Das Projekt AAR Authentifizierung, Autorisierung und Rechteverwaltung Ato Ruppert, Franck Borel UB Freiburg
Übersicht Authentifizierung, Autorisierung, Rechteverwaltung Anwendungsfälle: Wissenschaftsportale (ReDI, vascoda) Was ist AAR? Föderationen und Rechtliches AAR ist ein Projekt der UB Freiburg und UB Regensburg. Gefördert vom BMBF (PT-NMB+F ) 2
Wissenschaftportale 1 vascoda ist ein interdisziplinäres Internetportal für wissenschaftliche Information in Deutschland. vascoda vereinigt Internetdienste zahlreicher leistungsstarker wissenschaftlicher Bibliotheken und Informationseinrichtungen. Mit vascoda wird der Grundbaustein für eine "Digitale Bibliothek Deutschland" gelegt. An vascoda sind heute über 30 Einrichtungen mit fast 30 Angeboten beteiligt. www.vascoda.de 3
Wissenschaftportale 2 ReDI Regionale DatenbankInformationen Baden-Württemberg (www.redi-bw.de): Angebot insgesamt: 476 Datenbanken - Nutzung externer Verlagsserver: 142 - Windows-basierte CD-Angebote 326 - Reference-Linking zu den Volltexten Über 60 Teilnehmereinrichtungen Anfragen aus NRW, Sachsen, Hessen Zentraler Einkauf über das Konsortium Baden-Württemberg (http://www.konsortium-bw.de) sowie Bildung von Betriebsgemeinschaften ReDI 4
Was wollen wir erreichen? Leitsätze zur Nutzung verteilter Informationen im Internet aus Sicht der Nutzer, Einrichtungen und Anbieter Nutzer: Der Zugriff auf lizenzierte Inhalte soll unabhängig vom gewählten Arbeitsplatz und dem Zugriffsweg möglich sein. Alle lizenzierten Inhalte sollten nach nur einmaliger Authentifizierung und Autorisierung (Single Sign-On) zur Verfügung stehen. Einrichtungen (etwa Hochschulen): Die Einrichtung soll ein beliebiges Authentifizierungssystem wählen dürfen. Der Aufwand der Rechteverwaltung soll möglichst gering sein. Anbieter: Die lizenzpflichtigen Inhalte der Anbieter sollen vor unberechtigten Zugriff geschützt werden. 5 Demo:
Was ist AAR? AAR ist eine Infrastruktur zur Authentifizierung, Autorisierung und Rechteverwaltung AAR ist ein Single Sign-on System, mit dem verschiedene Ressourcen mit einem einzigen Login genutzt werden können AAR basiert auf einem föderativen Ansatz: Die Einrichtung verwaltet und authentifiziert ihre Mitglieder und der Anbieter kontrolliert den Zugang zu seinen Ressourcen AAR baut auf Shibboleth (Internet2-Projekt) auf AAR ergänzt Shibboleth um einen Rechteserver 6
Wie funktioniert AAR? (1) (2) (3) (6) (5) (4) (9) (7) (8) Heimateinrichtung Benutzerin Anbieter Benutzerin bekannt? (1) (3) ja nein Lokalisierungsdienst (2) (4) Benutzerin berechtigt? (6) (5) (7) (9) gestattet Zugriff ja (8) verweigert nein 7
Wie funktioniert AAR? AAR verwendet Shibboleth v 1.3 (später 2.0) Shibboleth baut auf folgende Standards auf: HTTP XML XML Schema (XSD) XML Signatur (XMLDisg) SOAP SAML 1.1 (später 2.0) 8
Wie funktioniert AAR? Transport und Aufbau einer Shibboleth-Nachricht HTTP/HTTPS SOAP Nachricht SOAP Header SOAP Body SAML Anfrage/Antwort 9
Wie funktioniert AAR? (auf der Einrichtungsseite) Einrichtung (Identity Provider) Apache mod_jk Tomcat Authentifizierung über Tomcat oder Apache schützt SSO (HS) Autorisierung SSO (HS) Attribute Authority Richtlinien für die Freigabe von Attributen ARP Benutzerdaten LDAP ... SQL Benutzer-attribute 10
Wie funktioniert AAR? (auf der Anbieterseite) Anbieter (Service Provider) Ressourcen Apache Assertion Consumer Service Access Control fragt Attribute bei der Attribute Authority (IdP) ab Attribute Requester definiert, welche Attribute für den Zugriff auf die Ressourcen erforderlich sind AAP kontrolliert den Zugriff auf die Ressourcen 11
Rechteserver Der Rechteserver (RS) ist nicht Bestandteil von Shibboleth. Er soll die Attribute (der Autorisierung) auf die Nutzungsbedingungen der Anbieter abbilden Z.B.: „moving wall“, Embargos, Zeiteinschränkungen Der Rechteserver kann zentral oder dezentral (beim Anbieter) eingesetzt werden Der Rechteserver ist Teilprojekt unserer Projektpartner in der UB Regensburg. R 12
Was ist eine Föderation? Eine Föderation ist ein Zusammenschluss von Einrichtungen und (auch kommerziellen) Anbietern auf Basis gemeinsamer Richtlinien. Eine Föderation schafft das für Shibboleth notwendige Vertrauensverhältnis zwischen Einrichtungen und Anbietern und einen organisatorischen Rahmen für den Austausch von Benutzerinformationen. 13
Aufbau einer Föderation Für den Aufbau einer Föderation muss (mindestens) festgelegt werden: Organisationsstruktur Voraussetzungen für die Mitgliedschaft Rechte und Pflichten der Föderation und Mitglieder Richtlinien Aufnahmeverfahren für neue Mitglieder Aktualisierung der Metadaten akzeptierte (CA-)Zertifikate Standardattribute, Datenschutz Vorgehensweise bei Missbrauch 14
Föderation als Konsortium mit externer Verwaltung Die organisatorischen Aufgaben zu AAR werden extern vergeben. Alle Entscheidungen verbleiben in der Föderation. Verträge: Multilateral mit allen Beteiligten Grenze: Größe der Föderation Föderation En Externer Verwalter (DFN) E1 E… Externer Verwalter E2 E4 E3 15
Föderation als Dienstangebot einer zentralen Einrichtung Die organisatorischen Aufgaben werden als Dienst einer zentralen Einrichtung für eine Föderation angebotenen und von der Föderation kontrolliert. Verträge: Bilateral zwischen Teilnehmer und zentraler Einrichtung Beispiele: Switch, Haka, InCommon Föderation En E1 E… DFN E2 E5 E4 E3 16
Beispiel: Haka/Finnland (Quelle: Mikael Linden, CSC) Die Organisationsstruktur von Haka entspricht der von SWITCHaai Operator CSC – scientific computing ltd Central AAI services Advisory comm. Operations comm. Federation members Federation partners IdP Palvelu IdP Palvelu Palvelu IdP Palvelu Palvelu SP SP Palvelu SP SP SP SP 17
Teilnehmer der Föderation und ihre Rollen Mitglieder (Unis, FHs, etc): Einrichtung = Identity Provider Anbieter (etwa eLearning-Angebote) Partner Anbieter (auch kommerzielle!) Operator Koordinationsdienst für die Föderationsverwaltung Steuerungsgremien Überwachung und Entscheidung 18
Aufgaben der zentralen Stelle (Operator) Aufgaben der zentralen Stelle sind: Vorgabe von Richtlinien (Policies) Verwaltung der Metadaten der Mitglieder Betrieb eines Lokalisierungsdienstes (WAYF) Betrieb einer Zertifizierungsstelle Betrieb einer Testumgebung Technischer Support 19
Datenschutz 1 (Datenhaltung) Europäisches Recht (Art. 6): Personenbezogene Daten dürfen nur für spezielle Aufgaben verarbeitet werden! Die Einrichtungen (= Identitiy Provider) müssen den Zweck der Datenhaltung festlegen und beschreiben. In Universitäten z.B. (verkürzt): Unterstützung von Forschung und Lehre. Daraus folgt: Die Ziele aller Mitglieder einer Föderation müssen diesem Zweck entsprechen! (Bei Unis u.a. ist das per se so) Auf Seiten der (auch kommerziellen) Dienstanbieter (SP): Z.B. Buchhandel, ZS-Verlage, wiss. Infodienste: Ja Z.B. EBAY, Kaufhäuser: Nein Behörden: ? 20
Datenschutz 2 (Weitergabe von Attributen) Europäisches Recht (Art. 7), §§18-20 LDSG-BW: Weitergabe personenbezogener Daten nur wenn notwendig Zur Vertragserfüllung (mit den Anbietern) Gesetzliche Grundlagen vorliegen Zum Schutz vitaler Interessen (der Anbieter) Zur Erfüllung der Leistung eines Auftrages (des Anbieters) und 5. Nach ausdrücklicher Zustimmung der betroffenen Person Fazit: Bei der Gründung der Föderation muss der Zweck festgelegt werden! 21
Attribut-Schemata Mehrere Grundlagen liegen vor: eduPerson Specification (internet2) funetEduPerson (Haka) SCHAC-IAD Version 1.0.0 (Terena) SwissEduPerson (Switch) Beachte: Weltweite, kommerzielle Partner halten sich bisher i.a. an eduPerson! (wg. InCommon) 22
Shibboleth-Standardattribute Shibboleth/InCommon-Standardattribute basieren auf dem eduPerson-Schema: http://www.incommonfederation.org/docs/policies/federatedattributes.html Internationale Anbieter halten sich üblicherweise an diesen Standard (insb. eduPersonEntitlement) Anbieter kommen meistens mit einigen wenigen Attributen aus, die in der Shibboleth-Software bereits vorkonfiguriert sind Beispiele: eduPersonScopedAffiliation (member@..., staff@...) eduPersonTargetedID (r12345z@...) eduPersonPrincipalName (ruppert@uni-freiburg.de) "Information may be compiled about a particular web user, but there might not be any intention of linking it to a name and address or e-mail address. There might merely be an intention to target that particular user with advertising, or to offer discounts when they re-visit a particular web site, on the basis of the profile built up, without any ability to locate that user in the physical world. The Commissioner takes the view that such information is, nevertheless, personal data. In the context of the on-line world the information that identifies an individual is that which uniquely locates him in that world, by distinguishing him from others." 23
Zum Abschluss: Stand und Ausblick zum Projekt Alle Komponenten von Shibboleth sind in einer Testumgebung verfügbar ReDI wird im Januar auf Shibboleth umgestellt (mit einer „internen“ Föderation, etwa 60 Identity Provider) Gespräche mit Dienstanbietern entwickeln sich sehr positiv (im Rahmen von Kaufverhandlungen, etwa 100 kommerzielle Service Provider) Am 23. März 2006 wird ein Workshop für Anbieter in Freiburg stattfinden Die Betriebssoftware IPS von vascoda wird bis Mitte 2006 auf Shibboleth umgestellt Der Rechteserver wird bis Mitte 2006 als Prototyp zur Verfügung stehen. 24
Links Allgemeines Attribut-Schemata Datenschutz http://aar.vascoda.de/links.php http://www.terena.nl/tech/ http://www.geant2.net/upload/pdf/GN2-05-192v6.pdf Attribut-Schemata http://www.csc.fi/suomi/funet/middleware/valinen/funetEduPerson_1_0.pdf http://www.nmi-edit.org/eduPerson/draft-internet2-mace-dir-eduperson-00.html http://www.terena.nl/tech/task-forces/tf-emc2/docs/schac/schac-schema-IAD-rc2.pdf http://www.switch.ch/aai/docs/swissedu.schema http://www.incommonfederation.org/docs/policies/federatedattributes.html Datenschutz http://www.bfdi.bund.de/DE/Home/homepage__node.html http://www.baden-wuerttemberg.datenschutz.de/recht/ldsg/default.htm EU-Richtlinie 25
Danke für Ihre Aufmerksamkeit! info@aar.vascoda.de ruppert@ub.uni-freiburg.de borel@ub.uni-freiburg.de 26