Präsentation herunterladen
Die Präsentation wird geladen. Bitte warten
Veröffentlicht von:Else Reichelt Geändert vor über 11 Jahren
1
Authentifizierung, Autorisierung und Rechteverwaltung Einsatz und Funktion des Rechteservers 2. Shibboleth-Workshop Freiburg, 23. März 2006 Gerald Schupfner, UB Regensburg
2
2 Was soll der Rechteserver leisten? Verwaltung von Lizenz- und Rechteaussagen –ein Angehöriger der Uni Freiburg hat Zugriff auf die Jahrgänge 22 bis 27 der Zeitschrift xy des Anbieters Elsevier –ein Benutzer der Universität Stuttgart hat Administratorrechte in ReDI –einem Angehörigen der Universität Regensburg dürfen im vascoda-Portal bei einer Recherche in der Datenbank Wiso Plus vollständige Metadaten angezeigt werden
3
3 Gerald Schupfner, UB Regensburg Was soll der Rechteserver leisten? Schnittstelle zum Resource-Manager bzw. zur Anwendung eines Service-Providers –für die Zugriffskontrolle –für die Abbildung von Attributen auf Rechte in der Anwendung
4
4 Gerald Schupfner, UB Regensburg Ressource-Manager und Rechteserver Apache mod_shib (ACS) AAP shibd Ressourcen Ressource- Manager (RM) Rechteserver stellt eine Anfrage, ob der Zugriff auf eine Ressource erlaubt ist oder holt Rechte (Attribute) des Benutzers für eine Ressource
5
5 Gerald Schupfner, UB Regensburg Daten im Rechteserver Wer? Das Subjekt (ein Attribut des Benutzers) Was? Die Ressource (ein Zeitschriftenartikel, eine Datenbank) bei Wem? Der Provider damit Abfrage von: Lizenzaussagen und/oder Rechteaussagen
6
6 Gerald Schupfner, UB Regensburg Subjekt Subjekte (Benutzer) werden durch die Attribute, die der Identity-Provider liefert identifiziert: –eduPersonEntitlement urn:mace:ebsco.com: urn:mace:aar:entitlement:unist:redi:admin –aus eduPersonOrgUnitDN de.uni-freiburg de.uni-regensburg.physik im Rechteserver können Subjekte hierarchisch abgelegt werden
7
7 Gerald Schupfner, UB Regensburg Subjekt / Ressource Ressourcen werden durch vom Service- Provider vergebene Namen identifiziert in einer Abfrage an den Rechteserver können mehrere Subjekte (Benutzerattribute) und Ressourcen angegeben werden –Subjekte erben Lizenz- oder Rechteaussagen aus höheren Hierarchieebenen –Lizenz- oder Rechteaussagen werden dann additiv ausgewertet
8
8 Gerald Schupfner, UB Regensburg Provider Identifizierung durch ServiceProviderIdentifier (siehe ShARPE) urn:au:testfed:level-1:demo.federation.org.au urn:de:vascoda:www.vascoda.de
9
9 Gerald Schupfner, UB Regensburg Lizenzaussagen Beschränkungen der Ressourcennutzung –auf bestimmte Zeiträume, und/oder Jahrgänge und Hefte –Embargozeiten ("Moving Wall") bzw. rollierende Zeitfenster ("Window period", "rolling window") –Zahl der gleichzeitigen Nutzer
10
10 Gerald Schupfner, UB Regensburg Rechteaussagen Attribute, die die Anwendung des Service- Providers erwartet –werden vom Service-Provider definiert –beliebige Namen und Werte möglich Beispiele –Benutzergruppen der Anwendung –spezielle Rechte (Administration)
11
11 Gerald Schupfner, UB Regensburg Einsatzmöglichkeiten zentral für eine Gruppe von Service- Providern –vascoda-Partner bei einem Service-Provider für seine eigenen Anwendungen
12
12 Gerald Schupfner, UB Regensburg Vorteile beim Einsatz eines Rechteservers Erleichterung der Rechteverwaltung für Service-Provider Erleichterung der Attributverwaltung für Identity-Provider bei zentralem Einsatz Zentraler Anlaufpunkt für die Rechteverwaltung Eingabe und Kontrolle von Rechten durch Anbieter und Einrichtungen möglich
13
13 Gerald Schupfner, UB Regensburg Komponenten des Rechteservers HeimateinrichtungAnbieter Rechteserver AA Webserver shibd Ressource PDP (Policy Decision Point) Policy Administration Interface
14
14 Gerald Schupfner, UB Regensburg Komponenten des Rechteservers Zugriffskontrolle HeimateinrichtungAnbieter Rechteserver AA Webserver shibd Ressource PDP (Policy Decision Point) Com-Module Policy Administration Interface
15
15 Gerald Schupfner, UB Regensburg PDP Schnittstelle des Rechteservers für: –Access-Control Aussagen –Rechteaussagen Realisierung –derzeit einfache eigene XML-Schnittstelle –später XACML
16
16 Gerald Schupfner, UB Regensburg PDP-Schnittstelle XACML SAML SOAP HTTP(S) TCP/IP
17
17 Gerald Schupfner, UB Regensburg Demo des PDP Einfaches HTML-Interface zum Rechteserver http://rzblx2.uni-regensburg.de/aardemo/DemoPage.php http://rzblx2.uni-regensburg.de/aardemo/DemoPage.php
18
18 Gerald Schupfner, UB Regensburg Administrationsinterface
19
19 Gerald Schupfner, UB Regensburg Realisierung der Komponenten Datenspeicherung in einer MySQL- Datenbank PDP realisiert als Java-Applikation (JRE 1.4.1) Policy Administration Interface als Webinterface unter PHP 4 Com-Modul realisiert als DSO-Modul für Apache
Ähnliche Präsentationen
© 2025 SlidePlayer.org Inc.
All rights reserved.