbones NetServices: e-Conferencing & Content Delivery Security: CERT, PKI & Middleware (AAI, Grid & Roaming) Domain Registration für .ch und .li Total 70 Mitarbeiter Outsourcing für Helpdesk und Billing der Domain Registration

SWITCHaai Projektverlauf 2001 2002 2003 2004 2005 2006 2007 Studie Pilot Implementation Produktiver Betrieb Studie, Planung … Architektur Evaluation  Shibboleth Now, having the vision of such an AAI in mind, SWITCH started an AAI project about 3 years ago. It all began with the AAI Study. In this study,an working group composed of participants from the Swiss Universities as well as SWITCH looked at the feasibility of an AAI inSwitzerland from several points of view: organisational, technical, legal, financial, etc. The result was, that building up such an AAI it seemed feasible. After that, the pilot phase was startet. The goal of the pilot phase was proofing feasibility and also evaluating technologies. We started with two technologies: PAPI from the Spanish NREN RedIRIS and Shibboleth from Internet 2. At a later phase, also TEQUILA, a development of the EPFL in Switzerland joined the list of candidates. At the Beginning of 2003, we made a technology evaluation. The winner Was Shibboleth. Finally Shibboleth was the winner, mainly due to it’s convincing architecture the large community that stand behind it the contacts of Internet2 with content providers -the fact, that it relies on standards, such as SAML At that point in time, the decision was not easy. However, we have never regret it. Nov 1999: Term AAI das erste Mal in einem Dokument verwendet Nov 2000: AAI Workshop

SWITCHaai Identity Providers Abdeckung: 140’000 Benutzer (> 70%) der CH Hochschulen Universitätsspital Zürich Universität Basel Zürcher Hochschule Winterthur Universität St. Gallen Universität Zürich ETH Zürich SWITCH Pädagogische Hochschule Bern Université de Neuchâtel Universität Luzern Universität Bern Fachhochschule Zentralschweiz VHO Université de Fribourg HES-SO EPFL Université de Lausanne Université de Genève SUPSI Università della Svizzera italiana IdP in Betrieb IdP im Aufbau VHO = Virtual Home Organization

Service Provider in SWITCHaai E-Learning Bibliotheken OLAT WebCT Vista EZproxy JSTOR VITELS WebCT Campus ScienceDirect dokeos DOIT ILIAS RERO Moodle EBSCO BSCW AD Learn Blackboard Andere Web Anwendungen kommerziell eConf-Portal SwissLex Fedora Microsoft CompiCampus EVA = Einfache virtuelle Ablage (entwickelt an der Uni Basel, Open Source)) Bundesgericht jahia EVA WebSMS uPortal SAP-CM Lenya IS-Academia

SWITCH & Universitäten Projektfinanzierung 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 Aufwand Pilot Realisierung Betrieb SWITCH & Universitäten Bundesmittel Tarife Grafik ist qualitativ, nicht quantitativ

Das Projekt AAR (UB Freiburg, UB Regensburg) Projektauftrag BMBF (PT-NMB+F ): Es werden die notwendigen Komponenten und kommunikations-prozeduren für Authentifizierungsserver, Autorisierungsserver und Rechteserver definiert, entwickelt und im realen Betrieb eingesetzt und erprobt (mit Shibboleth). Weiterhin wird ein Organisationsmodell erarbeitet, dass den weiteren Betrieb nach der Projektlaufzeit sicherstellt. Zeitraum: 1.1.2005 – 31.12.2007 Kosten: rd. 380.000,- Eur (2 Stellen + Sachmittel) Auftragserweiterung für 2007: Aufbau einer Föderation zum Betrieb der AAI gemeinsam mit dem DFN. 38

Zeitplan des Projekts AAR 29. Mai 2006   Abstimmung mit vascoda Entwicklungs-umgebung Analyse Abstimmung Implemen-tierung Realbetrieb vascoda Workshops Dokumentation Aufbau Föderation Projektmonat 17 (Mai 2006) 39

Übersicht Motivation AAI Der Lösungsansatz Shibboleth Die Projekte SWITCHaai und AAR (DFN-AAI) Die Föderation Rechtliche und organisatorische Rahmenbedingungen Schritte zur Umsetzung 40

Was ist eine Föderation? Gruppe von Organisationen Akzeptieren gegenseitig Bestätigungen zu Identitäten Beschreibende Aussagen (Attribute) Befolgen gemeinsame Regeln Sind selbstständig Nutzen gemeinsame Standards Circle of Trust Föderation

Aufgaben und Rollen (1) Basis Dienste einer Föderation Koordination, Strategie und Weiterentwicklung Dokumentation & Metadaten bereitstellen Beratung, Training Betrieb des zentralen WAYF Betrieb der Test Infrastruktur Bereitstellen von Werkzeugen Update Scripts Resource Registry WAYF = 'Where Are You From?' Server

Aufgaben und Rollen (2) Erweiterte Dienste einer Föderation Unterstützung bei der Integration von Anwendungen Unterstützung der Identity Provider evtl. Outsourcing anbieten Virtuelle Heim Organisation

Virtuelle Heim Organisation – VHO Integration von Benutzern ohne Identity Provider SP Admin erzeugt bei der VHO “AAI-enabled” Konten für die Benutzer ohne Identity Provider Ein VHO Konto ist nur für die SP von Nutzen, die der SP Admin kontrolliert. Dritte werden diesen Identitäten nicht trauen Föderations Mitglied Home Org SP Admin Benutzer Admin Einige Benutzer ohne Identity Provider VHO Dienst @SWITCH User Dir VHO Policy

Die SWITCHaai Föderation SWITCH ist der Betreiber der SWITCHaai Föderation Mitglied der Föderation durch Unterschreiben des Service Agreements

Regeln, Richtlinien und Zertifikate Federation Policy VHO Policy Policy für akzeptierte Zertifikate Attribut Spezifikation Anforderungen ans Identity Management 'Best Practice' Dokumente

Datenschutz 1 (Datenhaltung) Europäisches Recht (Art. 6): Personenbezogene Daten dürfen nur für spezielle Aufgaben verarbeitet werden! Die Einrichtungen (= Identitiy Provider) müssen den Zweck der Datenhaltung festlegen und beschreiben. In Universitäten z.B. (verkürzt): Unterstützung von Forschung und Lehre. Die Ziele aller Mitglieder einer Föderation müssen diesem Zweck entsprechen! (Bei Unis u.a. ist das per se so) Auf Seiten der (auch kommerziellen) Dienstanbieter (SP): Z.B. Buchhandel, ZS-Verlage, wiss. Infodienste: Ja Z.B. EBAY, Kaufhäuser: Einschränkungen möglich Behörden: ? 47

Datenschutz 2 (Weitergabe von Attributen) Europäisches Recht (Art. 7): Weitergabe personenbezogener Daten nur wenn notwendig Zur Vertragserfüllung (mit den Anbietern) Gesetzliche Grundlagen vorliegen Zum Schutz vitaler Interessen (der Anbieter) Zur Erfüllung der Leistung eines Auftrages (des Anbieters) und 5. Nach ausdrücklicher Zustimmung der betroffenen Person 48

Weitergabe von Attributen: Das Modell Autograph (MAMS) Die Attribute, die an einen Service-Provider weitergegeben werden, werden den Benutzern in Form von Visitenkarten präsentiert. Benutzer können für jeden Service-Provider individuelle Visitenkarten erstellen. Die Bedienung ist sehr intuitiv: Streichen von Attributen schränkt die verfügbaren Dienste entsprechend ein Auswahl eines gewünschten Dienstes fügt automatisch die notwendigen Attribute hinzu Demo 49

Metadaten Metadaten sind fundamental für die Föderation! Vertrauen & Sicherheit Infos über Zertifikate und providerID, damit man weiss mit wem man Daten austauscht Datenschutz Attribute Release Policy (beim IdP) Metadaten müssen aktuell und synchron sein, sonst klappt die Interoperabilität nie Bilateraler Austausch skaliert schlecht  Ein Werkzeug für die Verwaltung der Metadaten wird benötigt

Die Resource Registry Ziel Skalierende Metadaten Verwaltung Unterstützung für administrative Prozesse

Attribute für SWITCHaai Basiert auf eduPerson Spezifikation Werte für Studienrichtung etc. aus der CH-Hochschulstatistik Benutzername & Passwort fehlen  nur lokal benutzen! Personen bezogen Eindeutige ID Nachname Vorname E-Mail Adresse Telefonnummer Bevorzugte Sprache Geburtsdatum Geschlecht Gruppen bezogen Name der Heim Organisation Art der Heim Organisation Status (student, staff, faculty, …) Studienrichtung Studienstufe Mitarbeiterkategorie Gruppen Zugehörigkeit DN der Organisation DN der Organi-sationseinheit Attribute die nicht bei allen Heim Organisationen vorhanden sein müssen

Attribute und deren Bedeutung Zwei Beispiele swissEduPersonStudyBranch Standardisierte Werte dank schweiz. Hochschulstatistik z.B. für Zugangsbeschränkung zu med. E-Learning Kurs eduPersonAffiliation Abschliessende Liste von Werten faculty, student, staff, alum, member, affiliate, employee 6200 Humanmedizin 6300 Zahnmedizin 6400 Veterinärmedizin 7905 Forstwirtschaft 7910 Agrarwirtschaft 7915 Lebensmittelwissenschaft

Attribut-Schemata Mehrere Grundlagen liegen vor: eduPerson Specification (Internet2) funetEduPerson (HAKA) SCHAC-IAD Version 1.0.0 (Terena) swissEduPerson (SWITCH) Beachte:Weltweit operierende, kommerzielle Anbieter halten sich bisher i.a. an eduPerson! (wg.InCommon) 54

Shibboleth-Standardattribute Shibboleth/InCommon-Standardattribute basieren auf dem eduPerson-Schema Internationale Anbieter halten sich üblicherweise an diesen Standard (insb. eduPersonEntitlement) Anbieter kommen meistens mit einigen wenigen Attributen aus, die in der Shibboleth-Software bereits vor konfiguriert sind Beispiele: eduPersonScopedAffiliation (member@...,staff@...) eduPersonTargetedID (r12345z@...) eduPersonPrincipalName (ruppert@uni-freiburg.de) "Informationmaybecompiledaboutaparticularwebuser, buttheremightnotbeanyintentionoflinkingittoaname andaddressore-mailaddress.Theremightmerelybean intentiontotargetthatparticularuserwithadvertising, ortoofferdiscountswhentheyre-visitaparticularweb site,onthebasisoftheprofilebuiltup,withoutany abilitytolocatethatuserinthephysicalworld.The Commissionertakestheviewthatsuchinformationis, nevertheless,personaldata.Inthecontextoftheon-line worldtheinformationthatidentifiesanindividualis thatwhichuniquelylocateshiminthatworld,by distinguishinghimfromothers." 55

Confoederatio Helvetica Was bedeutet dies? Confoederatio Helvetica CH

eduGAIN: jenseits nationaler Grenzen eduGAIN: das AAI Forschungsprojekt von GÉANT2 Ziel ist die Konföderation nationaler AAI Föderationen um grenzüberschreitend Dienste nutzen zu können Gemeinsame 'Sprache' ist SAML 'Übergabepunkte' dienen der Vernetzung, sie wissen welche Dienste es in ihrer Föderation gibt was wie zu übersetzen ist wem wie weit zu vertrauen ist wer was darf

Übersicht Motivation AAI Der Lösungsansatz Shibboleth Die Projekte SWITCHaai und AAR (DFN-AAI) Die Föderation Rechtliche und organisatorische Rahmenbedingungen Schritte zur Umsetzung 58

Die SWITCHaai Föderation SWITCH ist der Betreiber der SWITCHaai Föderation Mitglied der Föderation durch Unterschreiben des Service Agreements

Rechtlicher Rahmen für SWITCHaai Bundesrecht, kantonales Recht (spez. Datenschutz) SWITCH AAI Policy Service Agreement Org ... User Regulations User Regulations: Benutzungsordnung

DFN-AAI, was ist zu tun? Aufbau eines Rahmens für die Föderation Vorgabe von Richtlinien (Policy) Gremien Befugnisse Vertragsprinzipien grundsätzliche technische Entscheidungen zentrale betriebliche Aufgaben z.B. WAYF, Testumgebung, Support, Zertifizierungsstelle Public Relations internationale Vertretung Vertragsgestaltung und -abschluss 61

Vertragsgestaltung DFN-Rahmenvertrag DFNInternet DFNFernsprechen DFNAAI Dienstbeschreibung Technische Grundlagen Policy Zentrale betriebliche Aufgaben Entgelte 62

Anforderungen an IdM-Systeme Personen erhalten elektronische Identität Attribute beschreiben die Rolle der Person Qualitätsanforderungen: Verlässlichkeit Sicherheitsstufen, Missbrauchverhinderung Aktualität zeitnahe Änderung Nachvollziehbarkeit Dokumentation, Logging Ausfallsicherheit Back-up-Systeme Einklang mit rechtlichen Vorgaben Datenschutzgesetz 63

Attribute eduPerson-Schema (aus Internet2) Internationale und kommerzielle Partner verwenden eduPerson verbindliche Menge soll minimal sein Erweiterungen sollen möglich sein, falls erforderlich Beispiele: eLearning-Zeugnisse Anmerkung: Die in der DFN-AAI definierten Attribute müssen aus den lokalen IdM-Systemen abgebildet werden können, sie müssen nicht identisch existieren! 64

Übersicht Motivation AAI Der Lösungsansatz Shibboleth Die Projekte SWITCHaai und AAR (DFN-AAI) Die Föderation Rechtliche und organisatorische Rahmenbedingungen Schritte zur Umsetzung 65

Stand und Ausblick zum Projekt AAR und der DFN-AAI Alle Komponenten von Shibboleth sind in Testumgebungen verfügbar Gespräche mit Dienstanbietern entwickeln sich sehr positiv (im Rahmen von Kaufverhandlungen, etwa 100 kommerzielle Service Provider) Das Portal (Regionale DatenbankInformationen Baden-Württemberg) ist als Pilotprojekt auf Shibboleth umgestellt (mit einer „internen“ Föderation, etwa 60 Identity Provider) ReDI 66

67

Stand und Ausblick zum Projekt AAR Alle Komponenten von Shibboleth sind in Testumgebungen verfügbar Gespräche mit Dienstanbietern entwickeln sich sehr positiv (im Rahmen von Kaufverhandlungen, etwa 100 kommerzielle Service Provider) Das Portal (Regionale DatenbankInformationen Baden-Württemberg) ist als Pilotprojekt auf Shibboleth umgestellt (mit einer „internen“ Föderation, etwa 60 Identity Provider) ReDI Die Betriebssoftware IPS von vascoda wird bis Mitte 2006 auf Shibboleth umgestellt (Test mit Anbieter Infoconnex) Am 10. Oktober 2006 wird der 3. Workshop zu Shibboleth in Freiburg stattfinden Eine Lösung für die DFG-Nationallizenzen mit Shibboleth wird derzeit erarbeitet. 68

Nationallizenzen: Die Situation heute – institutionelle Nutzer IP-Liste IP-Liste Zugangsvermittlung mit proprietären Verfahren z.B. ReDI IP-Kontrolle Verlag-1 Einrichtung-1 Verlag-2 IP-Kontrolle IP-Liste IP-Liste IP-Liste IP-Kontrolle IP-Kontrolle Einrichtung-2 Verlag-m IP-Liste IP-Liste 69

Ziel mit AAI Shib idp Shib sp Shib idp NL VHO 1x Shib sp IP- Ctrl Shib Verlag-1 IP- Ctrl Shib sp ReWriting Proxy (HAN) Verlag-2 Ggf mehrere Instanzen (Einrichtungen) Shib sp Verlag-m Shib idp IP Falls Einrichtung über IP authentifiziert www.nationallizenzen.de 70

Voraussetzungen für AAI Installation Vorkenntnisse Sysadmin Erfahrung IdP: Java Tomcat SP: Web Server Konfig Bereitschaft für neue Technologie Support bei Problemen gewährleistet NB: Ein IdP benötigt ein existierendes Identity Management…

Erfolgsfaktoren für SWITCHaai Motivator: Swiss Virtual Campus Gute Zusammenarbeit mit den Universitäten Arbeitsgruppen Unterstützung auf allen Ebenen Bund Universitätsleitungen Informatikdienste Verfügbarkeit der Shibboleth Software von Internet2

Danke für Ihre Aufmerksamkeit! Clip Danke für Ihre Aufmerksamkeit! AAR ist ein Projekt der UB Freiburg und UB Regensburg Gefördert vom BMBF (PT-NMB+F ) aar.vascoda.de SWITCHaai www.switch.ch/aai aai@switch.ch 73

Service Provider Integration (2) Spezialfall Black-Box Anwendungen mit integriertem Web Server: Externer Zugang zum AuthN-System benötigt, z.B. über API Mit (transparentem) AAIportal als AuthN-Gateway Zusatzdienste des AAIportals z.B. direkte Einladung zu Kursen WebCT E-Learning Systeme werden z.B. so in SWITCHaai integriert AAIportal ist Open Source http://aai-portal.sourceforge.net Black Box Service Provider mit AAI AAI portal Web Server Web Anwendung AuthN API

SWITCHaai Federation Partner Federation Partner bringen einen Service Provider in die Föderation ein Content Provider Elsevier, NL EuQoS Projekt Teilnehmer ENSICA, FR NICTA, AU Università di Pisa, IT Università di Roma, IT Universität Tübingen, DE Warsaw University of Technology, PL