Das Projekt AAR ReDI als Pilotanwendung für die Shibboleth-Authentifizierung vascoda AG Betrieb und Weiterentwicklung Köln, 24. August 2005 Bernd Oberknapp, UB Freiburg Authentifizierung, Autorisierung und Rechteverwaltung
Bernd Oberknapp, UB Freiburg2 Das Projekt AAR Warum AAR? Wie funktioniert AAR? Vorteile von AAR ReDI als Pilotanwendung Attribute Föderationen Übersicht
Bernd Oberknapp, UB Freiburg3 Partner: UB Freiburg und UB Regensburg finanziert durch das BMBF eingebettet in vascoda Laufzeit 3 Jahre bis Ende 2007: –2 Jahre Entwicklungs- und Testphase mit ReDI und vascoda als Pilotanwendungen –1 Jahr Unterstützung von Einrichtungen und Anbietern bei der Einführung des Systems Das Projekt AAR
Bernd Oberknapp, UB Freiburg4 Authentifizierung, Autorisierung und Rechteverwaltung sind notwendig um den Zugriff auf Ressourcen auf bestimmte Benutzergruppen oder Benutzer einschränken und den Benutzern Dienste personalisiert anbieten zu können. Warum AAR?
Bernd Oberknapp, UB Freiburg5 Probleme aus Sicht des Anbieters: hoher Aufwand für den Schutz von Ressourcen, insbesondere für einen differenzierten Schutz hoher Aufwand für die Registrierung und Verwaltung von Benutzern für personalisierte Angebote Warum AAR?
Bernd Oberknapp, UB Freiburg6 Probleme aus Sicht der Einrichtung: hoher Aufwand für die Einbindung neuer Ressourcen in das eigene Angebot hoher Aufwand für den Schutz eigener Ressourcen (z.B. E-Learningmodule) Sicherheitsprobleme und technische Probleme bei heute üblichen Verfahren Warum AAR?
Bernd Oberknapp, UB Freiburg7 Probleme aus Sicht des Benutzers: mehrfache Authentifizierung für die Nutzung verschiedener Dienste erforderlich verschiedene Benutzerkennungen und Passworte für verschiedene Dienste bei vielen Ressourcen Zugriff nur innerhalb der eigenen Einrichtung Warum AAR?
Bernd Oberknapp, UB Freiburg8 AAR ist eine Infrastruktur zur Authentifizierung, Autorisierung und Rechteverwaltung AAR ist ein Single Sign-on System, mit dem verschiedene Ressourcen mit einem einzigen Login genutzt werden können AAR basiert auf einem föderativen Ansatz: Die Einrichtung verwaltet und authentifiziert ihre Mitglieder und der Anbieter kontrolliert den Zugang zu seinen Ressourcen AAR baut auf Shibboleth (Internet2-Projekt) auf Was ist AAR?
Bernd Oberknapp, UB Freiburg9 Wie funktioniert AAR? Heimateinrichtung Benutzerin Anbieter Benutzerin bekannt? (1) (4) (5) Benutzerin berechtigt? (6) (7) (8) gestattet verweigert Zugriff (9) ja nein ja nein Lokalisierungsdienst (2) (3)
Bernd Oberknapp, UB Freiburg10 Wie funktioniert AAR? Apache mod_jk Tomcat SSO (HS) AA LDAP ARP Horizon SQL Authentifizierung über Tomcat oder Apache schützt SSO (HS) Autorisierung Einrichtung (Identity Provider) Benutzerdaten Richtlinien für die Freigabe von Attributen... Shibboleth- Komponenten
Bernd Oberknapp, UB Freiburg11 Wie funktioniert AAR? Apache mod_shib (shire) AAP Anbieter (Service Provider) shibd (shar) Ressourcen Benutzer authentifiziert? fragt Attribute bei der AA ab definiert, welche Attribute für den Zugriff auf die Ressourcen erforderlich sind Ressource- Manager (RM) kontrolliert den Zugriff auf die Ressourcen
Bernd Oberknapp, UB Freiburg12 Vorteile aus Sicht des Anbieters: Ressourcen können differenziert geschützt werden keine Benutzerverwaltung auf Seiten des Anbieters erforderlich Integration in vorhandene Systeme ist häufig mit geringem Aufwand möglich Komponenten sind Open Source (Apache-Lizenz, Version 2.0) und stehen kostenfrei zur Verfügung Vorteile von AAR
Bernd Oberknapp, UB Freiburg13 Vorteile aus Sicht der Einrichtung: Einbindung neuer Ressourcen in das eigene Angebot ist sehr einfach berechtigten Nutzern anderer Einrichtungen kann leicht Zugriff auf eigene geschützte Ressourcen (z.B. E-Learningmodule) gewährt werden hohe Sicherheit durch zentrale Authentifizierung Komponenten sind Open Source und kostenfrei Vorteile von AAR
Bernd Oberknapp, UB Freiburg14 Vorteile aus Sicht des Benutzers: Single Sign-on – alle Ressourcen können mit einem einzigen Account und nach nur einmaliger Authentifizierung genutzt werden Nutzung der Ressourcen ist unabhängig von Standort und Zugriffsweg möglich Datenschutz wird respektiert Vorteile von AAR
Bernd Oberknapp, UB Freiburg15 ReDI auf Shibboleth umstellen IPS-Software Shibboleth-fähig machen weitere Dienste auf Shibboleth umstellen AAR-Rechteserver aufbauen (Regensburg) Einrichtungen und Anbieter bei der Einführung von Shibboleth unterstützen deutschlandweite Föderation aufbauen AAR ToDo-Liste
Bernd Oberknapp, UB Freiburg16 Umstellung von ReDI auf Shibboleth oder: Wie migriert man einem Dienst mit Authentifizierung und Autorisierung über lokale Benutzerdatenbanken für 38 Einrichtungen mit lokal installierten Komponenten im laufenden Betrieb auf ein neues Authentifizierungssystem? ReDI als Pilotanwendung
Bernd Oberknapp, UB Freiburg17 ReDI als Pilotanwendung Aktuelle ReDI-Authentifizierung ReDI-ServerEinrichtungen IBplusAuthServer Benutzerdaten Uni Stuttgart Benutzerkennung Passwort Einrichtungsauswahl ReDI-Login ReDI-Server IBplusServer Benutzerdaten FH Heilbronn IBplusAuthServer
Bernd Oberknapp, UB Freiburg18 ReDI als Pilotanwendung 1. Schritt: Zentrale Implementierung aller Shibboleth-Komponenten in ReDI ReDI-ServerEinrichtungen Benutzerdaten Uni Stuttgart Einrichtungsauswahl ReDI-Login ReDI-Server Benutzerdaten FH Heilbronn HSAA Uni Stuttgart HSAA IBplusAuthServer
Bernd Oberknapp, UB Freiburg19 Im ersten Schritt zentrale Implementierung aller Shibboleth-Komponenten in ReDI: –ReDI als Service Provider (zusätzlich zu den anderen ReDI-Authentifizierungsverfahren) –Identity Provider für alle Einrichtungen Zugriff auf Benutzerdatenbanken erfolgt zunächst auch für Shibboleth über das IBplus-Protokoll, in den Einrichtungen sind daher keine Änderungen erforderlich! ReDI als Pilotanwendung
Bernd Oberknapp, UB Freiburg20 ReDI als Pilotanwendung 2. Schritt (optional): Übernahme der Identity Provider durch die Einrichtungen ReDI-ServerEinrichtungen Benutzerdaten Uni Stuttgart Einrichtungsauswahl ReDI-Login ReDI-Server Benutzerdaten FH Heilbronn HSAAHSAA
Bernd Oberknapp, UB Freiburg21 ReDI als Pilotanwendung Im zweiten Schritt können Einrichtungen (bei Horizon-Bibliotheken auch das BSZ) den Betrieb des Identity Providers übernehmen. Zugriff auf die Benutzerdatenbanken kann dann direkt erfolgen, der IBplusAuthServer wird dann nicht mehr benötigt ReDI als Datenbanksystem ist damit aus Shibboleth-Sicht nur noch Anbieter
Bernd Oberknapp, UB Freiburg22 Was ist mit Einrichtungen, die über keine geeignete Benutzerdatenbank verfügen? IP-Kontrolle ersetzen durch automatisch generierte anonyme Accounts? Welche Attribute werden für welche Dienste benötigt? Wo werden die Attribute gespeichert? Alternativen: Benutzerdatenbank, lokale Rechtedatenbank, AAR-Rechteserver Offene Fragen
Bernd Oberknapp, UB Freiburg23 eduPersonScopedAffiliation Beispiel: eduPersonEntitlement Beispiele: urn:mace:incommon:entitlement:common:1 urn:mace:aar:entitlement:redi:unifr:jura urn:mace:aar:entitlement:ezb:unirb:admin eduPersonPrincipalName Beispiel: eduPersonTargetedID Shibboleth-Standardattribute
Bernd Oberknapp, UB Freiburg24 Föderation Was ist eine Föderation? EinrichtungAnbieteren
Bernd Oberknapp, UB Freiburg25 Eine Föderation ist ein Zusammenschluss von Einrichtungen und Anbietern auf Basis gemeinsamer Richtlinien. Eine Föderation schafft das für Shibboleth notwendige Vertrauensverhältnis zwischen Einrichtungen und Anbietern und einen organisatorischen Rahmen für den Austausch von Benutzerinformationen. Was ist eine Föderation?
Bernd Oberknapp, UB Freiburg26 Aufgaben einer Föderation sind: Vorgabe von Richtlinien (Policies) Verwaltung der Metadaten der Mitglieder Betrieb des Lokalisierungsdienstes Betrieb einer Zertifizierungsstelle Technischer Support Aufgaben einer Föderation
Bernd Oberknapp, UB Freiburg27 Einrichtungen aus dem Hochschulbereich schließen sich üblicherweise landesweit zu Föderationen zusammen, zum Beispiel: USA (InCommon), Großbritannien (SDSS), Schweiz (SWITCH), Finnland (HAKA) Aufbau einer deutschlandweiten Föderation im Rahmen des DFN wird angestrebt Einrichtungen und Anbieter können jeweils zu mehreren Föderationen gehören! Aufbau einer Föderation
Bernd Oberknapp, UB Freiburg28 Weitere Informationen AAR-Workshop für potentielle Identity Provider am 12. Oktober 2005 in Freiburg AAR-Webseite Freiburger AAR-Team: Fragen?