Das Projekt AAR Authentifizierung, Autorisierung und Rechteverwaltung Vorstellung des Projektes und Informationsaustausch Mannheim, 13. Juni 2006 Franck Borel, Jochen Lienhard,UB Freiburg

Franck Borel, UB Freiburg 2 Übersicht Das Projekt AAR Warum Shibboleth? Wie funktioniert Shibboleth? Attribute Identity-Provider Service-Provider Ausblick - Föderation Ansatz für Mannheim

Franck Borel, UB Freiburg 3 Das Projekt AAR Partner: UB Freiburg und UB Regensburg finanziert durch das BMBF ( PT-NMB+F ) eingebettet in vascoda Laufzeit 3 Jahre bis Ende 2007: 2 Jahre Entwicklungs- und Testphase mit ReDI und vascoda als Pilotanwendungen 1 Jahr Unterstützung von Einrichtungen und Anbietern bei der Einführung des Systems

Franck Borel, UB Freiburg 4 Das Projekt AAR Was wollen wir erreichen? Nutzer Der Zugriff auf lizenzierte Inhalte soll unabhängig vom gewählten Arbeitsplatz und dem Zugriffsweg möglich sein. Alle lizenzierten Inhalte sollten nach nur einmaliger Anmeldung zur Verfügung stehen (Single Sign-On). Einrichtungen (etwa Hochschulen) Die Einrichtung soll ein beliebiges Authentifizierungssystem wählen dürfen. Der Aufwand der Rechteverwaltung soll möglichst gering sein. Anbieter Die lizenzpflichtigen Inhalte der Anbieter sollen vor unberechtigten Zugriff geschützt werden.

Franck Borel, UB Freiburg 5 Das Projekt AAR AAR basiert auf Shibboleth Shibboleth ist ein Internet2/MACE-Projekt (MACE = Middleware Architecture Committee for Education) Shibboleth entwickelt eine Architektur (Protokolle und Profile), Richtlinien-Strukturen und eine Open Source-Implementierung für den einrichtungsübergreifenden Zugriff auf geschützte (Web-)Ressourcen

Franck Borel, UB Freiburg 6 Warum Shibboleth? Einrichtungsübergreifendes Single Sign-On Autorisierung und Zugriffskontrolle über Attribute mit der Möglichkeit zur anonymen/pseudonymen Nutzung von Angeboten basiert auf bewährter Software und Standards (SAML: XML, SOAP, TLS, XMLsig, XMLenc) Integration mit vorhandenem IdM und (webbasierten) Anwendungen möglich Weltweit hohe Akzeptanz, auch bei kommerziellen Anbietern (Elsevier, JSTOR, EBSCO, Ovid, Springer,...)

Franck Borel, UB Freiburg 7 Warum Shibboleth? Anwendungsmöglichkeiten Zugang zu geschützten (kommerziellen) elektronischen Informationsangeboten: Zeitschriften, Datenbanken, Bücher,... Portale (z.B. vascoda, ReDI) DFG-Nationallizenzen Repositories (z.B. MyCoRe) e-Learning e-Science Verwaltungssysteme Grid-Computing

Franck Borel, UB Freiburg 8 Woher kommt Shibboleth? Hintergrund ist eine Stelle aus dem Alten Testament, Buch Richter Kapitel 12 Vers 5ff: Und die Gileaditer nahmen ein die Furt des Jordans vor Ephraim. Wenn nun sprachen die Flüchtigen Ephraims: Laß mich hinübergehen, so sprachen die Männer von Gilead zu ihm: Bist du ein Ephraiter? Wenn er dann antwortete: Nein, so hießen sie ihn sprechen: Schiboleth, so sprach er: Siboleth, und konnte es nicht recht reden. So griffen sie ihn und schlugen ihn an der Furt des Jordans, dass zu der Zeit von Ephraim fielen zweiundvierzigtausend. Shibboleth ist somit wohl das erste biometrische Autorisierungsverfahren gewesen

Franck Borel, UB Freiburg 9 Wie funktioniert Shibboleth? Föderation Heimat- einrichtung mit Identity-Provider Heimat- einrichtung mit Identity-Provider Anbieter mit Service-Provider Anbieter mit Service-Provider WAYF Authentifizierung Autorisierung Authentifizierung Autorisierung Ressourcen- verwaltung, Zugangs- berechtigung Ordnet einen Benutzer seiner Heimateinrichtung zu Vertragspartner, Operator, rechtliche Belange

Franck Borel, UB Freiburg 10 Wie funktioniert Shibboleth? Benutzerin Service-Provider (4) (5) Benutzerin berechtigt? (6) (7) (8) verweigert nein (3) (9) gestattet Zugriff ja Identity-Provider WAYF Benutzerin bekannt? ja nein (2) (1)

Franck Borel, UB Freiburg 11 Wie funktioniert Shibboleth? Sicherheitsmechanismen SSL/TSL: Man-in-the-Middle, Message Modification, Eavesdropping XMLsig: Message Modification Gültigkeitsdauer von Sitzungen, Bestätigungen, Attributen (engl. Lifetime, TTL): Replay, DoS Metadaten: DoS, Message Modification Es werden keine personenbezogenen Daten übermittelt, sondern Stellvertreter (engl. Handler): Eavesdropping

Franck Borel, UB Freiburg 12 Attribute Attribute bilden die Grundlage für die Autorisierung und die Zugriffskontrolle in Shibboleth: Identity-Provider stellen die notwendigen Attribute für ihre Benutzer zur Verfügung. Service-Provider werten die Attribute anhand ihrer Regeln aus und gestatten oder verweigern je nach Ergebnis den Zugriff. Hierfür sind Absprachen zwischen Identity- und Service-Providern notwendig, die durch Verwendung eines einheitlichen Schemas vereinfacht werden!

Franck Borel, UB Freiburg 13 Attribute Der Shibboleth-Standard InCommon hat mit eduPerson den Standard für den Austausch von Attributen vorgegeben: docs/policies/federatedattributes.htmleduPerson docs/policies/federatedattributes.html Internationale Anbieter orientieren sich üblicherweise an diesem Standard. Die meisten Service-Provider kommen dabei mit wenigen Attributen aus, typischerweise mit eduPersonScopedAffiliation, eduPersonEntitlement, eduPersonTargetedID oder eduPersonPrincipalName Anerkannter Attributwert für Standardlizenzmodelle: urn:mace:dir:entitlement:common-lib-terms

Franck Borel, UB Freiburg 14 Identity-Provider (IdP 1.3) Apache mod_jk Tomcat Einrichtung (Identity-Provider) IdP-Servlet Attributfilter Lokales Identity-Management

Franck Borel, UB Freiburg 15 Identity-Provider Arbeitsschwerpunkte IdP Anbindung des IdP mit lokalem IdM: Authentifizierung: LDAP, SQL, diverse Bibliothekssysteme (BiBer, Libero) und ReDI (JAAS) Autorisierung: LDAP, SQL, eigene Resolver IdP für mehr als 50 ReDI-Teilnehmer: zunächst zentral installiert Übernahme in lokalen Betrieb zum Teil bereits in Arbeit (Heidelberg, Konstanz, Stuttgart, Hohenheim, BSZ) Virtual Home Organization (VHO) Beratung und technische Unterstützung von Hochschulen, Bibliotheksverbünden,...

Franck Borel, UB Freiburg 16 Apache Service-Provider (SP) mod_shib (shire) Anbieter (Service-Provider) shibd (shar) Ressourcen Zugriffskontrolle Attributfilter

Franck Borel, UB Freiburg 17 Service-Provider Arbeitsschwerpunkte Anwendungen Shibboleth fähig machen: ReDI (Hauptentwicklung: integrierter WAYF) ReDI vascoda (IPS-Portalsoftware): bis Herbst 2006 Testumgebung mit Hochschulbibliothekszentrum Köln und Informationszentrum Sozialwissenschaften Bonn aufbauenIPS-Portalsoftware Testumgebung CSA Bibliotheksanwendungen (z.B. Standortkatalog) Systemanwendungen (z.B. Nagios und Backup)Nagios interne Webseiten der UB Freiburg,... weitere (kommerzielle) Anbieter überzeugen Beratung und technische Unterstützung von Einrichtungen und (kommerziellen) Anbietern

Franck Borel, UB Freiburg 18 Migrationscheckliste Wie werden die Ressourcen bisher geschützt (Apache, Tomcat, eigenes Verfahren,...)? Existiert ein Sitzungsmanagement? Kann dieses weiter verwendet werden, z.B. indem eine Sitzung über Shibboleth aufgebaut wird? Existiert eine Rechteverwaltung? Können die dafür notwendigen Informationen per Shibboleth über Attribute bereitgestellt werden? Können die Identity-Provider die notwendigen Attribute liefern?

Franck Borel, UB Freiburg 19 Ausblick - Föderation Eine Föderation ist ein Zusammenschluss von Einrichtungen und (auch kommerziellen) Anbietern auf Basis gemeinsamer Richtlinien. Eine Föderation schafft das für Shibboleth notwendige Vertrauensverhältnis zwischen Einrichtungen und Anbietern und einen organisatorischen Rahmen für den Austausch von Benutzerinformationen. Unter Koordination des DFN wird eine deutschlandweite Föderation aufgebaut (DFN-AAI).

Franck Borel, UB Freiburg 20 Ansatz für Mannheim Eigener IdP für ReDI mit LDAP Authentifizierung Welche Attribute kann LDAP liefern? Wie aktuell sind die Daten des LDAP? Wie sollen Walk-In-Patrons identifiziert werden? Integration des IBplus-Servers in den Shibbolethprozess? Elektra-Portal als Service-Provider Weitere Dienste der Uni Mannheim shibbolethfähig machen (LMS)

Franck Borel, UB Freiburg 21 AAR-Webseite: AAR-Team: Nächster AAR-Workshop: 10. Oktober 2006 in Freiburg Ich danke Ihnen für Ihre Aufmerksamkeit!