das projekt aar redi als pilotanwendung für die shibboleth-authentifizierung vascoda ag betrieb und...
TRANSCRIPT
Das Projekt AAR ReDI als Pilotanwendung für die
Shibboleth-Authentifizierung
vascoda AG Betrieb und WeiterentwicklungKöln, 24. August 2005
Bernd Oberknapp, UB Freiburg
Authentifizierung, Autorisierung und Rechteverwaltung
Bernd Oberknapp, UB Freiburg 2
• Das Projekt AAR
• Warum AAR?
• Wie funktioniert AAR?
• Vorteile von AAR
• ReDI als Pilotanwendung
• Attribute
• Föderationen
Übersicht
Bernd Oberknapp, UB Freiburg 3
• Partner: UB Freiburg und UB Regensburg• finanziert durch das BMBF• eingebettet in vascoda• Laufzeit 3 Jahre bis Ende 2007:
– 2 Jahre Entwicklungs- und Testphase mitReDI und vascoda als Pilotanwendungen
– 1 Jahr Unterstützung von Einrichtungen und Anbietern bei der Einführung des Systems
Das Projekt AAR
Bernd Oberknapp, UB Freiburg 4
Authentifizierung, Autorisierung undRechteverwaltung sind notwendig um
• den Zugriff auf Ressourcen auf bestimmte Benutzergruppen oder Benutzer einschränken und
• den Benutzern Dienste personalisiert anbieten zu können.
Warum AAR?
Bernd Oberknapp, UB Freiburg 5
Probleme aus Sicht des Anbieters:
• hoher Aufwand für den Schutz von Ressourcen, insbesondere für einen differenzierten Schutz
• hoher Aufwand für die Registrierung und Verwaltung von Benutzern für personalisierte Angebote
Warum AAR?
Bernd Oberknapp, UB Freiburg 6
Probleme aus Sicht der Einrichtung:
• hoher Aufwand für die Einbindung neuer Ressourcen in das eigene Angebot
• hoher Aufwand für den Schutz eigener Ressourcen (z.B. E-Learningmodule)
• Sicherheitsprobleme und technische Probleme bei heute üblichen Verfahren
Warum AAR?
Bernd Oberknapp, UB Freiburg 7
Probleme aus Sicht des Benutzers:
• mehrfache Authentifizierung für die Nutzung verschiedener Dienste erforderlich
• verschiedene Benutzerkennungen und Passworte für verschiedene Dienste
• bei vielen Ressourcen Zugriff nur innerhalb der eigenen Einrichtung
Warum AAR?
Bernd Oberknapp, UB Freiburg 8
• AAR ist eine Infrastruktur zur Authentifizierung, Autorisierung und Rechteverwaltung
• AAR ist ein Single Sign-on System, mit dem verschiedene Ressourcen mit einem einzigen Login genutzt werden können
• AAR basiert auf einem föderativen Ansatz:Die Einrichtung verwaltet und authentifiziertihre Mitglieder und der Anbieter kontrolliertden Zugang zu seinen Ressourcen
• AAR baut auf Shibboleth (Internet2-Projekt) auf
Was ist AAR?
Bernd Oberknapp, UB Freiburg 9
Wie funktioniert AAR?
Heimateinrichtung
Benutzerin
Anbieter
Benutzerin bekannt?(1)
(4)(5) Benutzerin berechtigt?
(6)
(7)
(8)
gestattet
verweigertZugriff
(9)ja
nein
ja
neinLokalisierungsdienst(2)(3)
Bernd Oberknapp, UB Freiburg 10
Wie funktioniert AAR?
Apachemod_jk
Tomcat
SSO (HS)
AALDAP
ARP
Horizon
SQL
Authentifizierung über Tomcat oder Apache schützt
SSO (HS)Autorisierung
Einrichtung (Identity Provider)
BenutzerdatenRichtlinien für die Freigabe
von Attributen...
Shibboleth-Komponenten
Bernd Oberknapp, UB Freiburg 11
Wie funktioniert AAR?
Apache
mod_shib(shire)
AAP
Anbieter (Service Provider)
shibd (shar)
Ressourcen
Benutzer authentifiziert?
fragt Attribute bei der AA ab
definiert, welche Attribute für den Zugriff
auf die Ressourcen erforderlich sind
Ressource-Manager (RM)
kontrolliert den Zugriff auf die Ressourcen
Bernd Oberknapp, UB Freiburg 12
Vorteile aus Sicht des Anbieters:• Ressourcen können differenziert geschützt werden• keine Benutzerverwaltung auf Seiten des
Anbieters erforderlich• Integration in vorhandene Systeme ist häufig mit
geringem Aufwand möglich• Komponenten sind Open Source (Apache-Lizenz,
Version 2.0) und stehen kostenfrei zur Verfügung
Vorteile von AAR
Bernd Oberknapp, UB Freiburg 13
Vorteile aus Sicht der Einrichtung:• Einbindung neuer Ressourcen in das eigene
Angebot ist sehr einfach• berechtigten Nutzern anderer Einrichtungen kann
leicht Zugriff auf eigene geschützte Ressourcen (z.B. E-Learningmodule) gewährt werden
• hohe Sicherheit durch zentrale Authentifizierung• Komponenten sind Open Source und kostenfrei
Vorteile von AAR
Bernd Oberknapp, UB Freiburg 14
Vorteile aus Sicht des Benutzers:
• Single Sign-on – alle Ressourcen können mit einem einzigen Account und nach nur einmaliger Authentifizierung genutzt werden
• Nutzung der Ressourcen ist unabhängigvon Standort und Zugriffsweg möglich
• Datenschutz wird respektiert
Vorteile von AAR
Bernd Oberknapp, UB Freiburg 15
• ReDI auf Shibboleth umstellen
• IPS-Software Shibboleth-fähig machen
• weitere Dienste auf Shibboleth umstellen
• AAR-Rechteserver aufbauen (Regensburg)
• Einrichtungen und Anbieter bei der Einführung von Shibboleth unterstützen
• deutschlandweite Föderation aufbauen
AAR „ToDo-Liste“
Bernd Oberknapp, UB Freiburg 16
Umstellung von ReDI auf Shibboleth oder:
Wie migriert man einem Dienst mit Authentifizierung und Autorisierungüber lokale Benutzerdatenbanken für38 Einrichtungen mit lokal installierten Komponenten im laufenden Betrieb auf ein neues Authentifizierungssystem?
ReDI als Pilotanwendung
Bernd Oberknapp, UB Freiburg 17
ReDI als Pilotanwendung
Aktuelle ReDI-Authentifizierung
...ReDI-Server Einrichtunge
n
IBplusAuthServer
Benutzerdaten
Uni Stuttgart
• Benutzerkennung• Passwort• Einrichtungsauswahl
ReDI-Login
ReDI-Server
IBplusServer Benutzerdaten
FH Heilbronn
IBplusAuthServer
Bernd Oberknapp, UB Freiburg 18
ReDI als Pilotanwendung
1. Schritt: Zentrale Implementierung allerShibboleth-Komponenten in ReDI
ReDI-Server Einrichtungen
Benutzerdaten
Uni Stuttgart
Einrichtungsauswahl
ReDI-Login
ReDI-Server
Benutzerdaten
FH Heilbronn
FH Heilbronn
HS AA
Uni Stuttgart
HS AA
IBplusAuthServer
IBplusAuthServer
. . ....
Bernd Oberknapp, UB Freiburg 19
• Im ersten Schritt zentrale Implementierung aller Shibboleth-Komponenten in ReDI:– ReDI als Service Provider (zusätzlich zu den
anderen ReDI-Authentifizierungsverfahren)– Identity Provider für alle Einrichtungen
• Zugriff auf Benutzerdatenbanken erfolgt zunächst auch für Shibboleth über das IBplus-Protokoll, in den Einrichtungen sind daher keine Änderungen erforderlich!
ReDI als Pilotanwendung
Bernd Oberknapp, UB Freiburg 20
ReDI als Pilotanwendung
2. Schritt (optional): Übernahme derIdentity Provider durch die Einrichtungen
.
.
.
ReDI-Server Einrichtungen
Benutzerdaten
Uni Stuttgart
Einrichtungsauswahl
ReDI-Login
ReDI-Server
Benutzerdaten
FH Heilbronn
HS AA
HS AA
Bernd Oberknapp, UB Freiburg 21
ReDI als Pilotanwendung
• Im zweiten Schritt können Einrichtungen(bei Horizon-Bibliotheken auch das BSZ) den Betrieb des Identity Providers übernehmen.
• Zugriff auf die Benutzerdatenbanken kann dann direkt erfolgen, der IBplusAuthServer wird dann nicht mehr benötigt
• ReDI als Datenbanksystem ist damit aus Shibboleth-Sicht nur noch Anbieter
Bernd Oberknapp, UB Freiburg 22
• Was ist mit Einrichtungen, die über keine geeignete Benutzerdatenbank verfügen?
• IP-Kontrolle ersetzen durch automatisch generierte anonyme Accounts?
• Welche Attribute werden für welche Dienste benötigt?
• Wo werden die Attribute gespeichert? Alternativen: Benutzerdatenbank, lokale Rechtedatenbank, AAR-Rechteserver
Offene Fragen
Bernd Oberknapp, UB Freiburg 23
• eduPersonScopedAffiliationBeispiel: [email protected]
• eduPersonEntitlementBeispiele: urn:mace:incommon:entitlement:common:1 urn:mace:aar:entitlement:redi:unifr:jura urn:mace:aar:entitlement:ezb:unirb:admin
• eduPersonPrincipalNameBeispiel: [email protected]
• eduPersonTargetedID
Shibboleth-Standardattribute
Bernd Oberknapp, UB Freiburg 24Föderation
Was ist eine Föderation?
Einrichtung Anbieteren
Bernd Oberknapp, UB Freiburg 25
• Eine Föderation ist ein Zusammenschluss von Einrichtungen und Anbietern auf Basis gemeinsamer Richtlinien.
• Eine Föderation schafft das für Shibboleth notwendige Vertrauensverhältnis zwischen Einrichtungen und Anbietern und einen organisatorischen Rahmen für den Austausch von Benutzerinformationen.
Was ist eine Föderation?
Bernd Oberknapp, UB Freiburg 26
Aufgaben einer Föderation sind:
• Vorgabe von Richtlinien (Policies)
• Verwaltung der Metadaten der Mitglieder
• Betrieb des Lokalisierungsdienstes
• Betrieb einer Zertifizierungsstelle
• Technischer Support
Aufgaben einer Föderation
Bernd Oberknapp, UB Freiburg 27
• Einrichtungen aus dem Hochschulbereich schließen sich üblicherweise landesweit zu Föderationen zusammen, zum Beispiel:USA (InCommon), Großbritannien (SDSS),Schweiz (SWITCH), Finnland (HAKA)
• Aufbau einer deutschlandweiten Föderation im Rahmen des DFN wird angestrebt
• Einrichtungen und Anbieter können jeweils zu mehreren Föderationen gehören!
Aufbau einer Föderation
Bernd Oberknapp, UB Freiburg 28
Weitere Informationen
• AAR-Workshop für potentielle Identity Provider am 12. Oktober 2005 in Freiburg
• AAR-Webseitehttp://aar.ub.uni-freiburg.de/
• Freiburger AAR-Team:[email protected]
Fragen?