single-signon mit shibboleth in einer föderativen umgebung · – „knowledge exchange“ (dfg,...
TRANSCRIPT
![Page 1: Single-SignOn mit Shibboleth in einer föderativen Umgebung · – „Knowledge Exchange“ (DFG, DEFF, JISC, SURF) kann unterstützend wirken (und tut es) Vielen Dank für Ihre Aufmerksamkeit!](https://reader034.vdocuments.mx/reader034/viewer/2022052018/60320a094a22a42c5127200b/html5/thumbnails/1.jpg)
Single-SignOn mit Shibboleth in einer föderativen Umgebung
Das Projekt Authentifizierung, Autorisierung und Rechteverwaltung (AAR)
Ato Ruppert, UB Freiburg8. Mai 2007, Tagung Bologna online, Halle
![Page 2: Single-SignOn mit Shibboleth in einer föderativen Umgebung · – „Knowledge Exchange“ (DFG, DEFF, JISC, SURF) kann unterstützend wirken (und tut es) Vielen Dank für Ihre Aufmerksamkeit!](https://reader034.vdocuments.mx/reader034/viewer/2022052018/60320a094a22a42c5127200b/html5/thumbnails/2.jpg)
Gliederung
• Motivation, Szenario• Allgemeines zu Shibboleth und
Single Sign-On (SSO)• Attribute, Rollen und Rechte• Einsatzbeispiele und Visionen• Ausblick
![Page 3: Single-SignOn mit Shibboleth in einer föderativen Umgebung · – „Knowledge Exchange“ (DFG, DEFF, JISC, SURF) kann unterstützend wirken (und tut es) Vielen Dank für Ihre Aufmerksamkeit!](https://reader034.vdocuments.mx/reader034/viewer/2022052018/60320a094a22a42c5127200b/html5/thumbnails/3.jpg)
![Page 4: Single-SignOn mit Shibboleth in einer föderativen Umgebung · – „Knowledge Exchange“ (DFG, DEFF, JISC, SURF) kann unterstützend wirken (und tut es) Vielen Dank für Ihre Aufmerksamkeit!](https://reader034.vdocuments.mx/reader034/viewer/2022052018/60320a094a22a42c5127200b/html5/thumbnails/4.jpg)
![Page 5: Single-SignOn mit Shibboleth in einer föderativen Umgebung · – „Knowledge Exchange“ (DFG, DEFF, JISC, SURF) kann unterstützend wirken (und tut es) Vielen Dank für Ihre Aufmerksamkeit!](https://reader034.vdocuments.mx/reader034/viewer/2022052018/60320a094a22a42c5127200b/html5/thumbnails/5.jpg)
![Page 6: Single-SignOn mit Shibboleth in einer föderativen Umgebung · – „Knowledge Exchange“ (DFG, DEFF, JISC, SURF) kann unterstützend wirken (und tut es) Vielen Dank für Ihre Aufmerksamkeit!](https://reader034.vdocuments.mx/reader034/viewer/2022052018/60320a094a22a42c5127200b/html5/thumbnails/6.jpg)
![Page 7: Single-SignOn mit Shibboleth in einer föderativen Umgebung · – „Knowledge Exchange“ (DFG, DEFF, JISC, SURF) kann unterstützend wirken (und tut es) Vielen Dank für Ihre Aufmerksamkeit!](https://reader034.vdocuments.mx/reader034/viewer/2022052018/60320a094a22a42c5127200b/html5/thumbnails/7.jpg)
![Page 8: Single-SignOn mit Shibboleth in einer föderativen Umgebung · – „Knowledge Exchange“ (DFG, DEFF, JISC, SURF) kann unterstützend wirken (und tut es) Vielen Dank für Ihre Aufmerksamkeit!](https://reader034.vdocuments.mx/reader034/viewer/2022052018/60320a094a22a42c5127200b/html5/thumbnails/8.jpg)
![Page 9: Single-SignOn mit Shibboleth in einer föderativen Umgebung · – „Knowledge Exchange“ (DFG, DEFF, JISC, SURF) kann unterstützend wirken (und tut es) Vielen Dank für Ihre Aufmerksamkeit!](https://reader034.vdocuments.mx/reader034/viewer/2022052018/60320a094a22a42c5127200b/html5/thumbnails/9.jpg)
Was wollen wir erreichen?
Nutzer• Der Zugriff auf lizenzierte Inhalte soll unabhängig vom
gewählten Arbeitsplatz und dem Zugriffsweg möglich sein. • Alle lizenzierten Inhalte sollten nach nur einmaliger Anmeldung
zur Verfügung stehen (Single Sign-On).Einrichtungen (etwa Hochschulen)• Die Einrichtung soll ein beliebiges Authentifizierungssystem
wählen dürfen.Anbieter • Die lizenzpflichtigen Inhalte der Anbieter sollen vor
unberechtigten Zugriff geschützt werden.
![Page 10: Single-SignOn mit Shibboleth in einer föderativen Umgebung · – „Knowledge Exchange“ (DFG, DEFF, JISC, SURF) kann unterstützend wirken (und tut es) Vielen Dank für Ihre Aufmerksamkeit!](https://reader034.vdocuments.mx/reader034/viewer/2022052018/60320a094a22a42c5127200b/html5/thumbnails/10.jpg)
• AAR baut eine Infrastruktur zur Authentifizierung, Autorisierung und Rechteverwaltung
• AAR implementiert ein Single Sign-on System, mit dem verschiedene Ressourcen mit einem einzigen Login genutzt werden können („Reference Linking“)
• AAR baut auf Shibboleth (Internet2-Projekt) auf• AAR basiert auf einem föderativen Ansatz:
Die Einrichtung verwaltet und authentifiziertihre Mitglieder und der Anbieter kontrolliertden Zugang zu seinen Ressourcen
• Gemeinsam mit dem DFN-Verein wird eine deutschlandweite Föderation als nachhaltiger Dienst des DFN aufgebaut (DFN-AAI).
Was macht das AAR-Projekt?
![Page 11: Single-SignOn mit Shibboleth in einer föderativen Umgebung · – „Knowledge Exchange“ (DFG, DEFF, JISC, SURF) kann unterstützend wirken (und tut es) Vielen Dank für Ihre Aufmerksamkeit!](https://reader034.vdocuments.mx/reader034/viewer/2022052018/60320a094a22a42c5127200b/html5/thumbnails/11.jpg)
5 Gründe für Shibboleth
• einrichtungsübergreifendes Single Sign-On• Autorisierung und Zugriffskontrolle über Attribute
mit der Möglichkeit zur anonymen/pseudonymenNutzung von Angeboten
• basiert auf bewährter Software und Standards(SAML: XML, SOAP, TLS, XMLsig, XMLenc)
• Aufwand für Integration mit vorhandenem IdMund (webbasierten) Anwendungen in vielen Fällen vergleichsweise gering
• Weltweit hohe Akzeptanz, auch bei kommerziellen Anbietern (Elsevier, JSTOR, EBSCO, Ovid, GBI, CSA, ...)
![Page 12: Single-SignOn mit Shibboleth in einer föderativen Umgebung · – „Knowledge Exchange“ (DFG, DEFF, JISC, SURF) kann unterstützend wirken (und tut es) Vielen Dank für Ihre Aufmerksamkeit!](https://reader034.vdocuments.mx/reader034/viewer/2022052018/60320a094a22a42c5127200b/html5/thumbnails/12.jpg)
Woher kommt „Shibboleth“?
Hintergrund ist eine Stelle aus dem Alten Testament, Buch Richter Kapitel 12 Vers 5ff:
• Und die Gileaditer nahmen ein die Furt des Jordans vor Ephraim. Wenn nun sprachen die Flüchtigen Ephraims: Laß mich hinübergehen, so sprachen die Männer von Gilead zu ihm: Bist du ein Ephraiter? Wenn er dann antwortete: Nein, so hießen sie ihn sprechen: Schiboleth, so sprach er: Siboleth, und konnte es nicht recht reden. So griffen sie ihn und schlugen ihn an der Furt des Jordans, daß zu der Zeit von Ephraim fielen zweiundvierzigtausend.(Zitat http://www.spiritproject.de/orakel/magie/lyrik/bibel/richter.htm)(vergl. auch: http://www.thebricktestament.com/judges/42000_ephraimites_killed/jg12_04.html)
Das Wort „Shibboleth“ ist somit wohl das erste biometrische Autorisierungsverfahren gewesen !
Heute: Awwer hache derfst misch net!
![Page 13: Single-SignOn mit Shibboleth in einer föderativen Umgebung · – „Knowledge Exchange“ (DFG, DEFF, JISC, SURF) kann unterstützend wirken (und tut es) Vielen Dank für Ihre Aufmerksamkeit!](https://reader034.vdocuments.mx/reader034/viewer/2022052018/60320a094a22a42c5127200b/html5/thumbnails/13.jpg)
Anbieter
Wie funktioniert Shibboleth?
BenutzerinBenutzerin berechtigt?
(7)gestattet
verweigertZugriff
(9)
neinLokalisierungsdienst(WAYF, IdP Discovery)
(2)
Erstkontakt
Benutzerin angemeldet?
(1)
Heimateinrichtung
(4)
ja
nein
(6)(5) Login
(3)
(8)
![Page 14: Single-SignOn mit Shibboleth in einer föderativen Umgebung · – „Knowledge Exchange“ (DFG, DEFF, JISC, SURF) kann unterstützend wirken (und tut es) Vielen Dank für Ihre Aufmerksamkeit!](https://reader034.vdocuments.mx/reader034/viewer/2022052018/60320a094a22a42c5127200b/html5/thumbnails/14.jpg)
Anbieter
Wie funktioniert Shibboleth?
Benutzerin
gestattet
verweigertZugriff
(9)
Benutzerin bekannt?
(1)
ja
nein
ja(2)
Folgekontakt (gleicher Anbieter)
Benutzerin berechtigt?
(7)
![Page 15: Single-SignOn mit Shibboleth in einer föderativen Umgebung · – „Knowledge Exchange“ (DFG, DEFF, JISC, SURF) kann unterstützend wirken (und tut es) Vielen Dank für Ihre Aufmerksamkeit!](https://reader034.vdocuments.mx/reader034/viewer/2022052018/60320a094a22a42c5127200b/html5/thumbnails/15.jpg)
Anbieter
Wie funktioniert Shibboleth?
BenutzerinBenutzerin berechtigt?
(7)gestattet
verweigertZugriff
(9)
neinLokalisierungsdienst(WAYF, IdP Discovery)
(2)
Folgekontakt anderer Anbieter
Benutzerin bekannt?
(1)
Heimateinrichtung
(4)
ja
nein
(6)
(3)
(8)
![Page 16: Single-SignOn mit Shibboleth in einer föderativen Umgebung · – „Knowledge Exchange“ (DFG, DEFF, JISC, SURF) kann unterstützend wirken (und tut es) Vielen Dank für Ihre Aufmerksamkeit!](https://reader034.vdocuments.mx/reader034/viewer/2022052018/60320a094a22a42c5127200b/html5/thumbnails/16.jpg)
Wozu eine Föderation DFN-AAI?
• Wo ist das Problem?– Anbieter muss dem Anwender vertrauen.– Es geht um Geld.– „Vertrauen“ heißt im Geschäftsleben: „Vertrag“.– Es müssen belastbare vertragliche Regelungen getroffen
werden.• DFN-AAI ist ein Dienst des DFN-Vereins für Wissen-
schaftseinrichtungen und (auch für kommerzielle) Anbieter von (Informations)-Ressourcen.
• DFN-AAI schafft das für notwendige Vertrauensverhältnis und einen organisatorischen, technischen Rahmen für den Austausch von Nutzerinformationen zwischen vielen Anwendern und vielen Anbietern.
• Die DFN-AAI schliesst aber kein Lizenzverträge ab!
![Page 17: Single-SignOn mit Shibboleth in einer föderativen Umgebung · – „Knowledge Exchange“ (DFG, DEFF, JISC, SURF) kann unterstützend wirken (und tut es) Vielen Dank für Ihre Aufmerksamkeit!](https://reader034.vdocuments.mx/reader034/viewer/2022052018/60320a094a22a42c5127200b/html5/thumbnails/17.jpg)
Attribute
• Personen erhalten elektronische Identität– Attribute beschreiben die Rolle der Person
• Attribute bilden die Grundlage für die Autorisierung und Zugriffskontrolle in Shibboleth:– Identity-Provider stellen mit Attributen die notwendigen
Informationen über ihre Benutzer zur Verfügung.– Service-Provider werten die Attribute anhand ihrer
Regeln aus und gestatten oder verweigern je nachErgebnis den Zugriff.
• Hierfür sind Absprachen zwischen Identity- und Service-Providern notwendig, die durch Verwendung eines einheitlichen Schemas vereinfacht werden!
• Voraussetzung sind verlässliche Benutzerdaten, also ein funktionierendes lokales Identity-Management!
![Page 18: Single-SignOn mit Shibboleth in einer föderativen Umgebung · – „Knowledge Exchange“ (DFG, DEFF, JISC, SURF) kann unterstützend wirken (und tut es) Vielen Dank für Ihre Aufmerksamkeit!](https://reader034.vdocuments.mx/reader034/viewer/2022052018/60320a094a22a42c5127200b/html5/thumbnails/18.jpg)
Attribute: Rollen und Rechte
• eduPersonScopedAffiliation:[email protected]– Ermöglicht grundlegende Rollen: member, faculty, staff,
employee, student, alum und affiliate
• eduPersonTargetedID:12345ADXY– Eindeutiges, persistentes Pseudonym z.B. zur Personalisierung
• eduPersonEntitlement:common-lib-terms– Frei definierbar, URN/URI-Syntax (Absprachen zwischen IdP
und SP erforderlich)
• eduPersonPrincipalName: [email protected]– Eindeutiger, persistenter Identifier (Datenschutz beachten!)
![Page 19: Single-SignOn mit Shibboleth in einer föderativen Umgebung · – „Knowledge Exchange“ (DFG, DEFF, JISC, SURF) kann unterstützend wirken (und tut es) Vielen Dank für Ihre Aufmerksamkeit!](https://reader034.vdocuments.mx/reader034/viewer/2022052018/60320a094a22a42c5127200b/html5/thumbnails/19.jpg)
Weitergabe von Attributen: Das Modell Autograph (MAMS)
• Die Attribute, die an einen Service-Provider weitergegeben werden, werden den Benutzern in Form von Visitenkarten präsentiert.
• Benutzer können für jeden Service-Provider individuelle Visitenkarten erstellen.
• Die Bedienung ist sehr intuitiv:– Streichen von Attributen schränkt die verfügbaren Dienste
entsprechend ein– Auswahl eines gewünschten Dienstes fügt automatisch die
notwendigen Attribute hinzu
![Page 20: Single-SignOn mit Shibboleth in einer föderativen Umgebung · – „Knowledge Exchange“ (DFG, DEFF, JISC, SURF) kann unterstützend wirken (und tut es) Vielen Dank für Ihre Aufmerksamkeit!](https://reader034.vdocuments.mx/reader034/viewer/2022052018/60320a094a22a42c5127200b/html5/thumbnails/20.jpg)
Visitenkartenmodell von MAMS
Auswirkung:Ohne Mail-Adresse ist Nutzung des Alert-Dienstes nicht möglich.
X
X
Namen: Ruppert
Mitgliedstyp: Staff
Mail: [email protected]
X
Sie geben folgende Daten an den Dienstanbieter weiter. Wenn Sie einzelne Datennicht weitergeben wollen, löschen Sie bitte die Markierung:
X
Namen: Ruppert
Mitgliedstyp: Staff
Mail:
X
![Page 21: Single-SignOn mit Shibboleth in einer föderativen Umgebung · – „Knowledge Exchange“ (DFG, DEFF, JISC, SURF) kann unterstützend wirken (und tut es) Vielen Dank für Ihre Aufmerksamkeit!](https://reader034.vdocuments.mx/reader034/viewer/2022052018/60320a094a22a42c5127200b/html5/thumbnails/21.jpg)
Einsatzmöglichkeiten von SSO
• Zugang zu geschützten (auch und gerade kommerziellen) elektronischen Informationsangeboten:– E-Zeitschriften, Datenbanken, E-Bücher, ...– Portale (z.B. vascoda, ReDI)– DFG-Nationallizenzen– Repositories (z.B. MyCoRe, EPrint, DSpace)
• e-Learning• e-Science• Verwaltungssysteme• Grid-Computing
![Page 22: Single-SignOn mit Shibboleth in einer föderativen Umgebung · – „Knowledge Exchange“ (DFG, DEFF, JISC, SURF) kann unterstützend wirken (und tut es) Vielen Dank für Ihre Aufmerksamkeit!](https://reader034.vdocuments.mx/reader034/viewer/2022052018/60320a094a22a42c5127200b/html5/thumbnails/22.jpg)
Beispiel: Nationallizenzen: Die Situation heute – institutionelle Nutzer
Verlag-1
Verlag-m
Verlag-2Einrichtung-1
Einrichtung-2
z.B.ReDI
Zugangsvermittlung mitproprietären Verfahren
IP-Kontrolle
IP-Liste
IP-Liste
IP-Kontrolle
IP-Kontrolle
IP-Liste
IP-Liste
IP-Liste
IP-Liste
IP-Liste
IP-Liste
IP-Liste
IP-Liste
IP-Liste
IP-Liste
IP-Liste
IP-Liste
IP-Kontrolle
![Page 23: Single-SignOn mit Shibboleth in einer föderativen Umgebung · – „Knowledge Exchange“ (DFG, DEFF, JISC, SURF) kann unterstützend wirken (und tut es) Vielen Dank für Ihre Aufmerksamkeit!](https://reader034.vdocuments.mx/reader034/viewer/2022052018/60320a094a22a42c5127200b/html5/thumbnails/23.jpg)
Nationallizenzen:Das Ziel mit Shibboleth
1x1x
NLVHO
ReWritingProxy
Verlag-1
Verlag-m
Verlag-2
Shib idp Shibsp
Shibsp
Shib idp
Shibsp
IP-Ctrl
Ggf mehrere Instanzen (Einrichtungen)
IPIP Falls Einrichtung über IP authentifiziert
IPIP
![Page 24: Single-SignOn mit Shibboleth in einer föderativen Umgebung · – „Knowledge Exchange“ (DFG, DEFF, JISC, SURF) kann unterstützend wirken (und tut es) Vielen Dank für Ihre Aufmerksamkeit!](https://reader034.vdocuments.mx/reader034/viewer/2022052018/60320a094a22a42c5127200b/html5/thumbnails/24.jpg)
Bibliotheks-dienste
E-Learning
SeminararbeitPersonalisierte
Dienste
Verwaltungs-systeme
IdM
Das Projekt Das Projekt MyLoginMyLogin an der Uni FRan der Uni FR
![Page 25: Single-SignOn mit Shibboleth in einer föderativen Umgebung · – „Knowledge Exchange“ (DFG, DEFF, JISC, SURF) kann unterstützend wirken (und tut es) Vielen Dank für Ihre Aufmerksamkeit!](https://reader034.vdocuments.mx/reader034/viewer/2022052018/60320a094a22a42c5127200b/html5/thumbnails/25.jpg)
Single-SignOn mit Shibboleth,ein Login für alle Dienste
Bibliotheks-dienste
E-Learning
SeminararbeitPersonalisierte
Dienste
Verwaltungs-systeme
Das Das ProjektProjekt myLoginmyLogin derder UniUni FreiburgFreiburg
![Page 26: Single-SignOn mit Shibboleth in einer föderativen Umgebung · – „Knowledge Exchange“ (DFG, DEFF, JISC, SURF) kann unterstützend wirken (und tut es) Vielen Dank für Ihre Aufmerksamkeit!](https://reader034.vdocuments.mx/reader034/viewer/2022052018/60320a094a22a42c5127200b/html5/thumbnails/26.jpg)
Meine Dienste:
Chance und Vision:Authentifizierung & Personalisierung
Mein OLAF-Konto:
derzeit keine
4,50 Eur
51
derzeit keine
Katalogauswahl: Mein Katalog
Meine BibliothekLogout
Meine Einstellungen
Mein Fachportal
![Page 27: Single-SignOn mit Shibboleth in einer föderativen Umgebung · – „Knowledge Exchange“ (DFG, DEFF, JISC, SURF) kann unterstützend wirken (und tut es) Vielen Dank für Ihre Aufmerksamkeit!](https://reader034.vdocuments.mx/reader034/viewer/2022052018/60320a094a22a42c5127200b/html5/thumbnails/27.jpg)
Zum Abschluss: Was haben wir?
• Alle Komponenten von Shibboleth sind in einer Testumgebung verfügbar ( bei AAR und DFN-AAI)
• -Portal (BaWü) wurde auf Shibboleth umgestellt(mit einer „internen“ Föderation, etwa 60 IdentityProvider und zwei Anbietern: CSA, GBI)
• Die Betriebssoftware IPS von vascoda ist auf Shibbolethumgestellt (Einsatz in Freiburg)
• Für den Bereich der Nationallizenzen wird z.Zt. eine VHO als Grundlage zur Einführung von Shibbolethaufgebaut (GBV Göttingen).
• Die Föderation DFN-AAI wird Mitte 2007 betriebs- und vertragsbereit sein.
![Page 28: Single-SignOn mit Shibboleth in einer föderativen Umgebung · – „Knowledge Exchange“ (DFG, DEFF, JISC, SURF) kann unterstützend wirken (und tut es) Vielen Dank für Ihre Aufmerksamkeit!](https://reader034.vdocuments.mx/reader034/viewer/2022052018/60320a094a22a42c5127200b/html5/thumbnails/28.jpg)
Zum Abschluss: Was fehlt noch?
• Viele, viele IdM-Systeme in den Einrichtungen! • Shib-unterstützende Repositories, Autorenwerkzeuge
– Verfügbar: z.B.: EPrints, DSpace
• Shib-unterstützende E-Learning-Systeme– Verfügbar z.B. OLAP (Vorreiter: Sachsen, Schweiz)
• Shib-unterstützende Verlage– Alle Bibliotheken und Konsortien müssen mitmachen– „Knowledge Exchange“ (DFG, DEFF, JISC, SURF) kann
unterstützend wirken (und tut es)
![Page 29: Single-SignOn mit Shibboleth in einer föderativen Umgebung · – „Knowledge Exchange“ (DFG, DEFF, JISC, SURF) kann unterstützend wirken (und tut es) Vielen Dank für Ihre Aufmerksamkeit!](https://reader034.vdocuments.mx/reader034/viewer/2022052018/60320a094a22a42c5127200b/html5/thumbnails/29.jpg)
Vielen Dank für Ihre Aufmerksamkeit!
AAR ist ein Projekt der UB Freiburg.
Gefördert vom BMBF (PT-NMB+F )AAR kooperiert mit dem DFN-Verein